EuroComply
Konto erstellen
Back to blog
CRA 8 min read

Was ist der Cyber Resilience Act? Ein Leitfaden für Produkthersteller

What you need to know: Was ist der Cyber Resilience Act? Ein Leitfaden für Produkthersteller

Der CRA (Verordnung 2024/2847) führt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen ein, die in der EU in Verkehr gebracht werden. Meldepflichten gelten ab September 2026; die vollständige Durchsetzung erfolgt ab Dezember 2027.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Der Cyber Resilience Act (Verordnung 2024/2847) trat am 10. Dezember 2024 in Kraft. Er führt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen ein, die auf dem EU-Markt in Verkehr gebracht werden — ob Hardware mit eingebetteter Software, eigenständige Software oder vernetzte Geräte.

Erstmals müssen Hersteller und Softwareanbieter die Einhaltung von Cybersicherheitsanforderungen als Voraussetzung für die CE-Kennzeichnung nachweisen. Der CRA schließt eine bedeutende Lücke im EU-Recht: Während die DSGVO personenbezogene Daten schützt und die NIS2-Richtlinie Betreiber kritischer Infrastrukturen betrifft, regelte bislang keine dieser Vorschriften unmittelbar die Sicherheit der Produkte selbst.

Zeitplan für die Anwendung

  • 11. September 2026: Meldepflichten für Schwachstellen und Sicherheitsvorfälle gelten
  • 11. Dezember 2027: Alle übrigen CRA-Pflichten gelten (wesentliche Anforderungen, Konformitätsbewertungen, CE-Kennzeichnung)

Anwendungsbereich: Welche Produkte fallen unter den CRA?

Der CRA gilt für alle Produkte mit digitalen Elementen — definiert als jede Software oder Hardware und ihre Remote-Datenverarbeitungslösungen, sofern das Produkt für eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk bestimmt ist.

Diese Definition ist bewusst weit gefasst. Sie umfasst:

  • Verbraucher-IoT-Geräte (intelligente Lautsprecher, vernetzte Haushaltsgeräte, Wearables)
  • Industrie-IoT und Komponenten der Betriebstechnologie (OT)
  • Netzwerkgeräte (Router, Switches, Firewalls)
  • Betriebssysteme, Desktop- und Mobilanwendungen
  • Software-as-a-Service-Komponenten, die Daten lokal verarbeiten
  • Mikrocontroller und Mikroprozessoren mit Netzwerkkonnektivität

Ausnahmen — Produkte, die bereits durch sektorspezifische EU-Cybersicherheitsvorschriften erfasst sind, werden ausgenommen, um Doppelregelungen zu vermeiden:

  • Medizinprodukte (MDR/IVDR)
  • Kraftfahrzeuge (Typgenehmigungsverordnung)
  • Luftfahrtausrüstung (EASA-Vorschriften)
  • Militärische Produkte und Produkte der nationalen Sicherheit

Produktklassifizierung

Der CRA sieht ein Vier-Klassen-System nach Kritikalität vor. Die Klasse bestimmt den erforderlichen Konformitätsbewertungsweg.

| Klasse | Beispiele | Konformitätsbewertung | |--------|-----------|----------------------| | Standard (die meisten Produkte) | Unterhaltungselektronik, generische Apps, Smart-Home-Geräte | Eigenbewertung gemäß Anhang I | | Wichtig — Klasse I | Passwortmanager, VPNs, Browser, Netzwerkverwaltungstools, Mikrocontroller, Firewalls | Eigenbewertung (sofern harmonisierte Norm vollständig angewendet) oder Drittpartei | | Wichtig — Klasse II | Betriebssysteme für Server/Desktop/Mobilgeräte, industrielle Automatisierungssysteme, intelligente Zähler, Router für industrielle Nutzung | Obligatorische Drittpartei-Bewertung | | Kritisch (Hardware-Sicherheitskomponenten) | Hardware-Sicherheitsmodule (HSM), Chipkarten-ICs, sichere Elemente, TPMs | Obligatorische Drittpartei-Bewertung + EU-Baumusterprüfung |

Die Hersteller sind für die korrekte Klassifizierung ihrer Produkte verantwortlich. Eine fehlerhafte Klassifizierung, die zu einer unzureichenden Bewertung führt, stellt einen CRA-Verstoß dar.

Wesentliche Cybersicherheitsanforderungen (Anhang I)

Gemäß Artikel 10 des CRA müssen alle Produkte mit digitalen Elementen die Anforderungen von Teil I während ihres gesamten Lebenszyklus erfüllen — von der Konzeption bis zum Ende des Supports:

  • Sicher ab Werk — mit aktivierter sicherheitsfördernder Konfiguration ausgeliefert; keine unnötigen offenen Ports, keine generischen Anmeldedaten
  • Keine bekannten ausnutzbaren Schwachstellen zum Zeitpunkt der Markteinführung
  • Minimale Angriffsfläche — nur notwendige Komponenten, Funktionen und Schnittstellen aktiv
  • Zugangskontrolle — Mechanismen zum Schutz vor unbefugtem Zugriff
  • Datenschutz — Vertraulichkeit und Integrität persönlicher und sensibler Daten bei der Übertragung und im Ruhezustand
  • Integrität — Mechanismen zur Überprüfung der Software-/Firmware-Integrität und zum Schutz vor Manipulation
  • Resilienz — Fähigkeit, trotz Denial-of-Service-Ereignissen zu funktionieren
  • Verfügbarkeit — kritische Funktionen werden bei Unterbrechungen aufrechterhalten oder geordnet heruntergefahren
  • Protokollierung von Vorfällen — ausreichende Protokollierung für die Untersuchung nach Sicherheitsvorfällen
  • Datenminimierung — erhobene Daten beschränkt auf das für die vorgesehene Funktionalität Erforderliche

Teil II von Anhang I umfasst Pflichten zur Behandlung von Schwachstellen: Hersteller müssen eine koordinierte Offenlegungsrichtlinie einrichten, gemeldete Schwachstellen beheben, Sicherheitsupdates verteilen und das Ende des Supports kommunizieren.

Behandlung von Schwachstellen und Meldepflichten

Artikel 14 legt verbindliche Meldefristen fest. Ab dem 11. September 2026 müssen Hersteller:

  • Aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntnisnahme an ENISA und die zuständige nationale CSIRT melden
  • Schwerwiegende Sicherheitsvorfälle mit Auswirkungen auf die Sicherheit des Produkts innerhalb von 24 Stunden an ENISA/CSIRT melden
  • Innerhalb von 72 Stunden einen vorläufigen Bericht erstatten
  • Spätestens 14 Tage nach Kenntnisnahme der Schwachstelle einen abschließenden Bericht vorlegen

ENISA wird eine zentrale Meldeplattform betreiben. Hersteller außerhalb der EU müssen einen in der EU ansässigen autorisierten Vertreter benennen, der für die Erfüllung der Compliance-Pflichten verantwortlich ist.

Sicherheitsupdates müssen während des gesamten Supportzeitraums kostenlos bereitgestellt werden. Der Mindestsupportzeitraum für die meisten Produkte beträgt 5 Jahre (oder die erwartete Produktlebensdauer, wenn diese kürzer ist). Hersteller müssen das Ende des Supports klar kommunizieren.

Konformitätsbewertung und CE-Kennzeichnung

Die CRA-Konformität ist Voraussetzung für die CE-Kennzeichnung, die für die Markteinführung von Produkten in der EU erforderlich ist.

Der Konformitätsbewertungsweg hängt von der Produktklasse ab:

  • Standardprodukte: Eigenbewertung. Der Hersteller erstellt eine EU-Konformitätserklärung und bringt die CE-Kennzeichnung an.
  • Wichtig Klasse I: Eigenbewertung, sofern eine harmonisierte Norm vollständig angewendet wird; andernfalls Drittpartei-Bewertung durch eine notifizierte Stelle.
  • Wichtig Klasse II: Obligatorische Drittpartei-Konformitätsbewertung durch eine notifizierte Stelle (EU-Baumusterprüfung oder Qualitätsmanagementbewertung).
  • Kritisch: EU-Baumusterprüfung durch eine notifizierte Stelle, ergänzt durch eine laufende Qualitätsbewertung der Produktion.

Die technische Dokumentation muss 10 Jahre nach dem Inverkehrbringen aufbewahrt und den Marktüberwachungsbehörden auf Anfrage zur Verfügung gestellt werden.

Bußgelder

Marktüberwachungsbehörden können Verwaltungssanktionen verhängen:

| Verstoß | Höchststrafe | |---------|-------------| | Nichteinhaltung der wesentlichen Cybersicherheitsanforderungen (Anhang I) | 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes | | Nichteinhaltung sonstiger CRA-Pflichten | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | | Übermittlung unrichtiger oder unvollständiger Informationen an Behörden | 5 Mio. € oder 1 % des weltweiten Jahresumsatzes |

Der jeweils höhere Betrag ist maßgeblich. Bei großen Technologieunternehmen stellt die umsatzbasierte Obergrenze die bindende Schranke dar.

Praktische Vier-Schritte-Checkliste für Hersteller und Softwareanbieter

  1. Produkte klassifizieren — prüfen Sie anhand der Listen in Anhang III und Anhang IV, ob Ihre Produkte als Wichtig Klasse I/II oder Kritisch einzustufen sind; dokumentieren Sie die Klassifizierungsbegründung
  2. Gegen Anhang I prüfen — ordnen Sie für jedes Produkt die aktuellen Sicherheitsmerkmale den wesentlichen Anforderungen zu; identifizieren Sie Lücken und weisen Sie Verantwortliche für die Behebung zu
  3. Prozesse zur Behandlung von Schwachstellen einrichten — entwickeln Sie eine koordinierte Richtlinie zur Offenlegung von Schwachstellen, einen Prozess zur Triage gemeldeter Schwachstellen, eine Pipeline zur Verteilung von Sicherheitsupdates sowie einen 24-Stunden-Meldeworkflow für aktiv ausgenutzte Schwachstellen (ab September 2026 erforderlich)
  4. Konformitätsbewertung planen — wenn Sie Produkte der Klasse I oder höher haben, identifizieren Sie notifizierte Stellen frühzeitig und initiieren Sie die Bewertung rechtzeitig; die CE-Kennzeichnung muss bis Dezember 2027 vorliegen

Zuletzt aktualisiert: April 2026. Nur zu Informationszwecken — keine Rechtsberatung.

Häufig gestellte Fragen

Gilt der Cyber Resilience Act für Softwareprodukte?

Ja. Der CRA erfasst ausdrücklich Softwareprodukte mit digitalen Elementen, nicht nur Hardware. Verordnung 2024/2847 definiert ein „Produkt mit digitalen Elementen" als jede Software oder Hardware und ihre Remote-Datenverarbeitungslösungen, sofern das Produkt für eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk bestimmt ist. Dies umfasst Desktop-Anwendungen, mobile Apps, Betriebssysteme, Firmware und SaaS-Komponenten, die Daten lokal auf dem Gerät des Nutzers verarbeiten. Software, die als Abonnement verkauft oder per Fernzugriff aktualisiert wird, fällt ebenfalls in den Anwendungsbereich. Die wichtigsten Ausnahmen betreffen Software, die ausschließlich für nationale Sicherheits- oder militärische Zwecke entwickelt wurde, sowie Produkte, die bereits durch sektorspezifische EU-Cybersicherheitsvorschriften erfasst sind — z. B. Medizinprodukte gemäß MDR oder Luftfahrtausrüstung gemäß EASA-Regelwerk.

Was sind die wesentlichen Cybersicherheitsanforderungen gemäß dem CRA?

Anhang I der Verordnung 2024/2847 enthält zwei Teile wesentlicher Anforderungen. Teil I betrifft die Sicherheitseigenschaften des Produkts über den gesamten Lebenszyklus: Produkte müssen ab Werk sicher sein — ohne unnötige offene Ports oder generische Anmeldedaten — dürfen zum Zeitpunkt der Markteinführung keine bekannten ausnutzbaren Schwachstellen aufweisen, müssen die Angriffsfläche minimieren, die Vertraulichkeit und Integrität von Daten bei der Übertragung und im Ruhezustand schützen, Zugangskontrollmechanismen gegen unbefugten Zugriff implementieren, ausreichende Protokollierung für die Vorfalluntersuchung bereitstellen und gegenüber Denial-of-Service-Ereignissen resilient sein. Teil II umfasst Pflichten zur Behandlung von Schwachstellen: Hersteller müssen eine koordinierte Richtlinie zur Offenlegung von Schwachstellen einrichten, gemeldete Schwachstellen ohne unangemessene Verzögerung beheben, während des gesamten Supportzeitraums kostenlose Sicherheitsupdates bereitstellen und das Ende des Supports klar kommunizieren. Der Mindestsupportzeitraum für die meisten Produkte beträgt fünf Jahre oder die erwartete Produktlebensdauer, wenn diese kürzer ist.

Welche CRA-Compliance-Fristen gelten?

Der CRA trat am 10. Dezember 2024 in Kraft, gilt jedoch stufenweise. Ab dem 11. September 2026 werden die Melde- und Berichtspflichten für Schwachstellen und Sicherheitsvorfälle verbindlich — Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntnisnahme an ENISA und die zuständige nationale CSIRT melden, mit einem vorläufigen Bericht innerhalb von 72 Stunden und einem abschließenden Bericht innerhalb von 14 Tagen. Der vollständige Umfang der CRA-Pflichten — einschließlich der wesentlichen Cybersicherheitsanforderungen in Anhang I, der Konformitätsbewertungen, der CE-Kennzeichnung und der technischen Dokumentation — gilt ab dem 11. Dezember 2027. Hersteller mit Produkten der Wichtigen Klasse I oder Klasse II sollten deutlich vor Dezember 2027 mit notifizierten Stellen in Kontakt treten, da die Kapazitäten für Konformitätsbewertungen voraussichtlich begrenzt sein werden.

Quellen

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: Was ist der Cyber Resilience Act? Ein Leitfaden für Produkthersteller

This article covers: Zeitplan für die Anwendung, Anwendungsbereich: Welche Produkte fallen unter den CRA?, Produktklassifizierung.

  • Zeitplan für die Anwendung
  • Anwendungsbereich: Welche Produkte fallen unter den CRA?
  • Produktklassifizierung
  • Wesentliche Cybersicherheitsanforderungen (Anhang I)
  • Behandlung von Schwachstellen und Meldepflichten
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.