🌍 Ein Déjà-vu aus den Achtzigern

Die EG-Produkthaftungsrichtlinie von 1985 war leise und folgenreich. Hersteller physischer Güter hafteten seitdem für Schäden ihrer Produkte. Wer Produkte baute, musste Sicherheit einplanen – nicht nachliefern. Die Autoindustrie nennt das heute selbstverständlich. Die Softwarewelt hat vier Jahrzehnte gebraucht, um denselben Gedanken zu Ende zu denken.

🔬 Dieselbe Logik, digital

Am 11. September 2026 beginnt Phase 1 des Cyber Resilience Act. Hersteller von Produkten mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen binnen 24 Stunden melden. Eine SBOM – eine maschinenlesbare Stückliste aller verbauten Softwarekomponenten – wird Pflicht. Hersteller stellen Sicherheitsupdates fünf Jahre lang kostenlos bereit. Die Sprache ist vertraut: Stückliste, Rückrufpflicht, Gewährleistungszeitraum. Nur das Produkt ist digital.

🔄 Wo die Analogie weiterträgt

Eine Stückliste für einen Automotor umfasst Tausende Bauteile. Eine SBOM für ein modernes Software-Produkt kann Hunderttausende Abhängigkeiten dokumentieren. Was im Maschinenbau Qualitätssicherung heißt, heißt hier Vulnerability Management. Die Frage dahinter ist dieselbe: Wer verbaut was – und wer haftet, wenn es bricht?

⚠️ Wo sie bricht

Einen defekten Autoreifen kann man nicht über Nacht patchen. Software schon. Das klingt nach Vorteil. Es ist gleichzeitig die Ursache des Problems. Weil Software updatebar ist, wurde Sicherheit jahrzehntelang nachgeliefert statt eingebaut. Der CRA schließt genau diesen Konstruktionsfehler.

💡 Die eigentliche Revolution

Wer denkt, der CRA betreffe Hardware-Konzerne und Industriesoftware, sollte eine Frage stellen: Verkaufen wir Software oder Geräte, die sich mit Netzen verbinden? Dann sind wir Hersteller im Sinne dieser Verordnung. Die stille Revolution ist keine Metapher. Sie beginnt am 11. September 2026.

📚🔍