Der Cyber Resilience Act (CRA), offiziell [1], ist seit dem 10. Dezember 2024 geltendes EU-Recht. Die Verordnung legt erstmals horizontal verbindliche Cybersicherheitsanforderungen für alle "Produkte mit digitalen Elementen" fest, die auf dem EU-Binnenmarkt bereitgestellt werden. Betroffen sind Hersteller, Importeure und Händler gleichermaßen - unabhängig von Unternehmensgröße oder Herkunftsland.
Die Übergangsfrist läuft in drei Stufen ab. Wer die Fristen verpasst, riskiert [2] - je nachdem, welcher Betrag höher ist.
Geltungsbereich: Was ist ein "Produkt mit digitalen Elementen"?
Der CRA erfasst Hardware und Software, die direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden kann. [3]: Industrielle Steuerungssysteme, SPS-Steuerungen mit Ethernet-Schnittstelle, Embedded-Firmware, Router, Firewalls, Betriebssysteme, mobile Apps und eigenständige Softwareprodukte fallen ebenso darunter wie getrennt vermarktete Komponenten und die Fernverarbeitungsdienste des Herstellers.
[4] und fallen stattdessen unter die NIS2-Richtlinie. Ebenfalls ausgenommen sind Medizinprodukte, Fahrzeuge mit Typgenehmigung, Luftfahrtprodukte und Rüstungsgüter, die eigenen sektorspezifischen Regelwerken unterliegen. [5].
Achtung White-Labelling: Wer ein Produkt unter eigenem Namen oder eigener Marke vertreibt oder wesentlich verändert, gilt nach Art. 21 CRA als Hersteller – mit dem vollen Pflichtenkatalog. Die Rolle ergibt sich aus der tatsächlichen Lieferkettenfunktion, nicht aus der internen Selbstbeschreibung.
Die drei Fristen im Überblick
Der CRA trat am 10. Dezember 2024 in Kraft und wird in drei Stufen angewendet. Die folgende Tabelle fasst die Meilensteine zusammen:
| Datum | Pflicht | Adressat |
|---|---|---|
| 10. Dez. 2024 | Inkrafttreten der Verordnung (EU) 2024/2847 | Alle Wirtschaftsakteure |
| 11. Juni 2026 | Konformitätsbewertungsstellen (notifizierte Stellen) dürfen Produkte bewerten; Mitgliedstaaten benennen Notifizierungsbehörden | Mitgliedstaaten / Hersteller |
| 11. Sep. 2026 | Meldepflichten live: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen über die ENISA Single Reporting Platform gemeldet werden | Hersteller |
| 11. Dez. 2027 | Volle Anwendbarkeit: alle Cybersicherheitsanforderungen, SBOM, CE-Kennzeichnung, EU-Konformitätserklärung, technische Dokumentation | Hersteller, Importeure, Händler |
Stufe 1 (11. Juni 2026): Notifizierte Stellen
[6]. Erst ab diesem Datum können Hersteller externe Prüfstellen für Produkte der Klassen I und II beauftragen.
Für die Praxis ist relevant: [8]. Hersteller von Klasse-II-Produkten, die eine Drittbewertung benötigen, sollten Kapazitätsengpässe einplanen.
Stufe 2 (11. September 2026): Meldepflichten
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die ENISA Single Reporting Platform (SRP) melden. Die Meldepflicht gilt für alle Produkte mit digitalen Elementen auf dem EU-Markt - [6].
Das dreistufige Meldeverfahren
[9]:
- Frühwarnung (24 Stunden): Sobald ein Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall erlangt, muss innerhalb von 24 Stunden eine erste Meldung erfolgen.
- Vollmeldung (72 Stunden): Innerhalb von 72 Stunden folgt ein detaillierter Bericht mit Schwachstellenbeschreibung, betroffenen Produkten und ergriffenen Gegenmaßnahmen.
- Abschlussbericht: Bei Schwachstellen spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme; bei schwerwiegenden Vorfällen innerhalb eines Monats nach der Erstmeldung.
[9]. In Deutschland ist das BSI die zuständige Koordinierungsstelle. ENISA erhält die Informationen parallel. [9].
Gemeldet werden müssen ausschließlich aktiv ausgenutzte Schwachstellen - also solche, für die belegbare Hinweise auf eine tatsächliche Ausnutzung durch Angreifer vorliegen. Intern entdeckte und behobene Schwachstellen ohne bekannte Ausnutzung unterliegen keiner Meldepflicht, müssen aber im Rahmen des Schwachstellenmanagements dokumentiert werden.
Photo: Lukas Blazek / UnsplashWer ist von der 24-Stunden-Frist ausgenommen?
[6]. Open-Source-Software-Stewards unterliegen generell einem erleichterten Pflichtenkatalog.
Stufe 3 (11. Dezember 2027): Volle Anwendbarkeit
Ab dem 11. Dezember 2027 müssen alle Produkte mit digitalen Elementen, die neu auf den EU-Markt gebracht werden, sämtliche CRA-Anforderungen erfüllen. Dazu gehören:
- Security by Design und Security by Default: Produkte müssen mit sicherer Standardkonfiguration ausgeliefert werden, die Angriffsfläche ist zu minimieren, Daten sind zu verschlüsseln.
- Schwachstellenmanagement: Hersteller müssen Sicherheitsupdates über die gesamte Produktlebensdauer bereitstellen und einen Coordinated Vulnerability Disclosure (CVD)-Prozess einrichten.
- SBOM (Software Bill of Materials): Maschinenlesbare Stückliste aller Softwarekomponenten, mindestens Top-Level-Abhängigkeiten.
- Technische Dokumentation: Umfassende Dokumentation nach Anhang VII CRA, 10 Jahre aufzubewahren.
- EU-Konformitätserklärung und CE-Kennzeichnung: Erstmals deckt die CE-Kennzeichnung auch Cybersicherheitsanforderungen ab.
Produktklassen: Welches Konformitätsverfahren gilt?
[8]:
| Klasse | Beispiele | Konformitätsbewertung | Bußgeldrahmen (max.) |
|---|---|---|---|
| Standard (~90 % aller Produkte) | Einfache IoT-Geräte, vernetzte Haushaltsgeräte, Standard-Apps, einfache SPS | Selbstbewertung (Modul A) | 15 Mio. € / 2,5 % Umsatz |
| Wichtig Klasse I (Anhang III) | Passwortmanager, VPN-Clients, Netzwerk-Monitoring, Identitätsmanagementsysteme | Selbstbewertung möglich, wenn harmonisierte Norm angewendet wird; sonst Drittbewertung | 15 Mio. € / 2,5 % Umsatz |
| Wichtig Klasse II (Anhang III) | Betriebssysteme, Hypervisoren, Firewalls, Router, industrielle Steuerungen (höhere Kritikalität) | Notifizierte Stelle zwingend erforderlich | 15 Mio. € / 2,5 % Umsatz |
| Kritisch (Anhang IV) | Hardware-Sicherheitsmodule (HSM), intelligente Zähler, Smartcards, Root-CA-Produkte | Europäisches Cybersicherheitszertifikat (EU Cybersecurity Act) | 15 Mio. € / 2,5 % Umsatz |
Wichtig für Klasse-I-Produkte: [5]. CEN/CENELEC und ETSI arbeiten an der Schließung dieser Normungslücken.
SBOM: Die Software-Stückliste als Pflichtartefakt
Ab dem 11. Dezember 2027 ist eine maschinenlesbare Software Bill of Materials (SBOM) für alle Produkte mit digitalen Elementen verpflichtend. [10]. Als Formate haben sich [11]; beide werden von der BSI-Technischen Richtlinie TR-03183-2 anerkannt.
Für Unternehmen ohne eigene Softwareentwicklung gilt: [13]. Die SBOM-Anforderung verlagert Verantwortung entlang der gesamten Lieferkette.
Pflichten nach Rolle: Hersteller, Importeur, Händler
[14].
Hersteller tragen den umfangreichsten Pflichtenkatalog: Risikobewertung, Security by Design, SBOM, Schwachstellenmanagement, Meldepflichten, technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung.
Importeure (in der EU ansässige Unternehmen, die Produkte aus Drittländern erstmals in den EU-Markt einführen) müssen [5]. [5].
Händler (rein distributive Funktion, keine Veränderung des Produkts) haben eine [15]. Bei Hinweisen auf nicht-konforme Produkte sind Hersteller und Behörden zu informieren; der Verkauf ist gegebenenfalls einzustellen.
[5] - mit allen daraus resultierenden Pflichten.
Sanktionen: Gestaffelter Bußgeldrahmen
[2]:
- Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes (je höher): Verstöße gegen die wesentlichen Cybersicherheitsanforderungen (Anhang I) und Schwachstellenhandling-Pflichten.
- Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes: Verstöße gegen andere Pflichten der Wirtschaftsakteure sowie Anforderungen an EU-Konformitätserklärungen.
- Bis zu 5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes: Falsche, unvollständige oder irreführende Angaben gegenüber notifizierten Stellen oder Marktüberwachungsbehörden.
Zusätzlich zu Bußgeldern können [14].
Praxisrelevanz: Kundenfragebögen und Lieferkette
In der Praxis erhalten Hersteller bereits heute Fragebögen von Kunden und Einkaufsabteilungen zur CRA-Konformität ihrer Produkte. [5].
Für Unternehmen mit bestehender IEC-62443-Basis gilt: [5], da viele Governance-Anforderungen bereits abgedeckt sind. Die produktspezifischen Pflichten - CE-Kennzeichnung, maschinenlesbare SBOM und 24-Stunden-Meldepflicht - lassen sich jedoch nicht aus einem bestehenden Managementsystem ableiten.
Interaktiver Schnellcheck: Bin ich betroffen?
Das folgende Tool hilft dabei, die eigene CRA-Betroffenheit und Produktklasse in wenigen Schritten einzuschätzen.
Weiterführende Informationen
Für allgemeinverständliche Erläuterungen, einen kostenlosen Scope-Check, einen Klassen-Check, ein SBOM-Tool und ein Glossar steht die unabhängige Informationsplattform [16] zur Verfügung. Die Plattform ist nicht mit der EU oder ENISA verbunden, verkauft keine Software und ersetzt keine Rechtsberatung. Direkte Einstiegspunkte:
Offizielle Quellen: [1] · [20] · [9] · [7]
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall.
- eur-lex.europa.eu — ALL
- openkritis.de
- btl-recht.de — Eu cyber resilience act cra
- cra-berater.de
- bos-kg.de — Cyber resilience act
- digital-strategy.ec.europa.eu — Cra summary
- bsi.bund.de
- ing-ism.de — Cra produktklassen klassifizierung
- digital-strategy.ec.europa.eu — Cra reporting
- anchore.com — Eu cra
- ing-ism.de — Sbom cyber resilience act compliance
- opswat.com — Eu cyber resilience act cra a roadmap to software supply chain and sbom compliance
- mybusinessfuture.com — Cyber resilience act cra hersteller pflichten 2026
- rdp-law.de
- craven.eu — Cra grundlagen
- cra-facts.com
- cra-facts.com — Scope checker
- cra-facts.com — Deadlines
- cra-facts.com — Sbom tool
- digital-strategy.ec.europa.eu — Cyber resilience act
