IT-Sicherheit LIERMANN . Medien TYPO3 Lesezeit: 5 Min.

Was bedeutet der EU Cyber Resilience Act konkret für Ihre TYPO3-Website?

Wir entwickeln und betreiben täglich TYPO3-Websites für Kunden – vom einfachen Corporate-Auftritt bis zu komplexen Portalen. In Gesprächen taucht immer häufiger ein neues Schlagwort auf: EU Cyber Resilience Act (CRA).

Markus K. Liermann
TYPO3 Developer & Product Owner
Was bedeutet der EU Cyber Resilience Act konkret für Ihre TYPO3-Website?

Die offizielle Sprache dazu ist ehrlich gesagt ziemlich sperrig. In diesem Beitrag erklären wir daher ganz praktisch und aus unserer Sicht:

  • Was der CRA überhaupt ist
  • Warum er für Ihre TYPO3-Website relevant ist
  • Was sich im Alltag beim Thema Updates, Sicherheit und Verantwortung ändert
  • Welche 3 konkreten Schritte Sie jetzt gehen sollten

1. Kurz erklärt: Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (Regulation (EU) 2024/2847) ist eine EU-Verordnung, die Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ festlegt. Also für Hardware und Software, die mit einem Netzwerk oder dem Internet verbunden ist. Ziel: Digitale Produkte in Europa sollen von Anfang an sicherer sein und über ihre Lebensdauer gepflegt werden.

Wichtig:

  • Der CRA ist seit 10.12.2024 in Kraft.
  • Er gilt ab 11.12.2027 vollumfänglich. Einzelne Melde- und Dokumentationspflichten greifen bereits ab 2026.

Für Sie übersetzt:
Die EU verlangt künftig verbindlich, dass digitale Produkte sicher entwickelt, dokumentiert und über einen klar definierten Zeitraum mit Sicherheitsupdates versorgt werden.

2. Zählt eine TYPO3-Website überhaupt als „Produkt“?

Die Verordnung spricht von „Produkten mit digitalen Elementen“. Darunter fallen laut EU nicht nur Geräte, sondern auch Softwareprodukte und bestimmte Cloud-Lösungen, wenn sie als Produkt am Markt bereitgestellt werden.

Wie passt hier TYPO3 hinein?

  • TYPO3 selbst ist ein freies Open-Source-CMS, das von einer Community und der TYPO3 Association entwickelt wird.
  • Der CRA sagt: Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird, soll grundsätzlich nicht unter die Verordnung fallen.
  • Sobald diese Software aber im Rahmen einer kommerziellen Leistung eingesetzt wird (z. B. als bezahlte Website, Plattform, SaaS-Angebot, Support), greifen Pflichten für den Anbieter, der diese Lösung „als Produkt“ liefert.

Ihr Vorteil:

Sie müssen das juristisch nicht im Detail einordnen. Wichtig ist:

Wenn Sie eine TYPO3-Website von uns (oder einem anderen Dienstleister) beauftragen und geschäftlich nutzen, spielen die Regeln des CRA künftig eine Rolle, sowohl für uns als Anbieter als auch für Ihre Entscheidungen.

3. Was ändert sich konkret für TYPO3-Websites?

Schauen wir auf die Punkte, die in der Praxis wirklich relevant sind.

3.1 TYPO3-Versionen & Sicherheitsupdates

TYPO3 hat schon heute einen klaren Release- und Support-Zyklus:

  • Alle ca. 18 Monate erscheint eine neue LTS-Version.
  • LTS-Versionen (Long Term Support) erhalten mindestens drei Jahre lang Bugfixes und Sicherheitsupdates; danach gibt es optional verlängerten Support.

Mit dem CRA wird dieser Zyklus noch wichtiger:

  • Eine TYPO3-Website auf einer nicht mehr unterstützen Version bedeutet: keine offiziellen Sicherheitsupdates mehr → erhöhtes Risiko.
  • Künftig wird stärker erwartet, dass verantwortliche Anbieter aktiv dafür sorgen, dass eingesetzte Software innerhalb des Supportzeitraums bleibt – oder bewusst andere Schutzmaßnahmen treffen.

Für Sie heißt das:

Die Frage „Läuft meine Website auf einer noch unterstützten TYPO3-Version?“ wird zu einer Compliance-Frage, nicht nur zu einer technischen.

3.2 Extensions und individuelle Erweiterungen

Kaum eine TYPO3-Website läuft mit dem Kernsystem alleine. In der Regel nutzen wir:

  • offizielle oder Community-Extensions
  • Erweiterungen von Drittanbietern
  • eigens für Sie entwickelte Module

Mit dem Cyber Resilience Act rücken diese Bausteine stärker in den Fokus:

  • Wir müssen genauer dokumentieren, welche Komponenten wir einsetzen.
  • Wir müssen beobachten, ob es Sicherheitsmeldungen zu diesen Komponenten gibt.
  • Wir müssen klären, wie schnell wir Updates einspielen oder wie wir mit veralteten Komponenten umgehen.

Für Sie ist wichtig:

„Kann diese Extension weiter sicher betrieben werden?“ wird zu einer Frage, die wir Ihnen klar beantworten sollten – inklusive Plan B, wenn nicht.

3.3 Software Bill of Materials (SBOM) – „Stückliste“ für Ihre Website

Der CRA fordert für Produkte mit digitalen Elementen u. a. eine Software Bill of Materials (SBOM) – also eine Art „Stückliste“, welche Software-Bausteine in einem Produkt stecken.

Auf eine TYPO3-Website übertragen bedeutet das:

  • Auflistung von
    • TYPO3-Core-Version
    • installierten Extensions (mit Versionsstand)
    • wichtigen Bibliotheken/Abhängigkeiten
  • Diese Informationen werden gepflegt und aktualisiert, wenn sich etwas ändert.

Der Mehrwert für Sie:

  • Mehr Transparenz: Sie wissen, was eigentlich unter der Haube Ihrer Website läuft.
  • Besserer Überblick bei Sicherheitsfragen: Wenn eine Lücke bekannt wird, können wir schnell sehen, ob Ihre Installation betroffen ist.

Die Dokumentationslösung haben wir dafür bereits entwickelt und ebenfalls eine für Sie zugängliche Plattform geschaffen.

3.4 Umgang mit Sicherheitslücken & Vorfällen

Der CRA schreibt Herstellern und Anbietern einen systematischen Umgang mit Schwachstellen vor: Auffinden, bewerten, schließen, dokumentieren.

Für TYPO3-Websites heißt das für uns z. B.:

  • Wir beobachten die TYPO3-Security-Advisories und relevante Quellen regelmäßig.
  • Wir definieren klare Prozesse:
    • Wie schnell spielen wir sicherheitsrelevante Updates ein?
    • Wie informieren wir Sie über kritische Lücken?
    • Was passiert, wenn eine Erweiterung keine Updates mehr erhält?
  • Wir dokumentieren, wann welche Sicherheitsupdates eingespielt wurden.

Sie profitieren davon, dass Sicherheit kein „Best Effort“ mehr ist, sondern strukturiert abläuft.

3.5 Transparenz gegenüber Ihnen als Kunde

Ein wichtiger Gedanke des Cyber Resilience Act ist:

Kunden sollen verstehen können, wie lange ein Produkt sicher unterstützt wird.

Auf TYPO3 übertragen wollen wir Ihnen u. a. folgendes klar sagen können:

  • Welche TYPO3-Version ist im Einsatz?
  • Bis wann wird diese Version voraussichtlich mit Sicherheitsupdates versorgt?
  • Welche geplanten Upgrade-Zeitpunkte ergeben sich daraus?
  • Wie gehen wir mit Extensions um, die keinen Support mehr erhalten?

So können Sie Ihre Budgets und Zeitpläne besser planen – und wissen frühzeitig, wann ein Upgrade sinnvoll oder notwendig wird.

4. Und wie wirkt sich der Zeitplan des CRA auf Ihre Planung aus?

Zur Einordnung:

  • Seit Ende 2024 steht der CRA offiziell im EU-Rechtsrahmen.
  • Ab 2026 greifen erste Melde- und Dokumentationspflichten.
  • Ab 11.12.2027 müssen neue Produkte mit digitalen Elementen den CRA vollständig erfüllen, um in der EU in Verkehr gebracht zu werden.

Für eine bestehende TYPO3-Website bedeutet das nicht, dass sie über Nacht „illegal“ wird. Aber:

  • Neue Projekte werden wir von Anfang an mit CRA-Anforderungen im Hinterkopf planen.
  • Bei laufenden Installationen lohnt es sich, die nächsten 2–3 Jahre zu nutzen, um
    • auf eine unterstützte TYPO3-Version zu kommen,
    • die Update-Prozesse zu schärfen,
    • Transparenz über Komponenten und Supportlaufzeiten herzustellen.

5. Drei konkrete Dinge, die Sie als TYPO3-Kunde jetzt tun können

Sie müssen kein Rechtstext-Profi werden. Es reicht, wenn Sie ein paar klare Fragen stellen – an uns oder an Ihren aktuellen Dienstleister.

1. TYPO3-Version & Supportstatus klären

Fragen Sie konkret:

  • Welche TYPO3-Version läuft aktuell?
  • Ist diese Version noch offiziell im Sicherheits-Support?
  • Wenn nein: Welcher Upgrade-Pfad ist sinnvoll, und in welchem Zeitfenster?

2. Update-Strategie besprechen

Klären Sie:

  • Wie oft werden Updates eingespielt (Core + Extensions)?
  • Wie wird über sicherheitsrelevante Updates entschieden?
  • Wie schnell reagieren wir auf kritische Sicherheitslücken?

Hier geht es darum, aus „wir machen gelegentlich Updates“ einen klaren Prozess zu machen.

3. Transparenz über Komponenten einfordern

Bitten Sie um eine einfache Übersicht:

  • Welche Extensions sind installiert?
  • Welche davon sind kritisch (Login, Formulare, Schnittstellen etc.)?
  • Gibt es Komponenten, die keine Updates mehr erhalten und perspektivisch ersetzt werden sollten?

Damit haben Sie eine Basis, um informierte Entscheidungen zu treffen – auch im Hinblick auf den Cyber Resilience Act.

Fazit: Der CRA macht Ihre TYPO3-Website nicht komplizierter – aber bewusster

Der EU Cyber Resilience Act ist kein „reines IT-Thema“, sondern betrifft ganz konkret, wie Sie Ihre TYPO3-Website planen, betreiben und weiterentwickeln:

  • Sicherheit, Updates und Transparenz werden verbindlicher eingefordert.
  • TYPO3 bringt mit seinem klaren LTS-Modell und der starken Community bereits gute Voraussetzungen mit.
  • Entscheidend ist, wie konsequent Ihr Dienstleister (also wir oder ein anderer) diese Möglichkeiten nutzt und entlang der CRA-Logik strukturiert.

Unser Fazit aus Projektsicht:

Eine TYPO3-Website, die regelmäßig gepflegt wird, auf einer unterstützten Version läuft

und bei der wir transparent mit Komponenten und Updates umgehen,

ist nicht nur sicherer – sie ist auch besser auf den Cyber Resilience Act vorbereitet.

Konkrete Empfehlung zum Schluss:

  1. Lassen Sie Ihre aktuelle TYPO3-Installation einmal kurz bewerten (Version, Supportstatus, kritische Extensions).
  2. Planen Sie – wenn nötig – rechtzeitig ein Upgrade auf eine aktuelle LTS-Version ein.
  3. Vereinbaren Sie eine klare Update- und Sicherheitsstrategie, die auch die kommenden CRA-Anforderungen mitdenkt.

 

Tags:

  • Software-Entwicklung
  • Product Owner
  • Management
  • CMS
  • TYPO3
  • Upgrade
Zurück

Ähnliche Artikel

Jetzt Kontakt aufnehmen