Der Cyber Resilience Act (CRA) ist eine unmittelbar anwendbare EU-Verordnung, die erstmals horizontal verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen normiert. Ziel ist die Harmonisierung des Binnenmarkts im Bereich der Produkt-IT-Sicherheit. Der Beitrag beleuchtet systematisch die Einordnung des CRA in das unionsrechtliche Gefüge (va Verhältnis zu NIS2, DSGVO und Produktsicherheits-VO), analysiert seine materiell-rechtlichen und institutionellen Vorgaben und untersucht exemplarisch die nationale Umsetzung in Österreich. Dabei wird insbesondere der behördliche Vollzug, die geplante Sanktionspraxis und die dogmatische Einbettung in das Wirtschafts- und Finanzstrafrecht diskutiert. Der CRA zeigt exemplarisch, wie Cybersicherheitsrecht zu einem zentralen Regulierungsfeld des Binnenmarkts wird und die Compliance-Verantwortung der Wirtschaftsakteure nachhaltig verändert.
