Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist am 10. Dezember 2024 in Kraft getreten und gilt gestaffelt: Seit 11. Juni 2026 müssen Konformitätsbewertungsstellen ihre Akkreditierung abgeschlossen haben. Am 11. September 2026 beginnen die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle. Ab 11. Dezember 2027 schließlich gelten die vollen Produktanforderungen aus Anhang I, die CE-Kennzeichnung wird verpflichtend, und Produkte ohne Nachweis dürfen nicht mehr auf den EU-Markt gebracht werden.
Betroffen ist praktisch jedes Unternehmen, das Hardware mit Software, reine Software, Firmware, oder SaaS-Komponenten für lokal installierte Geräte in der EU in Verkehr bringt. Reine Cloud-Dienste sind ausgenommen, Unterhaltungselektronik, Industriesteuerungen, IoT-Geräte, Entwickler-Tools, Betriebssysteme und sogar Passwortmanager fallen dagegen hinein. Für viele Mittelständler in Deutschland ist der CRA die erste Produktverordnung überhaupt, die sie in dieser Breite trifft — und genau deshalb entsteht gerade ein neuer Beratungsmarkt rund um die CRA-Umsetzung.
Rechtsgrundlage: Verordnung (EU) 2024/2847
In Kraft getreten: 10. Dezember 2024
Meldepflichten für Schwachstellen und Vorfälle: ab 11. September 2026
Volle Anwendung (Konformitätsbewertung, CE, Anhang I): 11. Dezember 2027
Bußgeld: bis zu 15 Mio. Euro oder 2,5 Prozent des weltweiten Jahresumsatzes
Produktklassen: Standard, wichtig (Klasse I und II), kritisch
Welche Produkte der CRA erfasst
Der Cyber Resilience Act definiert „Produkte mit digitalen Elementen“ sehr breit: Jede Hardware, deren bestimmungsgemäße Funktion Datenverarbeitung umfasst, und jede Software, die als eigenständiges Produkt in Verkehr gebracht wird, fällt in den Anwendungsbereich. Ausgenommen sind bewusst nur spezifisch regulierte Bereiche wie Medizinprodukte (MDR), Fahrzeuge (Typgenehmigung), Luftfahrt und rein Cloud-basierte SaaS-Dienste.
Innerhalb des Anwendungsbereichs unterteilt der CRA Produkte in drei Risikoklassen. Standardprodukte durchlaufen eine Eigenerklärung der Konformität. Wichtige Produkte der Klasse I (z. B. Passwortmanager, VPN-Clients, Netzwerk-Monitoring-Software) und Klasse II (Betriebssysteme, Hypervisoren, Firewalls, Router) müssen zusätzliche Konformitätsverfahren durchlaufen. Kritische Produkte (z. B. Hardware-Sicherheitsmodule, intelligente Zähler) erfordern eine europäische Zertifizierung nach dem EU Cybersecurity Act.
In der Praxis müssen Hersteller zuerst ermitteln, in welche Klasse jedes ihrer Produkte fällt. Diese Klassifizierung bestimmt, wie aufwendig die Konformitätsbewertung später wird — und ob eine benannte Stelle eingeschaltet werden muss.
Die Pflichten aus Anhang I im Überblick
Anhang I Teil 1 listet die wesentlichen Cybersicherheitsanforderungen an das Produkt selbst. Dazu gehört: das Produkt wird mit einer sicheren Standardkonfiguration ausgeliefert, kritische Schwachstellen werden durch Sicherheitsupdates behoben, unbefugter Zugriff wird durch angemessene Mechanismen (Authentifizierung, Rechteverwaltung) verhindert, die Vertraulichkeit und Integrität gespeicherter und übertragener Daten wird geschützt, und die Angriffsfläche wird minimiert.
Anhang I Teil 2 definiert die Anforderungen an den Umgang mit Schwachstellen. Hersteller müssen eine Schwachstellenrichtlinie veröffentlichen, ein Schwachstellenmanagement unterhalten, Sicherheitsupdates ohne Verzögerung bereitstellen, Nutzer klar und rechtzeitig über bekannte Schwachstellen informieren und eine Software Bill of Materials (SBOM) der Top-Level-Abhängigkeiten führen.
Besonders heikel: Die Unterstützungszeit für ein Produkt muss in der technischen Dokumentation angegeben und den Kundinnen und Kunden kommuniziert werden. Sie muss dem erwarteten Nutzungszeitraum des Produkts entsprechen und beträgt in der Regel mindestens fünf Jahre. Das trifft besonders Mittelständler hart, die bisher Hardware mit sehr kurzen Software-Wartungsfenstern verkauft haben.
Die Meldepflichten ab 11. September 2026
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden als Frühwarnung an das zuständige nationale CSIRT und an die ENISA melden. Binnen 72 Stunden folgt eine detailliertere Schwachstellenmeldung, und spätestens 14 Tage nach Verfügbarkeit eines Fixes ist der Abschlussbericht fällig.
Parallel gilt eine eigenständige Meldepflicht für schwerwiegende Sicherheitsvorfälle, die Auswirkungen auf die Sicherheit des Produkts haben. Auch hier gelten die gestaffelten Fristen 24 Stunden / 72 Stunden / ein Monat.
Der Prozess muss dokumentiert, geübt und getestet sein, bevor das Datum erreicht wird. Ein CRA-Berater prüft typischerweise, ob die vorhandenen Incident-Response-Prozesse die Fristen einhalten können, ob die Eskalationswege zu Geschäftsleitung und Rechtsabteilung definiert sind, und ob die Schnittstellen zu den CSIRTs und zu ENISA vorbereitet sind.
Jetzt: Produktinventar anlegen, CRA-Klasse je Produkt bestimmen, Lücken im SDLC sichten
Bis Q4 2025: Secure-Development-Lifecycle etablieren, Schwachstellen-Handling-Prozess dokumentieren
Bis 11.09.2026: Meldeprozess an CSIRT und ENISA produktiv, 24-Stunden-Frühwarnung testen
Bis Q3 2027: Konformitätsbewertung durchlaufen, technische Dokumentation nach Anhang II komplett
Ab 11.12.2027: CE-Kennzeichnung verpflichtend, Produkte ohne CRA-Konformität nicht mehr verkehrsfähig
Worauf Hersteller bei der Wahl eines CRA Beraters achten sollten
Die Beratung zum Cyber Resilience Act verlangt drei Kompetenzen gleichzeitig: technisches Verständnis für Secure-Software-Entwicklung, Vertrautheit mit der europäischen Produktsicherheits-Compliance (New Legislative Framework, CE-Kennzeichnung, harmonisierte Normen) und Erfahrung mit Schwachstellenmanagement nach ISO/IEC 30111 und 29147. Reine Auditfirmen liefern oft Papiercompliance, die im Konformitätsverfahren durchfällt. Reine Security-Dienstleister unterschätzen häufig den Dokumentationsaufwand aus Anhang II.
Ein belastbares CRA-Beratungsprojekt beginnt immer mit zwei Artefakten: einer Klassifizierung jedes Produkts in die CRA-Klasse und einer Gap-Analyse gegen Anhang I. Ohne diese beiden Dokumente lässt sich weder Aufwand noch Timeline seriös schätzen. Wer heute mit der Umsetzung startet, hat bis zur vollen Anwendung Ende 2027 noch realistisch Zeit. Wer erst 2027 beginnt, muss damit rechnen, Produkte temporär vom EU-Markt zu nehmen.
Häufig gestellte Fragen
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist die erste horizontale EU-Verordnung, die Cybersicherheitsanforderungen an „Produkte mit digitalen Elementen“ stellt. Sie betrifft Hersteller, Importeure und Händler von Hardware und Software, die in der EU in Verkehr gebracht wird. Ziel ist, dass Produkte über ihren gesamten Lebenszyklus sicher entwickelt, ausgeliefert, betrieben und mit Updates versorgt werden. Der Rechtsakt ist am 10. Dezember 2024 in Kraft getreten.
Welche Produkte sind betroffen?
Der CRA erfasst praktisch jedes Produkt mit digitalen Bestandteilen: Hardware mit integrierter Software, eigenständige Software, Firmware und SaaS-Komponenten, die Teil eines lokalen Geräts sind. Ausgenommen sind bereits regulierte Bereiche wie Medizinprodukte, Fahrzeuge, Luftfahrt und reine Cloud-SaaS. Innerhalb des Anwendungsbereichs gibt es drei Klassen: Standardprodukte (Eigenerklärung), wichtige Produkte (Klasse I und II, zusätzliche Konformitätsverfahren) und kritische Produkte (europäische Zertifizierung).
Ab wann gelten die Pflichten?
Der CRA gilt gestaffelt. Am 11. September 2026 werden die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle wirksam. Die vollständigen Anforderungen inklusive CE-Kennzeichnung, Konformitätsbewertung und aller Produktanforderungen aus Anhang I gelten ab 11. Dezember 2027. Ab diesem Datum dürfen Produkte ohne CRA-Konformitätsnachweis nicht mehr in der EU verkehrsfähig gemacht werden.
Welche Rolle hat ein CRA Berater?
Ein CRA Berater begleitet Hersteller durch den kompletten Prozess: Zuerst die Klassifizierung jedes Produkts in Standard-, wichtige oder kritische Klasse. Dann eine Gap-Analyse gegen Anhang I und II (essenzielle Anforderungen und Schwachstellenhandling). Anschließend die Umsetzung: Secure-Development-Lifecycle etablieren, SBOM-Prozess aufbauen, Schwachstellen-Meldeprozess an CSIRT und ENISA testen, technische Dokumentation erstellen. Zum Schluss die Vorbereitung der Konformitätsbewertung und der CE-Kennzeichnung.
Welche Strafen drohen?
Der CRA sieht Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes für Verstöße gegen die wesentlichen Cybersicherheitsanforderungen und Schwachstellenhandling-Pflichten vor. Für Verstöße gegen andere Pflichten gelten 10 Millionen Euro oder 2 Prozent Umsatz, für falsche oder unvollständige Angaben gegenüber Behörden 5 Millionen Euro oder 1 Prozent Umsatz. Daneben können Produkte vom Markt genommen werden.
Wie startet ein Hersteller die CRA-Umsetzung?
Der erste Schritt ist ein vollständiges Produktinventar: Welche Hardware, Software und Firmware bringt das Unternehmen in der EU in Verkehr? Im zweiten Schritt wird jedes Produkt gegen die CRA-Klassifizierung abgeglichen (Standard, wichtig Klasse I/II, kritisch). Daraus ergibt sich, welche Konformitätsverfahren möglich sind. Parallel wird der bestehende Entwicklungsprozess gegen die Anforderungen aus Anhang I Teil 1 und 2 geprüft. Das Ergebnis ist ein priorisierter Maßnahmenplan bis 11. Dezember 2027.