⏰ EU Cyber Resilience Act — Meldepflichten ab 11. September 2026

Compliance-Checkliste 2026

CRA Compliance Checkliste — Cyber Resilience Act Schritt für Schritt

Vom Produktinventar bis zur CE-Kennzeichnung: Die fünf Phasen, die jeder Hersteller digitaler Produkte bis 11. Dezember 2027 durchlaufen muss. Meldepflichten gelten bereits ab 11. September 2026.

Veröffentlicht am 16. April 2026 · Zuletzt aktualisiert: April 2026
Kerndaten zur CRA-Compliance

Rechtsgrundlage: Verordnung (EU) 2024/2847

Meldepflichten wirksam: 11. September 2026

Volle Anwendung (CE-Kennzeichnung, Anhang I): 11. Dezember 2027

Bußgelder: bis 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes

Meldepflicht bei aktiv ausgenutzten Schwachstellen: 24 Stunden Frühwarnung an CSIRT und ENISA

Geschätzte betroffene Hersteller in der EU: ca. 25.000

Der Cyber Resilience Act (CRA) stellt Hersteller von Produkten mit digitalen Elementen vor einen strukturierten Compliance-Prozess, der sich in fünf Phasen gliedern lässt. Anders als bei vielen EU-Verordnungen gibt es keine einheitliche Checkliste des Gesetzgebers. Die folgenden Phasen leiten sich direkt aus den Anforderungen der Verordnung (EU) 2024/2847 ab und orientieren sich an der Praxis, wie sie BSI und BNetzA als zuständige Marktüberwachungsbehörden in Deutschland erwarten.

Entscheidend ist das gestaffelte Inkrafttreten: Am 11. September 2026 greifen die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Die vollständigen Produktanforderungen inklusive Konformitätsbewertung und CE-Kennzeichnung gelten ab 11. Dezember 2027. Hersteller, die erst Ende 2027 starten, werden Produkte vom Markt nehmen müssen.

Phase 1 — Produktklassifizierung

Produkte identifizieren und klassifizieren

Der CRA unterscheidet drei Produktklassen mit unterschiedlichen Konformitätsverfahren. Die Einstufung ergibt sich aus Anhang III (wichtige Produkte Klasse I und II) und Anhang IV (kritische Produkte). Alles, was nicht in diesen Anhängen steht, ist ein Standardprodukt.

  • Vollständiges Inventar aller Hardware, Software und Firmware erstellen, die in der EU in Verkehr gebracht wird
  • Jedes Produkt gegen Anhang III Klasse I prüfen (z. B. Passwortmanager, VPN-Clients, Netzwerk-Monitoring)
  • Jedes Produkt gegen Anhang III Klasse II prüfen (z. B. Betriebssysteme, Hypervisoren, Firewalls, Router)
  • Jedes Produkt gegen Anhang IV prüfen (kritisch: Hardware-Sicherheitsmodule, intelligente Zähler, Smartcards)
  • Ergebnis dokumentieren: Produktname, Version, CRA-Klasse, anwendbares Konformitätsverfahren
Phase 2 — Sicherheitsanforderungen nach Anhang I

Security by Design und Vulnerability Handling

Anhang I Teil 1 definiert die essenziellen Cybersicherheitsanforderungen an das Produkt. Anhang I Teil 2 regelt den Umgang mit Schwachstellen. Beide Teile müssen vollständig erfüllt sein, bevor eine Konformitätsbewertung sinnvoll beginnt.

  • Gap-Analyse des bestehenden Entwicklungsprozesses gegen Anhang I Teil 1 (Secure by Default, Minimierung der Angriffsfläche, Zugriffskontrolle, Datenschutz)
  • Secure-Development-Lifecycle (SDL) etablieren oder bestehenden SDLC anpassen
  • Schwachstellenrichtlinie veröffentlichen (coordinated vulnerability disclosure policy)
  • Schwachstellenmanagement-Prozess implementieren nach ISO/IEC 30111 und ISO/IEC 29147
  • Sicherheitsupdates ohne unnötige Verzögerung bereitstellbar machen, kostenlos und getrennt von Funktionsupdates
  • Unterstützungszeitraum für jedes Produkt festlegen (mindestens dem erwarteten Nutzungszeitraum entsprechend, in der Regel mindestens 5 Jahre)
Phase 3 — SBOM und Schwachstellenmanagement

Software Bill of Materials und 24-Stunden-Meldung an CSIRT

Die SBOM-Pflicht und die Meldepflichten sind die Bereiche, die den größten operativen Aufbau erfordern. Die Meldepflicht greift bereits ab 11. September 2026 — deutlich vor der vollen Anwendung.

  • SBOM für jedes Produkt erstellen (mindestens Top-Level-Abhängigkeiten, maschinenlesbares Format: SPDX oder CycloneDX)
  • SBOM-Erstellungsprozess in die CI/CD-Pipeline integrieren
  • VEX-Dokumente (Vulnerability Exploitability eXchange) parallel zur SBOM pflegen
  • Meldeprozess für aktiv ausgenutzte Schwachstellen aufbauen: 24 h Frühwarnung, 72 h Detailmeldung, 14 Tage Abschlussbericht
  • Meldeprozess für schwerwiegende Sicherheitsvorfälle aufbauen: 24 h, 72 h, 1 Monat
  • Schnittstelle zum zuständigen nationalen CSIRT (in Deutschland: BSI) und zur ENISA technisch vorbereiten
  • Eskalationswege intern definieren: Entwicklung, CISO, Geschäftsleitung, Rechtsabteilung
  • Tabletop-Übung durchführen: simulierte 24-Stunden-Meldung Ende-zu-Ende testen
Phase 4 — Konformitätsbewertung

Selbstbewertung oder EU-Typprüfung durch benannte Stelle

Das anwendbare Konformitätsverfahren hängt von der Produktklasse ab. Standardprodukte durchlaufen eine Selbstbewertung (Modul A). Wichtige Produkte Klasse II und kritische Produkte erfordern eine EU-Typprüfung durch eine benannte Stelle.

  • Für Standardprodukte: interne Fertigungskontrolle nach Modul A vorbereiten (Anhang VIII)
  • Für Klasse I: prüfen, ob harmonisierte Norm oder EU-Cybersicherheitszertifikat vorliegt — falls ja, Selbstbewertung möglich
  • Für Klasse II und kritische Produkte: benannte Stelle (notified body) rechtzeitig kontaktieren — Kapazitätsengpässe ab 2027 wahrscheinlich
  • EU-Konformitätserklärung vorbereiten (Artikel 28)
  • Prüfberichte und Nachweise systematisch archivieren (10 Jahre Aufbewahrungspflicht)
Phase 5 — CE-Kennzeichnung und Marktüberwachung

Technische Dokumentation nach Anhang II und fortlaufende Pflichten

Nach erfolgreicher Konformitätsbewertung darf die CE-Kennzeichnung angebracht werden. Damit endet der Prozess aber nicht: Der CRA verlangt fortlaufende Marktüberwachungspflichten über den gesamten Support-Zeitraum.

  • Technische Dokumentation nach Anhang II vollständig erstellen (Produktbeschreibung, Risikobewertung, Testberichte, SBOM)
  • CE-Kennzeichnung anbringen (sichtbar, lesbar, dauerhaft — Artikel 30)
  • Support-Zeitraum auf Verpackung, Produktblatt und in der Produktdokumentation angeben
  • Überwachungspflicht einrichten: fortlaufend Schwachstellen beobachten, Updates bereitstellen
  • Kooperation mit Marktüberwachungsbehörde (BSI, BNetzA) sicherstellen — auf Anfrage technische Dokumentation vorlegen
  • Bei Bekanntwerden eines Nichtkonformitätsrisikos: Korrekturmaßnahmen ergreifen und Behörden informieren
Timeline für Hersteller

Jetzt: Produktinventar, Klassifizierung, Gap-Analyse gegen Anhang I

Bis Q3 2026: Schwachstellenmanagement und Meldeprozess produktiv

11. September 2026: Meldepflichten für Schwachstellen und Vorfälle wirksam

Bis Q3 2027: Konformitätsbewertung abgeschlossen, technische Dokumentation komplett

11. Dezember 2027: Volle Anwendung — CE-Kennzeichnung verpflichtend, Produkte ohne CRA-Konformität nicht verkehrsfähig

Häufig gestellte Fragen zur CRA-Checkliste

Braucht jedes Produkt eine EU-Typprüfung?

Nein. Standardprodukte ohne Einstufung in Anhang III oder IV können die Konformität per Selbstbewertung (Modul A) nachweisen. Wichtige Produkte der Klasse I dürfen ebenfalls eine Selbstbewertung durchführen, sofern sie eine harmonisierte Norm oder ein europäisches Cybersicherheitszertifikat anwenden. Erst bei wichtigen Produkten der Klasse II und kritischen Produkten ist zwingend eine EU-Typprüfung durch eine benannte Stelle erforderlich.

Was passiert, wenn die Meldepflicht am 11. September 2026 nicht eingehalten wird?

Die Meldepflicht ist eine eigenständige Pflicht aus dem CRA. Verstöße gegen die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes sanktioniert werden. Zusätzlich kann die Marktüberwachungsbehörde Maßnahmen gegen das Produkt anordnen.

Wie detailliert muss die SBOM sein?

Der CRA verlangt nach Anhang I Teil 2 eine Software Bill of Materials, die mindestens die Top-Level-Abhängigkeiten des Produkts dokumentiert. Die SBOM muss in einem gängigen, maschinenlesbaren Format vorliegen. Die EU-Kommission kann durch delegierte Rechtsakte die Mindestanforderungen an das Format und die Elemente der SBOM weiter konkretisieren. Gängige Formate sind SPDX und CycloneDX.