Produktsicherheitsrecht 2026 – Was ist neu?

Die EU-Verordnung zur Allgemeinen Produktsicherheit (EU) 2023/988 (GPSR) gilt bereits seit dem 13. Dezember 2024 vollständig. Für 2026 entstehen damit keine neuen Pflichten – die GPSR ist dennoch entscheidend, weil die Umsetzung in vielen Organisationen noch nicht durchgängig erfolgt und die Digitalisierung der Marktüberwachung die Entdeckenswahrscheinlichkeit von falschen oder fehlenden Kennzeichnungen erhöht.

Betroffen sind Hersteller, Importeure, Händler und Online-Marktplatzbetreiber. Ziel ist, dass nur sichere Produkte auf dem EU-Markt bereitgestellt werden. Grundlage ist eine dokumentierte Risikoanalyse, die Gefahren, Risikoabschätzung und ggf. Gegenmaßnahmen umfasst. Produkt bzw. Verpackung müssen Name, Kontaktadresse und elektronische Adresse des Verantwortlichen tragen (z. B. Hersteller, Importeur oder „Quasi-Hersteller“) sowie eine eindeutige Identifikation (Modell/Charge/Seriennummer). Wenn Gefahren nachträglich bekannt werden, muss ein Rückrufprozess festgelegt sein. Importeure müssen einen EU-Verantwortlichen für Produkte aus Drittstaaten benennen und Produktinformationen müssen digital bereitgestellt werden (Stichwort Digitaler Produktpass DPP).

Mit der Produkthaftungsrichtlinie 2024/2835 (PLD) wird der Produktbegriff erweitert – er umfasst künftig auch digitale Produkte. Dadurch ergeben sich Haftungen u. a. für Softwarefehler und Updates. Die Richtlinie trat am 09.12.2024 in Kraft, ein deutsches Umsetzungsgesetz muss bis spätestens 09.12.2026 verabschiedet sein.

Für Unternehmen ergibt sich daraus die Empfehlung, eine Haftungsanalyse für digitale Produkte und KI-Systeme durchzuführen und eine Dokumentation zur Beweisführung zu erstellen, die auch Updates und Softwareversionen enthält. Angesichts möglicherweise erweiterter Haftungsrisiken ist es zudem ratsam, den Versicherungsschutz zu prüfen.

Mit der EU-Richtlinie zur Netzwerk- und Informationssicherheit 2022/2555 (NIS2) sowie dem deutschen Umsetzungsgesetz sind nach Verzögerungen nun zentrale Verpflichtungen für Unternehmen relevant: Obwohl die Umsetzung bis 17.10.2024 hätte erfolgen müssen, trat sie am 06.12.2025 in Kraft. Ab Beginn des Jahres 2026 müssen ca. 30.000 Unternehmen beim BSI registriert sein, Sicherheitsvorfälle melden sowie Risikomanagementmaßnahmen implementieren und dokumentieren. Das BSI empfiehlt, den Account bei „Mein Unternehmenskonto“ anzulegen, um sich ab Anfang 2026 mit dem MUK-Nutzerkonto beim BSI-Portal zu registrieren. Das BSI-Portal ist am/seit 06. Januar 2026 freigeschaltet und dient u. a. als Meldestelle für erhebliche Sicherheitsvorfälle.

NIS2 betrifft Unternehmen u. a. aus den Sektoren Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement und öffentliche Verwaltung, mittelbar aber auch deren Lieferketten. Hinzu kommen weitere kritische Sektoren wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten, digitale Anbieter und Forschungseinrichtungen.
WEITERE INFOS

Parallel dazu setzt der Cyber Resilience Act 2024/2847 (CRA) auf verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen, um Cybersicherheit in der EU zu erhöhen. Der CRA trat am 09.12.2024 in Kraft, die vollständige Umsetzung erfolgt schrittweise bis Ende 2027. Er gilt für Produkte mit digitalen Elementen (z. B. Smartphones, Laptops, Smarthome-Produkte, Software) – ausgenommen ist nur nicht-kommerzielle Open-Source-Software. Hersteller müssen Sicherheitsupdates über die Lebensdauer bereitstellen und Schwachstellen melden. Zudem ist eine Konformitätserklärung notwendig; je nach Produktkategorie erfolgt dies über Selbstbewertung oder eine Drittstelle.

Für die CE-Kennzeichnung ab 2027 werden bereits ab 11.06.2026 sogenannte Notified Bodies offiziell gemeldet. Ab dem 11.09.2026 gelten Meldepflichten: Hersteller, Importeure und Händler müssen Cybersicherheitsschwachstellen auch für Produkte, die bereits auf dem Markt sind, innerhalb von 24 Stunden nach Bekanntwerden melden; eine Follow-up-Meldung mit Details muss innerhalb von 72 Stunden erfolgen. Meldestellen sind ENISA und nationale CSIRTs.
WEITERE INFOS

Für die CE-Kennzeichnung ist außerdem vor der Bereitstellung auf dem Markt eine Risikoanalyse durchzuführen, die zum Schutz vor unbefugtem Zugriff und zur Minimierung von Schäden bei Cybersicherheitsvorfällen beitragen soll. Sie ist Teil der technischen Dokumentation und dient als Nachweis gegenüber Marktüberwachungsbehörden. Hersteller müssen bis 11.09.2026 Prozesse einführen, die Schwachstellen systematisch identifizieren, bewerten, beheben und Maßnahmen koordinieren.

Mit der KI-Verordnung 2024/1689 (AI Act) treten 2026 weitere Anforderungen in Kraft – insbesondere für Hochrisiko-KI. Hochrisiko-KI umfasst KI-Systeme, die als Sicherheitsbauteile eines Produkts verwendet werden, das unter Harmonisierungsrechtsvorschriften der Union fällt (Art. 6; Anhang I), z. B. Maschinen, Spielzeuge, Aufzüge, Seilbahnen, Funkanlagen usw. Zusätzlich gelten die in Anhang III genannten Systeme als hochriskant, darunter u. a. KI zur Biometrie- und Emotionserkennung, zur Überwachung und Steuerung kritischer Infrastruktur, für Bildung, Einstellung und Auswahl, Zuweisung öffentlicher Leistungen, Risikobewertung und Preisbildung von Versicherungen, Strafverfolgung sowie Migration/Asyl/Grenzkontrolle (soweit zulässig) und KI in Gerichtsverfahren.

Gemäß Artikel 113 gilt die Verordnung ab dem 02. August 2026. Gleichzeitig gelten Übergangsregelungen:

• Kapitel I und II gelten ab 02. Februar 2025

• Kapitel III Abschnitt 4, Kapitel V, VII und XII sowie Artikel 78 gelten ab 02. August 2025 (außer Artikel 101)

• Artikel 6 Absatz 1 und entsprechende Pflichten gelten ab 02. August 2027
  Daraus folgt:

• Die allgemeinen Anforderungen für Hochrisiko-KI nach Anhang III treten am 02.08.2026 in Kraft.

• Für KI-Systeme, die als Sicherheitskomponenten in regulierten Produkten nach Anhang I fungieren, gilt eine verlängerte Übergangsfrist bis 02.08.2027.
  VERORDNUNGSTEXT