Gesetzesentwurf zur Durchführung der Cyberresilienz-Verordnung
Basics
| Offizieller Titel: | Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung) |
| Initiator: | Bundesministerium des Inneren |
| Status: | Vom Kabinett beschlossen |
| Letzte Änderung: | 06.05.2026 |
| Entwurf PDF: | Download Entwurf |
| Drucksache: | Vorgangseite auf bundestag.de |
| Gesetztyp: | Einspruchsgesetz |
| Status Bundesrat: | Eingegangen |
| Exekutiver Fußabdruck: | ✅ Vorhanden. |
| Verbändebeteiligung: | ✅ Stellungnahmen veröffentlicht.⚪ Beteiligungsfrist ca. 1-2 Wochen. (KI-gestützte Schätzung auf Basis der Stellungnahmen) |
Zusammenfassung
Diese Zusammenfassung wurde mit GPT4 erstellt und kann Fehler enthalten.
Basisinformationen:
Das wesentliche Ziel des Gesetzentwurfs ist die Durchführung der EU-Verordnung (EU) 2024/2847 („Cyberresilienzverordnung“), die erstmals verpflichtende horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Das Gesetz schafft die nationale Rechtsgrundlage, damit das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Marktüberwachungsbehörde und notifizierende Behörde tätig werden kann. Zudem werden Unterstützungsmaßnahmen für betroffene Wirtschaftsakteure, insbesondere kleine und mittlere Unternehmen, sowie Vorschriften für das Bußgeldverfahren eingeführt. Federführend zuständig ist das Bundesministerium des Innern.
Hintergrund:
Der Entwurf erläutert, dass die EU-Verordnung am 10. Dezember 2024 in Kraft getreten ist und ab dem 11. Juni 2026 bis spätestens 11. Dezember 2027 schrittweise wirksam wird. Die Verordnung verlangt, dass Produkte mit digitalen Elementen künftig Mindestanforderungen an die Cybersicherheit erfüllen und Hersteller aktiv ausgenutzte Schwachstellen melden. Die Mitgliedstaaten müssen eine Marktüberwachungsbehörde und eine notifizierende Behörde benennen sowie Sanktionen bei Verstößen festlegen. Der Gesetzentwurf greift zudem einen Auftrag aus dem Koalitionsvertrag auf, Unternehmen bei der Umsetzung zu unterstützen.
Kosten:
Für den Bundeshaushalt entstehen bis 2029 sukzessive steigende Ausgaben, insbesondere für das BSI. Der Personalmehrbedarf beim BSI beträgt bis 2029 dauerhaft 141 Stellen (68 höherer Dienst, 54 gehobener Dienst, 19 mittlerer Dienst). Die jährlichen Personalkosten steigen von ca. 9,5 Mio. Euro (2026) auf ca. 14,6 Mio. Euro (2029). Jährliche Sachkosten betragen bis zu 8,1 Mio. Euro, insbesondere für externe Dienstleister. Einmalige Sachkosten (z.B. für ein Reallabor) betragen 10 Mio. Euro. Der laufende jährliche Erfüllungsaufwand für die Verwaltung liegt bei ca. 20,5 Mio. Euro, der einmalige bei ca. 10 Mio. Euro. Für Länder und Kommunen entstehen keine Kosten. Einnahmen werden nicht erwartet.
Inkrafttreten:
Keine expliziten Angaben zum Inkrafttreten. Es ist daher davon auszugehen, dass das Gesetz am Tag nach der Verkündung in Kraft treten soll.
Sonstiges:
Der Entwurf ist alternativlos, da die Umsetzung der EU-Verordnung verpflichtend ist. Die zentrale Rolle des BSI wird mit dessen Fachkompetenz begründet; eine Verteilung auf sektorale Behörden wurde verworfen. Es entstehen keine neuen Verpflichtungen für Bürger oder Wirtschaft über die EU-Verordnung hinaus. Das Gesetz ist unbefristet, eine Evaluierung erfolgt gemäß der EU-Verordnung durch die EU-Kommission erstmals bis 11. Dezember 2030 und danach alle vier Jahre. Der Entwurf trägt zur nachhaltigen Entwicklung bei, indem er die Lebensdauer von Produkten verlängern und Missbrauch erschweren kann. Ein besonderer Zeitdruck („Eilbedürftigkeit“) wird nicht erwähnt.
Maßnahmen:
Hier sind die wichtigsten Maßnahmen des Gesetzentwurfs in Stichpunkten:
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt neue Aufgaben:
- Marktüberwachung von Produkten mit digitalen Elementen gemäß Verordnung (EU) 2024/2847
- Notifizierung von Konformitätsbewertungsstellen im Rahmen dieser Verordnung
- Das BSI wird als nationale Marktüberwachungsbehörde für die Einhaltung der Cybersicherheitsanforderungen dieser Produkte festgelegt
- Das BSI übernimmt die Aufgaben als CSIRT (Computer Security Incident Response Team) unter der Verordnung (EU) 2024/2847, insbesondere:
- Entgegennahme und Bewertung von Meldungen zu aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen von Herstellern
- Zusammenarbeit mit anderen Marktüberwachungsbehörden wird geregelt, um Überschneidungen bei Zuständigkeiten zu koordinieren
- Verbraucher werden informiert, wo sie Beschwerden einreichen können
- Marktüberwachungsmaßnahmen können sofort vollzogen werden
- Das BSI wird notifizierende Behörde für Konformitätsbewertungsstellen und kann in Ausnahmefällen auch ohne Akkreditierungsurkunde notifizieren, wenn dies im öffentlichen Interesse liegt
- Die nationale Akkreditierungsstelle übernimmt grundsätzlich die Bewertung und Überwachung der Konformitätsbewertungsstellen
- Das BSI führt Unterstützungsmaßnahmen für betroffene Wirtschaftsakteure durch, insbesondere:
- Sensibilisierungs- und Schulungsmaßnahmen für Unternehmen (insbesondere KMU)
- Einrichtung und Betrieb eines Reallabors für Cyberresilienz, in dem Hersteller Produkte vor Markteinführung testen können
- Regelungen zum Bußgeld- und Strafverfahren bei Verstößen gegen die Verordnung (EU) 2024/2847 werden getroffen:
- Anwendung des Ordnungswidrigkeitengesetzes (OWiG) mit bestimmten Ausnahmen
- Bußgeldverfahren gegen öffentliche Stellen sind ausgeschlossen
- Redaktionelle Änderungen und Anpassungen in anderen Gesetzen (Telekommunikationsgesetz, Energiewirtschaftsgesetz) zur Angleichung an das neue BSIG
- Inkrafttreten der Vorschriften richtet sich nach den Fristen der Verordnung (EU) 2024/2847 (Notifizierung ab 11. Juni 2026, Meldepflicht ab 11. September 2026, übrige Vorschriften ab 11. Dezember 2027)
Informationen aus dem Ministerium
| Datum erster Entwurf: | 18.03.2026 |
| Datum Kabinettsbeschluss: | 29.04.2026 |
| Weiterführende Informationen: | Vorhabenseite des Ministeriums |
„Der vorliegende Gesetzesentwurf dient der Durchführung der Verordnung (EU) 2024/2847. Mit dem Artikel 1 wird die Rechtsgrundlage geschaffen, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Marktüberwachungsbehörde und als notifizierende Behörde unter der Verordnung (EU) 2024/2847 tätig werden kann.
Am 10. Dezember 2024 ist die Cyberresilienz-Verordnung in Kraft getreten. Sie stellt erstmals horizontal verpflichtende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen auf und erweitert das bekannte CE-Kennzeichen um den Aspekt der Cybersicherheit.
Die Regelungen der Cyberresilienz-Verordnung gelten grundsätzlich unmittelbar und werden ab dem 11. Juni 2026 zeitlich gestaffelt wirksam, bis die Regelungen ab dem 11. Dezember 2027 vollends wirken. Zum Zweck der Durchführung muss jeder Mitgliedstaat mindestens eine Marktüberwachungsbehörde und eine notifizierende Behörde einrichten. Im Übrigen sollen die Mitgliedstaaten Unterstützungsmaßnahmen für die betroffenen Wirtschaftsakteure ergreifen, insbesondere für kleine und mittlere Unternehmen.
Der vorliegende Gesetzesentwurf dient zur Durchführung dieser Vorgaben. Darüber hinaus werden im Sinne des Koalitionsvertrages für die 20. Legislaturperiode, Zeile 285 f. zusätzliche Unterstützungsmaßnahmen für die von der Verordnung (EU) 2024/2847 betroffenen Wirtschaftsakteure ergriffen und die erforderlichen Vorschriften für das Bußgeldverfahren erlassen.
Zudem enthält der Gesetzesentwurf eine redaktionelle Korrektur im TKG und EnWG, um einen durch das NIS2-Umsetzungsgesetz nicht mehr stimmigen Verweis auf das BSIG zu korrigieren. Es handelt sich ausdrücklich nicht um eine inhaltliche Änderung.
Verbändestellungnahmen wurden angefordert.“
Exekutiver Fußabdruck
Exekutiver Fußabdruck laut Bundesministerium des Inneren:
„Es haben weder Interessenvertreter noch beauftragte Dritte wesentlich zum Inhalt des Ent-
wurfs beigetragen.“
Stellungnahmen zum Referentenentwurf
Die Stellungnahmen beziehen sich auf den Referentenentwurf, der im Vergleich zur Kabinettsfassung und zur Bundestagsdrucksache abweichen kann.
Die Zusammenfassungen und das Meinungsbild wurden mit GPT4 auf Basis der verlinkten Dokumente erstellt und können Fehler enthalten.
Beteiligungsphase
Von den 19 ausgewerteten Stellungnahmen enthält nur eine – die des Zentralverbands des Deutschen Handwerks (ZDH) – einen expliziten Hinweis auf die Dauer der Beteiligungsphase. Der ZDH kritisiert die "kurze Frist zur Stellungnahme" und behält sich vor, weitere Anmerkungen im Laufe des Verfahrens einzubringen. Konkrete Datumsangaben zum Beginn oder zur Dauer der Beteiligungsphase werden von keinem Verband gemacht. Die übrigen Absender machen keine Angaben zum Zeitraum. Das Datum des Gesetzentwurfs ist der 18.03.2026, die meisten Stellungnahmen datieren auf den Zeitraum vom 27.03.2026 bis 04.04.2026, was auf eine Frist von etwa zwei Wochen schließen lässt. Da jedoch nur der ZDH explizit auf die Kürze der Frist hinweist und keine weiteren Angaben vorliegen, wird die Dauer der Beteiligungsphase als kurz bewertet.
Allgemeine Bewertung
Die überwiegende Mehrheit der Stellungnahmen begrüßt grundsätzlich das Ziel des Gesetzentwurfs zur Umsetzung der EU-Cyberresilienz-Verordnung (CRA), einheitliche und verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen zu schaffen. Die Notwendigkeit einer stärkeren Cybersicherheit und einer zentralen Marktüberwachung wird breit anerkannt. Gleichzeitig äußern nahezu alle Verbände Kritik an der praktischen Ausgestaltung, insbesondere hinsichtlich Umsetzbarkeit, Bürokratie, Ressourcen, Zuständigkeiten und der Berücksichtigung branchenspezifischer Besonderheiten. Viele fordern Nachbesserungen, Ausnahmen oder spezifische Unterstützungsmaßnahmen für ihre jeweiligen Sektoren oder Unternehmensgrößen.
Meinungen im Detail
1. Marktüberwachung und Behördenstruktur
Zahlreiche Verbände (PHAGRO, GDV, vzbv, VDMA, SPECTARIS, ZVEI, DWA, Wirtschaftsrat der CDU, ZDH, VOICE) betonen die Bedeutung einer zentralen, klar geregelten und ausreichend ausgestatteten Marktüberwachung, meist unter Federführung des BSI. Kritisiert werden unklare Zuständigkeiten (SPECTARIS, VDMA), die Gefahr von Interessenkonflikten beim BSI (VDMA, DWA, ZVEI), und die fehlende Einbindung branchenspezifischer Behörden (GDV fordert BaFin, bne fordert Bundesnetzagentur). Der vzbv fordert eine zentrale Marktüberwachungsbehörde und ein Verbraucherrechteportal. Mehrere Verbände (ZVEI, TeleTrusT, SPECTARIS) fordern eine funktionale Trennung der Aufgaben und regelmäßige Überprüfung der Ausstattung des BSI.
2. Belastungen und Unterstützung für Unternehmen, insbesondere KMU
Arbeitgeber- und Branchenverbände (ZDH, DIHK, VOICE, BITMi, TeleTrusT, VDMA, SPECTARIS, PHAGRO) warnen vor erheblichen administrativen, technischen und finanziellen Belastungen, insbesondere für kleine und mittlere Unternehmen (KMU). Sie fordern explizite Ausnahmen (ZDH), verhältnismäßige Umsetzung (DIHK), gezielte Unterstützungsmaßnahmen (ZDH, TeleTrusT, ZVEI, Wirtschaftsrat der CDU), Leitfäden und Beratungsangebote (VDMA, DIHK), sowie die Vermeidung von Durchreicheffekten in der Lieferkette (ZDH). Die Gefahr zusätzlicher Bürokratie und Überforderung wird vielfach hervorgehoben.
3. Branchenspezifische Besonderheiten und Ausnahmen
Mehrere Verbände fordern sektorspezifische Ausnahmen oder Anpassungen: Der GDV für die Versicherungswirtschaft (wegen DORA), PHAGRO für die Arzneimittelversorgung, bne für die Energiewirtschaft (systemischer Ansatz, Einbindung der Bundesnetzagentur), OSBA für Open-Source-Software, SPECTARIS für Medizintechnik und andere Branchen, ALM e.V. für medizinische Labore. Die Open Source Business Alliance fordert gezielte Unterstützung für Open-Source-Hersteller und eine aufschiebende Wirkung bei Rechtsmitteln.
4. Konformitätsbewertung und Prüfstellen
Viele Stellungnahmen (VOICE, SPECTARIS, ZVEI, VDMA, TeleTrusT, Wirtschaftsrat der CDU) thematisieren die Bedeutung und Ausstattung von Konformitätsbewertungsstellen. Kritisiert werden unklare Kapazitäten (SPECTARIS), fehlende Zeitpläne (SPECTARIS), zu weit gefasste Ausnahmeregelungen (TeleTrusT), und die Notwendigkeit einer einheitlichen Anwendung ohne zusätzliche nationale Anforderungen (VDMA). VOICE und Wirtschaftsrat der CDU fordern frühzeitige und ausreichend dimensionierte Prüfstellen.
5. Rechtsdurchsetzung, Verfahren und Sanktionen
Die GdP sieht Herausforderungen bei der internationalen Durchsetzung und fordert praktikable Meldeverfahren. BITMi kritisiert die Zuständigkeit der Amtsgerichte für Bußgeldverfahren wegen fehlender IT-Kompetenz und das Fehlen eines Einspruchsverfahrens gegen notifizierte Stellen. Die OSBA fordert die aufschiebende Wirkung von Rechtsmitteln gegen behördliche Entscheidungen.
6. Schutz von Innovation, Geschäftsgeheimnissen und kritischen Infrastrukturen
ALM e.V. und PHAGRO betonen die Notwendigkeit, Innovation und Geschäftsgeheimnisse zu schützen und den Betrieb kritischer Infrastrukturen nicht zu gefährden. DWA fordert Schutz sensibler KRITIS-Informationen und gezielte Unterstützung für KMU im KRITIS-Bereich.
7. Open Source und digitale Souveränität
Die OSBA hebt die besondere Rolle von Open Source Software hervor und fordert, dass das BSI bei der Umsetzung des CRA ausschließlich digital souveräne Open-Source-Lösungen verwendet. Auch die DIHK betont die Rolle von Open-Source-Software und deren Verwaltern.
8. Verbraucherinteressen
vzbv fordert eine zentrale Marktüberwachung, ein Verbraucherrechteportal und Monitoring der Updatezeiträume, um Verbraucher:innen ausreichend lange Sicherheitsupdates zu sichern.
9. Weitere Aspekte
Der Wirtschaftsrat der CDU und ZVEI betonen die Notwendigkeit, zusätzliche nationale Anforderungen (Gold Plating) zu vermeiden und ein international anschlussfähiges Prüfökosystem zu schaffen. SPECTARIS fordert eine Abstimmung mit dem KI-Durchführungsgesetz für Produkte, die mehreren Regimen unterliegen. Die GdP und ZDH betonen die Bedeutung von Security by Design und Default.
Insgesamt zeigt sich ein breiter Konsens über die Zielrichtung des Gesetzes, aber ein ebenso breites Spektrum an Kritik und Forderungen nach Nachbesserungen, insbesondere zur Umsetzbarkeit, Ressourcenausstattung, Branchenspezifik und Unterstützung der Unternehmen. Arbeitgeber- und Branchenverbände betonen vor allem die Belastungen und fordern Ausnahmen und Unterstützung, während Verbraucher- und IT-Sicherheitsverbände auf die Effektivität und zentrale Steuerung der Marktüberwachung sowie ausreichende Ressourcen und Schutzmaßnahmen drängen.
Von den 19 ausgewerteten Stellungnahmen enthält nur eine – die des Zentralverbands des Deutschen Handwerks (ZDH) – einen expliziten Hinweis auf die Dauer der Beteiligungsphase. Der ZDH kritisiert die "kurze Frist zur Stellungnahme" und behält sich vor, weitere Anmerkungen im Laufe des Verfahrens einzubringen. Konkrete Datumsangaben zum Beginn oder zur Dauer der Beteiligungsphase werden von keinem Verband gemacht. Die übrigen Absender machen keine Angaben zum Zeitraum. Das Datum des Gesetzentwurfs ist der 18.03.2026, die meisten Stellungnahmen datieren auf den Zeitraum vom 27.03.2026 bis 04.04.2026, was auf eine Frist von etwa zwei Wochen schließen lässt. Da jedoch nur der ZDH explizit auf die Kürze der Frist hinweist und keine weiteren Angaben vorliegen, wird die Dauer der Beteiligungsphase als kurz bewertet.
Allgemeine Bewertung
Die überwiegende Mehrheit der Stellungnahmen begrüßt grundsätzlich das Ziel des Gesetzentwurfs zur Umsetzung der EU-Cyberresilienz-Verordnung (CRA), einheitliche und verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen zu schaffen. Die Notwendigkeit einer stärkeren Cybersicherheit und einer zentralen Marktüberwachung wird breit anerkannt. Gleichzeitig äußern nahezu alle Verbände Kritik an der praktischen Ausgestaltung, insbesondere hinsichtlich Umsetzbarkeit, Bürokratie, Ressourcen, Zuständigkeiten und der Berücksichtigung branchenspezifischer Besonderheiten. Viele fordern Nachbesserungen, Ausnahmen oder spezifische Unterstützungsmaßnahmen für ihre jeweiligen Sektoren oder Unternehmensgrößen.
Meinungen im Detail
1. Marktüberwachung und Behördenstruktur
Zahlreiche Verbände (PHAGRO, GDV, vzbv, VDMA, SPECTARIS, ZVEI, DWA, Wirtschaftsrat der CDU, ZDH, VOICE) betonen die Bedeutung einer zentralen, klar geregelten und ausreichend ausgestatteten Marktüberwachung, meist unter Federführung des BSI. Kritisiert werden unklare Zuständigkeiten (SPECTARIS, VDMA), die Gefahr von Interessenkonflikten beim BSI (VDMA, DWA, ZVEI), und die fehlende Einbindung branchenspezifischer Behörden (GDV fordert BaFin, bne fordert Bundesnetzagentur). Der vzbv fordert eine zentrale Marktüberwachungsbehörde und ein Verbraucherrechteportal. Mehrere Verbände (ZVEI, TeleTrusT, SPECTARIS) fordern eine funktionale Trennung der Aufgaben und regelmäßige Überprüfung der Ausstattung des BSI.
2. Belastungen und Unterstützung für Unternehmen, insbesondere KMU
Arbeitgeber- und Branchenverbände (ZDH, DIHK, VOICE, BITMi, TeleTrusT, VDMA, SPECTARIS, PHAGRO) warnen vor erheblichen administrativen, technischen und finanziellen Belastungen, insbesondere für kleine und mittlere Unternehmen (KMU). Sie fordern explizite Ausnahmen (ZDH), verhältnismäßige Umsetzung (DIHK), gezielte Unterstützungsmaßnahmen (ZDH, TeleTrusT, ZVEI, Wirtschaftsrat der CDU), Leitfäden und Beratungsangebote (VDMA, DIHK), sowie die Vermeidung von Durchreicheffekten in der Lieferkette (ZDH). Die Gefahr zusätzlicher Bürokratie und Überforderung wird vielfach hervorgehoben.
3. Branchenspezifische Besonderheiten und Ausnahmen
Mehrere Verbände fordern sektorspezifische Ausnahmen oder Anpassungen: Der GDV für die Versicherungswirtschaft (wegen DORA), PHAGRO für die Arzneimittelversorgung, bne für die Energiewirtschaft (systemischer Ansatz, Einbindung der Bundesnetzagentur), OSBA für Open-Source-Software, SPECTARIS für Medizintechnik und andere Branchen, ALM e.V. für medizinische Labore. Die Open Source Business Alliance fordert gezielte Unterstützung für Open-Source-Hersteller und eine aufschiebende Wirkung bei Rechtsmitteln.
4. Konformitätsbewertung und Prüfstellen
Viele Stellungnahmen (VOICE, SPECTARIS, ZVEI, VDMA, TeleTrusT, Wirtschaftsrat der CDU) thematisieren die Bedeutung und Ausstattung von Konformitätsbewertungsstellen. Kritisiert werden unklare Kapazitäten (SPECTARIS), fehlende Zeitpläne (SPECTARIS), zu weit gefasste Ausnahmeregelungen (TeleTrusT), und die Notwendigkeit einer einheitlichen Anwendung ohne zusätzliche nationale Anforderungen (VDMA). VOICE und Wirtschaftsrat der CDU fordern frühzeitige und ausreichend dimensionierte Prüfstellen.
5. Rechtsdurchsetzung, Verfahren und Sanktionen
Die GdP sieht Herausforderungen bei der internationalen Durchsetzung und fordert praktikable Meldeverfahren. BITMi kritisiert die Zuständigkeit der Amtsgerichte für Bußgeldverfahren wegen fehlender IT-Kompetenz und das Fehlen eines Einspruchsverfahrens gegen notifizierte Stellen. Die OSBA fordert die aufschiebende Wirkung von Rechtsmitteln gegen behördliche Entscheidungen.
6. Schutz von Innovation, Geschäftsgeheimnissen und kritischen Infrastrukturen
ALM e.V. und PHAGRO betonen die Notwendigkeit, Innovation und Geschäftsgeheimnisse zu schützen und den Betrieb kritischer Infrastrukturen nicht zu gefährden. DWA fordert Schutz sensibler KRITIS-Informationen und gezielte Unterstützung für KMU im KRITIS-Bereich.
7. Open Source und digitale Souveränität
Die OSBA hebt die besondere Rolle von Open Source Software hervor und fordert, dass das BSI bei der Umsetzung des CRA ausschließlich digital souveräne Open-Source-Lösungen verwendet. Auch die DIHK betont die Rolle von Open-Source-Software und deren Verwaltern.
8. Verbraucherinteressen
vzbv fordert eine zentrale Marktüberwachung, ein Verbraucherrechteportal und Monitoring der Updatezeiträume, um Verbraucher:innen ausreichend lange Sicherheitsupdates zu sichern.
9. Weitere Aspekte
Der Wirtschaftsrat der CDU und ZVEI betonen die Notwendigkeit, zusätzliche nationale Anforderungen (Gold Plating) zu vermeiden und ein international anschlussfähiges Prüfökosystem zu schaffen. SPECTARIS fordert eine Abstimmung mit dem KI-Durchführungsgesetz für Produkte, die mehreren Regimen unterliegen. Die GdP und ZDH betonen die Bedeutung von Security by Design und Default.
Insgesamt zeigt sich ein breiter Konsens über die Zielrichtung des Gesetzes, aber ein ebenso breites Spektrum an Kritik und Forderungen nach Nachbesserungen, insbesondere zur Umsetzbarkeit, Ressourcenausstattung, Branchenspezifik und Unterstützung der Unternehmen. Arbeitgeber- und Branchenverbände betonen vor allem die Belastungen und fordern Ausnahmen und Unterstützung, während Verbraucher- und IT-Sicherheitsverbände auf die Effektivität und zentrale Steuerung der Marktüberwachung sowie ausreichende Ressourcen und Schutzmaßnahmen drängen.
🤷♀️ Akkreditierte Labore in der Medizin e.V.
„Die Stärkung der Cybersicherheit von Produkten ist ein unerlässlicher Schritt zur Gewährleistung der digitalen Souveränität und zur Minimierung von Risiken für Wirtschaft und Gesellschaft. Trotz dieser grundsätzlichen Zustimmung geben die konkreten Befugnisse der Marktüberwachung dem ALM e.V. Anlass zu Bedenken.“
Die Akkreditierten Labore in der Medizin e.V. (ALM e.V.) begrüßen grundsätzlich die Ziele des Gesetzentwurfs zur Durchführung der EU-Verordnung über horizontale Cybersicherheitsanforderungen (Cyberresilienz-Verordnung, kurz CRA). Sie unterstützen die Stärkung der Cybersicherheit und die Harmonisierung der Vorgaben auf europäischer Ebene. Besonders betonen sie jedoch die Notwendigkeit, die Befugnisse der Marktüberwachungsbehörde (Bundesamt für Sicherheit in der Informationstechnik, BSI) klar und verhältnismäßig zu regeln. ALM e.V. fordert einen besseren Schutz von Geschäftsgeheimnissen und Innovationen, transparente und nachvollziehbare Überwachungsprozesse sowie eine eindeutige Definition der Befugnisse des BSI. Ein weiterer Schwerpunkt ist die Sicherstellung, dass bei Streitigkeiten über die Konformität von Produkten der Weiterbetrieb kritischer Infrastrukturen, wie medizinischer Labore, nicht gefährdet wird. Besonders ausführlich thematisiert wurden: 1) Schutz von Innovation und Geschäftsgeheimnissen, 2) Transparenz und Nachvollziehbarkeit der Überwachungsprozesse, 3) Verhältnismäßigkeit und Auswirkungen auf den Betrieb kritischer Infrastrukturen.
Tendenz: neutral 🤷♀️
Datum: 12.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Bundesverband IT-Mittelstand e.V. (BITMi)
„Ob ein Verstoß gegen Cybersicherheitsanforderungen nach Anhang I oder gegen Herstellerpflichten nach Art. 13 oder Art. 14 CRA vorliegt, erfordert im erheblichen Ausmaß IT-bezogene Sachkenntnisse. Diesbezüglich geben wir zu bedenken, dass diese Aufgabe die zuständigen Amtsgerichte überlasten könnte.“
Der Bundesverband IT-Mittelstand e.V. (BITMi) äußert sich zum Gesetzentwurf zur Durchführung der EU-Verordnung 2024/2847, die horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten (Cyberresilienz-Verordnung, kurz CRA) regelt. Der Verband hebt hervor, dass die im Entwurf vorgesehene Zuständigkeit der Amtsgerichte für Bußgeldverfahren im Zusammenhang mit Cybersicherheitsverstößen problematisch ist, da diese Verfahren erhebliche IT-Fachkenntnisse erfordern, die bei den Gerichten möglicherweise nicht ausreichend vorhanden sind. Zudem kritisiert der BITMi das Fehlen eines Einspruchsverfahrens gegen Entscheidungen sogenannter notifizierter Stellen, wie es die EU-Verordnung vorsieht. Besonders ausführlich thematisiert werden: 1) die Überforderung der Amtsgerichte durch komplexe IT-Fachfragen, 2) die Notwendigkeit spezifischer Regelungen für Einspruchsverfahren gegen notifizierte Stellen, und 3) die Bedeutung der klaren gesetzlichen Umsetzung der EU-Vorgaben.
Tendenz: ablehnend 👎
Datum: 30.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Bundesverband IT-Sicherheit e.V. (TeleTrusT)
„Der Referentenentwurf greift die durch den CRA erforderlichen nationalen Regelungen zwar im Grundsatz auf, bleibt in seiner derzeitigen Fassung jedoch in zentralen Punkten hinter den praktischen und rechtlichen Anforderungen zurück.“
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) bewertet den Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung (CRA) grundsätzlich als notwendigen Schritt, sieht jedoch erheblichen Nachbesserungsbedarf. Der CRA ist eine EU-Verordnung, die erstmals europaweit einheitliche Regeln für die Cybersicherheit von Produkten mit digitalen Komponenten schafft. Das nationale Durchführungsgesetz soll die Umsetzung flankieren, etwa durch Benennung von Behörden, Unterstützungsmaßnahmen für kleine und mittlere Unternehmen (KMU) sowie Festlegung des Sanktionsrahmens. TeleTrusT kritisiert insbesondere: 1) Die Ausstattung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist unzureichend, um die neuen Aufgaben (Marktüberwachung, Notifizierung, Unterstützung) effektiv zu erfüllen. 2) Die Ausnahmeregelung, Konformitätsbewertungsstellen auch ohne Akkreditierung zuzulassen, ist zu weit gefasst und gefährdet die Qualitätssicherung. 3) Die Unterstützungsmaßnahmen für Unternehmen sind zu unkonkret, finanziell zu knapp bemessen und lassen wichtige Aspekte offen. Besonders ausführlich behandelt werden die Themen: a) Aufgabenbündelung und Ausstattung des BSI, b) die Notifizierung und Akkreditierung von Konformitätsbewertungsstellen, c) die Ausgestaltung und praktische Wirksamkeit der Unterstützungsmaßnahmen und des Reallabors für Cyberresilienz.
Tendenz: ablehnend 👎
Datum: 01.04.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Bundesverband Neue Energiewirtschaft e.V. (bne)
„Für die Gewährleistung der Systemsicherheit muss dieser Fokus jedoch erweitert werden – weg von der isolierten Betrachtung einzelner Anlagen oder einzelner Smart-Meter-Gateways und hin zu einem systemischen Ansatz, der gezielt auf den Schutz vor skalierenden Angriffen ausgerichtet ist.“
Der Bundesverband Neue Energiewirtschaft (bne) äußert sich zum Entwurf eines Gesetzes zur Durchführung der EU-Verordnung 2024/2847, die horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung) festlegt. Die Stellungnahme kritisiert, dass der Gesetzentwurf einen zu starken Fokus auf einzelne technische Komponenten und Kommunikationsstrecken legt. Stattdessen fordert der bne einen systemischen Ansatz, der das Gesamtsystem und insbesondere die Gefahr skalierender Angriffe berücksichtigt. Besonders hervorgehoben werden (1) die Notwendigkeit, die Bundesnetzagentur in die Marktüberwachung einzubeziehen, da sie das Gesamtsystem besser überblicken kann, (2) die Begrenzung der Auswirkungen erfolgreicher Angriffe und (3) die Kritik an der isolierten Betrachtung einzelner Anlagen oder Geräte.
Tendenz: neutral 🤷♀️
Datum:
Lobbyregister-Nr.: R001011 (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Deutsche Industrie- und Handelskammer (DIHK)
„Die DIHK unterstützt das zentrale Ziel des Cyber Resilience Acts, die Cybersicherheit vernetzter Produkte europaweit zu erhöhen und einheitliche Mindeststandards für Hersteller zu schaffen. Gleichzeitig bedeutet die Umsetzung des CRA – insbesondere für kleine und mittlere Unternehmen – erheblichen organisatorischen, technischen und finanziellen Aufwand. Ohne eine praxisnahe, verhältnismäßige und unterstützende Ausgestaltung der Vorgaben droht hier ein strukturelles Risiko für einen zentralen Teil der mittelständischen Wirtschaft.“
Die Deutsche Industrie- und Handelskammer (DIHK) begrüßt grundsätzlich das Ziel des Cyber Resilience Acts (CRA), einheitliche und verbindliche Cybersicherheitsanforderungen für digitale Produkte in der EU zu schaffen. Die DIHK betont, dass dies das Vertrauen, die Wettbewerbsfähigkeit und die Produktsicherheit im digitalen Binnenmarkt stärkt. Gleichzeitig warnt sie vor erheblichen organisatorischen, technischen und finanziellen Belastungen, insbesondere für kleine und mittlere Unternehmen (KMU), die oft nicht über ausreichende Compliance-Ressourcen verfügen. Die Stellungnahme fordert eine praxisnahe, verhältnismäßige und unterstützende Umsetzung der Vorgaben, um Überforderung und Wettbewerbsnachteile für KMU zu vermeiden. Besonders ausführlich behandelt werden: (1) die Auswirkungen und Herausforderungen für KMU, (2) die Notwendigkeit koordinierter und verhältnismäßiger Marktüberwachung und Meldepflichten, und (3) die Unterstützung und Information der betroffenen Unternehmen, insbesondere durch Leitfäden, Self-Assessment-Tools und branchenspezifische Angebote. Auch die Rolle von Open-Source-Software und deren Verwaltern wird hervorgehoben.
Tendenz: neutral 🤷♀️
Datum: 27.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e. V.
„Die DWA begrüßt es, dass besonders wichtige Unternehmen und wichtige Unternehmen nicht das gleiche Schutzniveau wie Betreiber Kritischer Anlagen in deren Anlagen-Scope einhalten sollen. Diese Abstufung des Sicherheitsniveaus wurde schon im Branchenstandard Wasser/Abwasser vorgesehen.“
Die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e. V. (DWA) bewertet den Gesetzentwurf zur Durchführung der EU-Verordnung 2024/2847 (Cyberresilienz-Verordnung) grundsätzlich positiv, insbesondere die abgestufte Behandlung von Unternehmen nach ihrem Risiko. Die DWA fordert eine klare organisatorische Trennung der Aufgaben beim Bundesamt für Sicherheit in der Informationstechnik (BSI), um Interessenkonflikte zu vermeiden, und betont die Notwendigkeit praxistauglicher Melde- und Informationsprozesse für Betreiber Kritischer Infrastrukturen (KRITIS). Besonders hervorgehoben werden (1) die klare Abgrenzung und Verzahnung mit bestehenden Regelwerken wie NIS2 und BSIG zur Vermeidung von Doppelmeldungen, (2) die Berücksichtigung der besonderen Anforderungen der Wasserwirtschaft und deren OT-Systeme (Operational Technology) in der Marktüberwachung und bei Tests, sowie (3) der Schutz sensibler KRITIS-Informationen und die Unterstützung kleiner und mittlerer Unternehmen (KMU) durch gezielte Maßnahmen und ein Reallabor für Cybersicherheit.
Tendenz: zustimmend 👍
Datum: 01.04.2026
Lobbyregister-Nr.: R001008 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 227557032517-09 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Deutscher Industrieverband SPECTARIS
„Die allgemeine Kooperationspflicht reicht für die Praxis nicht aus. Hersteller benötigen eine klare Anlaufstruktur, an wen sie sich im Zweifelsfall wenden und wessen Entscheidung bindend ist.“
Der Deutsche Industrieverband SPECTARIS begrüßt grundsätzlich die zügige Umsetzung des Gesetzes zur Durchführung der EU-Cyberresilienz-Verordnung (CRA) in Deutschland, sieht jedoch in mehreren Punkten erheblichen Nachbesserungsbedarf. Besonders betroffen sind die Branchen Medizintechnik, Analysegeräte und Laborinstrumente, Photonik und Lasertechnik sowie Augenoptik und Optometrie. SPECTARIS kritisiert vor allem die fehlende Koordination bei der Marktüberwachung zwischen verschiedenen Behörden (z.B. Bundesamt für Sicherheit in der Informationstechnik (BSI), Länderbehörden und Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM)), unklare und potenziell zu knappe Kapazitäten für Konformitätsbewertungsstellen (Stellen, die die Einhaltung von Vorschriften prüfen und zertifizieren), sowie die fehlende Abstimmung mit dem geplanten KI-Durchführungsgesetz (zur Umsetzung der EU-KI-Verordnung, AI Act). Besonders hervorgehoben wurden: 1) Die Notwendigkeit einer klaren Koordinationsregelung bei paralleler Marktüberwachung (CRA und MDR), 2) die Risiken und Engpässe beim Aufbau von Konformitätsbewertungsstellen, und 3) die fehlende Abstimmung mit dem KI-Durchführungsgesetz für Produkte, die mehreren Regimen unterliegen. SPECTARIS fordert unter anderem die Benennung eines Clearingverfahrens, einen verbindlichen Zeitplan für den Aufbau der Bewertungsstellen und eine explizite Koordinationsklausel für doppelt regulierte Produkte.
Tendenz: neutral 🤷♀️
Datum: 02.04.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Gesamtverband der Deutschen Versicherungswirtschaft e. V.
„Die Versicherungswirtschaft erachtet eine sektorspezifische Ausnahme von den Anforderungen aus der Cyber-Resilienz-Verordnung – aufgrund der weitreichenden Regulierung durch den Digital Operational Resilience Act (DORA) – weiterhin für geboten und setzt sich auf europäischer Ebene dafür ein.“
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) begrüßt die Möglichkeit zur Stellungnahme zum Gesetzentwurf zur Durchführung der EU-Verordnung 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung, kurz CRA). Der Verband betont die Notwendigkeit einer sektorspezifischen Ausnahme für die Versicherungswirtschaft, da diese bereits umfassend durch den Digital Operational Resilience Act (DORA) reguliert wird. Besonders hervorgehoben wird die Forderung nach einer klareren und expliziten Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei der Umsetzung der neuen Anforderungen, um die Aufsichtsexpertise der BaFin im Finanzsektor angemessen einzubinden. Drei besonders ausführlich thematisierte Aspekte sind: 1) die Forderung nach einer sektorspezifischen Ausnahme für Versicherungsunternehmen, 2) die Notwendigkeit der Konkretisierung der Zusammenarbeit zwischen BSI und BaFin, und 3) die Einbindung der BaFin bei marktüberwachungsbezogenen Maßnahmen mit Relevanz für den Finanzsektor.
Tendenz: ablehnend 👎
Datum: 02.04.2026
Lobbyregister-Nr.: R000774 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 6437280268-55 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Gewerkschaft der Polizei (GdP)
„Die strukturelle Verbesserung der digitalen Sicherheitsarchitektur durch verbindliche Herstellerpflichten ist eine notwendige Voraussetzung für eine zukunftsfähige Polizeiarbeit im digitalen Raum.“
Die Gewerkschaft der Polizei (GdP) bewertet den Gesetzentwurf zur Durchführung der EU-Verordnung über horizontale Cybersicherheitsanforderungen (Cyber Resilience Act, CRA) grundsätzlich positiv. Sie begrüßt insbesondere die Stärkung der Cybersicherheit über den gesamten Lebenszyklus digitaler Produkte. Die GdP hebt hervor, dass verpflichtende Sicherheitsstandards ('Security by Design' und 'Security by Default') die Prävention von Cyberkriminalität verbessern und die Arbeit der Polizei durch bessere Dokumentationspflichten und ein effektiveres Schwachstellenmanagement erleichtern. Kritisch sieht die GdP jedoch den erheblichen administrativen Mehraufwand und die Herausforderungen bei der Durchsetzung gegenüber Herstellern außerhalb der EU. Sie fordert daher zusätzliche personelle und technische Ressourcen sowie eine praxisnahe Ausgestaltung der Meldeverfahren. Besonders ausführlich thematisiert werden: 1. Die Effizienzgewinne für die Polizei durch verbesserte Cybersicherheitsstandards, 2. Die Risiken durch administrativen Mehraufwand und internationale Durchsetzung, 3. Die Notwendigkeit einer praktikablen Umsetzung und ausreichender Ressourcen.
Tendenz: zustimmend 👍
Datum: 01.04.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.
„Der Cyber Resilience Act erkennt Open Source Software als sicherheitsrelevanten Bestandteil digitaler Infrastruktur an und geht differenziert auf die besonderen Anforderungen und Konstellationen der Open-Source-Branche ein. Daher muss auch das Durchführungsgesetz zur Cyberresilienz-Verordnung die Besonderheiten des Open-Source-Ökosystems aufgreifen und berücksichtigen und damit der Intention des CRA entsprechen.“
Die Open Source Business Alliance (OSBA) begrüßt grundsätzlich das Ziel des Cyber Resilience Act (CRA), die Sicherheitsstandards für IT-Produkte zu erhöhen, und hebt die zentrale Rolle von Open Source Software für digitale Souveränität hervor. Die Stellungnahme fordert, dass das Durchführungsgesetz zur Cyberresilienz-Verordnung die Besonderheiten des Open-Source-Ökosystems berücksichtigt. Insbesondere werden drei Aspekte ausführlich behandelt: Erstens die Notwendigkeit gezielter Unterstützung für Open-Source-Hersteller und sogenannte Open Source Software Stewards (Organisationen, die Open-Source-Komponenten pflegen), da diese oft über begrenzte Ressourcen verfügen und neue regulatorische Anforderungen erfüllen müssen. Zweitens wird die Streichung einer Regelung gefordert, die Widerspruch und Klage gegen Entscheidungen der Marktüberwachungsbehörde keine aufschiebende Wirkung einräumt, da dies die betroffenen Akteure unverhältnismäßig belasten würde. Drittens wird betont, dass das BSI bei der Umsetzung des CRA und beim Betrieb von Meldeportalen und Beschwerdestellen ausschließlich digital souveräne Open-Source-Lösungen einsetzen sollte, um Datenschutz und Unabhängigkeit von außereuropäischen Anbietern zu gewährleisten. Besonders hervorgehoben werden: 1) Die Unterstützung und Berücksichtigung der besonderen Strukturen und Herausforderungen von Open Source Software Stewards, 2) die Forderung nach aufschiebender Wirkung bei Rechtsmitteln gegen behördliche Entscheidungen, und 3) die Nutzung digital souveräner Open-Source-Lösungen bei der Umsetzung des CRA.
Tendenz: zustimmend 👍
Datum: 02.04.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 PHAGRO | Bundesverband des pharmazeutischen Großhandels e. V.
„Die aktuelle Bedrohungslage durch insbesondere KI-gestützte Cyberangriffe macht deutlich, dass Versorgungssicherheit und Cybersicherheit untrennbar miteinander verbunden sind. Die nationale Umsetzung der Cyberresilienz-Verordnung muss diese neue Dynamik ausdrücklich berücksichtigen.“
Der PHAGRO, der Bundesverband des pharmazeutischen Großhandels, begrüßt grundsätzlich den Gesetzentwurf zur Umsetzung der EU-Cyberresilienz-Verordnung, die horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Der Verband betont die zentrale Bedeutung digitaler Systeme für die Arzneimittelversorgung und fordert, dass die Marktüberwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Versorgungssicherheit stärker berücksichtigt. Besonders hervorgehoben werden: 1) Die Notwendigkeit, bei Marktüberwachungsmaßnahmen die Auswirkungen auf kritische Lieferketten und die Arzneimittelversorgung zu bedenken, 2) die Risiken eines pauschalen Sofortvollzugs ohne differenzierte Betrachtung für Betreiber kritischer Infrastrukturen, und 3) die Forderung, dass Unterstützungsmaßnahmen des BSI auch spezifische Anforderungen von Betreibern kritischer Lieferketten, insbesondere im Gesundheitswesen, einbeziehen. Der PHAGRO mahnt an, dass Cybersicherheitsmaßnahmen nicht zu neuen Risiken oder Engpässen in der Versorgung führen dürfen und fordert eine konsistente Umsetzung mit bestehenden IT-Sicherheitsanforderungen.
Tendenz: zustimmend 👍
Datum: 02.04.2024
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Verband der Elektro- und Digitalindustrie (ZVEI)
„Nur mit einer leistungsfähigen Marktüberwachung können faire Wettbewerbsbedingungen und eine glaubwürdige Durchsetzung der CRA-Anforderungen gewährleistet werden.“
Der Verband der Elektro- und Digitalindustrie (ZVEI) bewertet den Gesetzentwurf zur Durchführung der EU-Verordnung 2024/2847 (Cyber Resilience Act, CRA), die europaweit verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt. ZVEI begrüßt die Zielsetzung des Gesetzes und die Benennung des Bundesamts für Sicherheit in der Informationstechnik (BSI) als zentrale Marktüberwachungsbehörde. Besonders betont werden die Notwendigkeit einer starken, fachkundigen und ausreichend ausgestatteten Marktüberwachung, die Vermeidung von Interessenkonflikten innerhalb des BSI durch eine klare Trennung von Aufgaben (z. B. Marktüberwachung, Notifizierung, Unterstützung), sowie die regelmäßige Überprüfung und Anpassung der personellen und sachlichen Ausstattung des BSI an den tatsächlichen Bedarf. ZVEI hebt hervor, dass Unterstützungsangebote wie Schulungen und Reallabore sinnvoll sind, aber nicht zulasten der Kernaufgabe Marktüberwachung gehen dürfen. Drei besonders ausführlich thematisierte Aspekte sind: 1) die personelle und sachliche Ausstattung des BSI, 2) die Vermeidung von Interessenkonflikten durch funktionale Trennung im BSI, und 3) die praktische Umsetzbarkeit und Weiterentwicklung des CRA, einschließlich konkreter Änderungsvorschläge für die Auslegung und Anwendung.
Tendenz: zustimmend 👍
Datum: 31.03.2026
Lobbyregister-Nr.: R002101 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 94770746469-09 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Verband Deutscher Maschinen- und Anlagenbau (VDMA) e.V.
„Die wirksame Durchführung der Marktüberwachung hat einen großen Einfluss auf den fairen Wettbewerb und die Art und Weise, wie die Europäische Union im globalen Kontext wahrgenommen wird.“
Der Verband Deutscher Maschinen- und Anlagenbau (VDMA) äußert sich zum Gesetzentwurf zur Durchführung der EU-Verordnung 2024/2847 (Cyber Resilience Act, CRA). Der VDMA begrüßt grundsätzlich die Übertragung der Marktüberwachung für Produkte mit digitalen Elementen an das Bundesamt für Sicherheit in der Informationstechnik (BSI), da dies aus Sicht des Verbands zu mehr Effizienz und Wirksamkeit führt. Gleichzeitig fordert der VDMA eine klare Regelung der Zuständigkeiten zwischen Bundes- und Landesbehörden, um Reibungsverluste und Unsicherheiten zu vermeiden. Besonders ausführlich thematisiert werden: 1) Die Gefahr von Interessenkonflikten beim BSI, das sowohl technische Spezifikationen erstellt als auch als Konformitätsbewertungsstelle agiert; 2) Die Anforderungen und Verfahren zur Notifizierung und Akkreditierung von Konformitätsbewertungsstellen, wobei der VDMA eine einheitliche Anwendung ohne zusätzliche nationale Anforderungen fordert; 3) Die Unterstützung der betroffenen Wirtschaftsakteure, insbesondere kleiner und mittlerer Unternehmen, durch Leitfäden und Beratung sowie die Notwendigkeit ausreichender Ressourcen für das BSI, um die Aufgaben effektiv wahrnehmen zu können.
Tendenz: zustimmend 👍
Datum:
Lobbyregister-Nr.: R000802 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 9765362691-45 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Verbraucherzentrale Bundesverband e.V.
„Der Gesetzgeber sollte eine Marktüberwachungsbehörde (MÜB) als zentrale Ansprechpartnerin („single point of contact“) für Verbraucher:innen bestimmen. Die zentrale MÜB erhält als wesentliche Aufgabe einen klaren Informations- und Hilfestellungsauftrag gegenüber der Öffentlichkeit sowie Verbraucher:innen und Bürger:innen.“
Die Stellungnahme des Verbraucherzentrale Bundesverbandes (vzbv) befasst sich mit der Ausgestaltung einer Marktüberwachungsstruktur zur Umsetzung der Cyberresilienz-Verordnung (CRA) in Deutschland. Die CRA verpflichtet Hersteller ab Herbst 2027, IT-Sicherheitsmaßnahmen in vernetzten Produkten wie Smartphones, Smart Watches oder Smart-Home-Geräten zu gewährleisten und Sicherheitsupdates bereitzustellen. Die Überwachung der Einhaltung dieser Vorgaben soll durch Marktaufsichtsbehörden erfolgen. Der vzbv fordert eine zentrale Marktüberwachungsbehörde (MÜB), idealerweise das Bundesamt für Sicherheit in der Informationstechnik (BSI), um Interessenkonflikte zu vermeiden und die Effektivität der Marktaufsicht zu sichern. Besonders betont werden: 1) Die Notwendigkeit einer kohärenten, zentralen Aufsichtsstruktur statt einer Vielzahl von Behörden, 2) die Einrichtung eines zentralen Informations- und Verbraucherrechteportals mit umfassender Aufklärung und praktischer Hilfestellung ('One-Stop-Shop'), und 3) das Monitoring der Updatezeiträume, um sicherzustellen, dass Verbraucher:innen ausreichend lange Sicherheitsupdates erhalten. Die Stellungnahme fordert zudem ausreichende personelle und finanzielle Ressourcen für die zentrale MÜB.
Tendenz: zustimmend 👍
Datum: 01.04.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ VOICE – Bundesverband der IT-Anwender e.V.
„Der im Entwurf konstatierte fehlende Erfüllungsaufwand für die Wirtschaft spiegelt die betriebliche Realität nicht wider. Die Umsetzungserfahrungen aus NIS2 zeigen deutlich, dass regulatorische Folgelasten auch dann erheblich sind, wenn sie formal aus einer EU-Verordnung resultieren.“
VOICE – Bundesverband der IT-Anwender e.V. begrüßt grundsätzlich die schnelle nationale Umsetzung der EU-Cyberresilienz-Verordnung (CRA) und die zentrale Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Marktüberwachungs- und notifizierende Behörde. Die Stellungnahme hebt jedoch hervor, dass der tatsächliche Aufwand für Anwenderunternehmen im Gesetzentwurf unterschätzt wird. Insbesondere wird kritisiert, dass die betrieblichen Belastungen, die durch die Umsetzung der CRA und der NIS2-Richtlinie (EU-Richtlinie zur Netz- und Informationssicherheit) entstehen, nicht ausreichend berücksichtigt werden. VOICE fordert eine realistische Abbildung der Umsetzungslasten, eine frühzeitige Verfügbarkeit notifizierter Konformitätsbewertungsstellen (Prüfstellen, die die Einhaltung der Sicherheitsanforderungen bestätigen) und eine rasche sowie ausreichend ausgestattete Inbetriebnahme des geplanten Reallabors als Unterstützung für Unternehmen. Besonders ausführlich thematisiert werden: (1) die Unterschätzung des Erfüllungsaufwands für Anwenderunternehmen, (2) die Notwendigkeit frühzeitig verfügbarer und ausreichend dimensionierter Konformitätsbewertungsstellen, sowie (3) die Bedeutung und Ausgestaltung des Reallabors als praktische Unterstützung.
Tendenz: neutral 🤷♀️
Datum: 02.04.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Wirtschaftsrat der CDU e.V.
„Der Referentenentwurf stellt insgesamt eine geeignete Grundlage für die nationale Umsetzung des Cyber Resilience Act dar. Entscheidend für den Erfolg wird jedoch sein, die Umsetzung möglichst kohärent, innovationsfreundlich und europarechtskonform auszugestalten.“
Der Wirtschaftsrat der CDU e.V. bewertet den Gesetzentwurf zur nationalen Umsetzung der EU-Verordnung 2024/2847 (Cyber Resilience Act, CRA), die europaweit einheitliche Cybersicherheitsanforderungen für digitale Produkte schaffen soll. Die Stellungnahme begrüßt die schlanke und europarechtskonforme Ausgestaltung des Entwurfs und betont die Bedeutung einer innovationsfreundlichen und praxisnahen Umsetzung. Besonders hervorgehoben werden: 1) Die Notwendigkeit, zusätzliche nationale Anforderungen (sogenanntes Gold Plating) zu vermeiden, um Wettbewerbsnachteile zu verhindern. 2) Der Aufbau eines effizienten und international anschlussfähigen Prüfökosystems für die Konformitätsbewertung, das auf bestehenden Strukturen aufbaut. 3) Die Herausforderungen für Unternehmen, insbesondere durch neue Pflichten zur Schwachstellenüberwachung und -meldung, sowie der Bedarf an klaren Unterstützungsmaßnahmen und ausreichenden Prüfkapazitäten. Die Stellungnahme fordert eine frühzeitige Bereitstellung von Leitlinien und Unterstützungsinstrumenten, eine transparente Marktüberwachung und eine klare Kommunikation über Zertifizierungen. Auch die Unterstützung für kleine, mittlere und größere Unternehmen sowie die Ausgestaltung eines sogenannten Reallabors werden ausführlich diskutiert.
Tendenz: zustimmend 👍
Datum:
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Zentralverband des Deutschen Handwerks
„Die angestrebte Verbesserung der Cybersicherheit darf nicht zu unverhältnismäßigen bürokratischen Belastungen für kleine und mittlere Betriebe führen. Eine mittelstandsgerechte Ausgestaltung der Regelungen ist daher zwingend erforderlich.“
Der Zentralverband des Deutschen Handwerks (ZDH) äußert sich zum Gesetzentwurf zur Durchführung der EU-Verordnung 2024/2847, die ein einheitliches und hohes Niveau der Cybersicherheit (Cyberresilienz) in der EU schaffen soll. Der ZDH begrüßt grundsätzlich das Ziel, die Cybersicherheit zu stärken und digitale Angriffsflächen zu reduzieren. Besonders positiv bewertet wird die zentrale Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Marktüberwachungs- und notifizierende Behörde sowie die geplanten Unterstützungsangebote für kleine und mittlere Unternehmen (KMU). Gleichzeitig kritisiert der ZDH, dass der Gesetzentwurf keine ausreichende Entlastung für KMU vorsieht und stattdessen zusätzliche bürokratische Belastungen drohen. Der Verband warnt davor, dass regulatorische Pflichten über Lieferketten an KMU weitergereicht werden könnten, wie es bereits bei anderen Gesetzen (z.B. Lieferkettensorgfaltspflichtengesetz) der Fall war. Der ZDH fordert daher explizite Ausnahmen für KMU von bestimmten Pflichten, insbesondere bei der Konformitätsprüfung und Berichtspflichten. Außerdem betont er, dass Informations- und Unterstützungsmaßnahmen des BSI eng mit den Handwerksorganisationen abgestimmt werden sollten, um eine wirksame Unterstützung zu gewährleisten. Drei besonders hervorgehobene Aspekte sind: 1) Die Gefahr zusätzlicher Bürokratie für KMU und die Forderung nach Ausnahmen, 2) die Rolle des BSI und die Bedeutung zielgerichteter Unterstützungsmaßnahmen, 3) die Notwendigkeit, Durchreicheffekte von Pflichten über die Lieferkette zu verhindern.
Tendenz: neutral 🤷♀️
Datum: 02.04.2026
Lobbyregister-Nr.: R002265 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 5189667783-94 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
Beratungsverlauf im Bundesrat
| Gesetztyp: | Einspruchsgesetz |
| Drucksache im BR: | 260/26 |
| Eingang im Bundesrat: | 01.05.2026 |
| Status Bundesrat: | Eingegangen |
| Ausschusssitzungen | Sitzungsdatum | Tagesordnung (PDF) |
|---|---|---|
| Ausschuss für Digitales und Staatsmodernisierung | 11.05.2026 | entfällt |
| Ausschuss für Innere Angelegenheiten | 28.05.2026 | Tagesordnung |
Weiterführende Links