CRA einfach erklärt
Cyber Resilience Act einfach erklärt: Timeline, Pflichten und praktische Umsetzung für Ihr Unternehmen.
CRA in 30 Sekunden verstehen
Die wichtigsten Fakten zum Cyber Resilience Act auf einen Blick.
Was ist der CRA?
EU-Verordnung für Cybersicherheit aller vernetzten Produkte - Security by Design wird Pflicht.
- Gilt direkt in allen EU-Ländern
- CE-Kennzeichnung wird erweitert
Wer muss den CRA einhalten?
Hersteller, Importeure und Händler von Produkten mit "digitalen Elementen" im EU-Binnenmarkt.
- Hardware & Software mit Netzwerkverbindung
- Unabhängig von Unternehmensgröße
Was ändert sich & bis wann?
Neue Meldepflichten und CE-Kennzeichnung mit festen Terminen.
- 11.09.2026: Meldepflichten starten
- 11.12.2027: Vollständige Anwendung
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für alle digitale Produkte mit Internetverbindung einführt. Als direkt anwendbare Verordnung gilt sie in allen EU-Mitgliedstaaten ohne nationale Umsetzungsgesetze.
Zentrales Prinzip: Security by Design und Security by Default über den gesamten Produktlebenszyklus. Die CE-Kennzeichnung wird um Cybersicherheitsanforderungen erweitert.
Cyber Resilience Act Timeline
Bereiten Sie sich rechtzeitig auf die neuen EU-Vorschriften vor und sichern Sie sich den Marktzugang.
Was ist der Cyber Resilience Act (CRA)?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die alle vernetzten Produkte dazu verpflichtet, strenge Cybersicherheitsanforderungen zu erfüllen. Für Embedded-Systeme bedeutet dies, dass Sicherheit von Anfang an integriert werden muss – vom Design über die Entwicklung bis hin zu laufenden Updates.
CRA Beschluss
Das Cyber Resilience Act (CRA) wird offiziell beschlossen.
Veröffentlichung
Der Gesetzestext wird im Europäischen Amtsblatt veröffentlicht und damit öffentlich zugänglich.
Inkrafttreten
Das CRA tritt offiziell in Kraft. Ab diesem Datum gelten die neuen Regelungen.
Zertifizierung
Zertifizierungsstellen dürfen prüfen, ob Produkte die Anforderungen des CRA erfüllen.
Meldepflicht
Hersteller sind verpflichtet, gefundene Schwachstellen und Sicherheitsvorfälle zu melden.
Vollständige Compliance
Alle neuen Produkte müssen vollständig den Anforderungen des CRA entsprechen.
Kritisch: 24-Stunden Meldepflicht
Nach dem Cyber Resilience Act müssen Sicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden. Unternehmen sollten frühzeitig Prozesse und Verantwortlichkeiten vorbereiten, um diese Anforderung zu erfüllen.
Welche Produkte sind vom CRA betroffen?
Alle Produkte mit "digitalen Elementen", die direkt oder indirekt mit einem Netzwerk verbunden sind.
Hardware-Produkte
Smartphones, Laptops, Router, Sensoren, Kameras, Smart TVs, Fitness-Tracker
Software-Produkte
Mobile Apps, Betriebssysteme, Desktop-Software, Videospiele, Firmware
Komponenten
Prozessoren, Grafikkarten, Mikrocontroller, Softwarebibliotheken
Industrielle Systeme
PLC-Steuerungen, SCADA-Systeme, IIoT-Geräte, Industrie 4.0-Komponenten
Wichtige/Kritische Produkte
Passwortmanager, Firewalls, Smartcards, intelligente Zähler
CE-Kennzeichnung wird erweitert
Die bekannte CE-Kennzeichnung wird um Cybersicherheitsanforderungen erweitert und umfasst neue Produktklassen.
Normale Sicherheitsanforderungen
Die meisten vernetzten Geräte
Erhöhte Cybersicherheitsanforderungen
Wichtige Produkte mit besonderen Risiken
Konformitätsbewertungsmodule
Modul A
Interne Fertigungskontrolle - Selbstbewertung ohne notifizierte Stelle
Modul B+C
Baumusterprüfung + interne Fertigungskontrolle durch notifizierte Stelle
Modul H
Umfassende Qualitätssicherung - Bewertung des Qualitätssicherungsprozesses
Wesentliche Anforderungen des CRA
Diese Kernpflichten müssen alle betroffenen Produkte erfüllen.
Security by Design
Sicherheit muss von Anfang an in die Produktentwicklung integriert werden - keine nachträglichen Patches.
Update-Mechanismus
Automatische und sichere Update-Funktionen für Sicherheits-Patches während der gesamten Supportdauer.
Supportzeitraum
Mindestens 5 Jahre Sicherheitssupport zusagen und das Ende der Unterstützung rechtzeitig kommunizieren.
Globale Gültigkeit
Gilt für alle Hersteller weltweit, die Produkte auf dem EU-Markt vertreiben - unabhängig vom Geschäftssitz.
SBOM-Pflicht
Software Bill of Materials ("Zutatenliste für Software") mit allen verwendeten Komponenten und Bibliotheken.
Meldepflichten
24h Frühwarnung und 72h detaillierte Meldung von Sicherheitsvorfällen über zentrale EU-Plattform.
Meldepflichten ab September 2026
Die kritischen Meldepflichten, die alle Hersteller beachten müssen.
Sicherheitsvorfälle melden
Frühwarnung innerhalb 24h, detaillierte Meldung binnen 72h über zentrale EU-Plattform.
Schwachstellen-Management
Kontinuierliche Überwachung, SBOM erstellen, Updates während gesamtem Supportzeitraum bereitstellen.
Supportzeitraum kommunizieren
Mindestens 5 Jahre Support zusagen und Ende-Datum klar kommunizieren. Kostenlose Sicherheitsupdates.
Besondere Unterstützung für KMU und Start-ups
Der CRA sieht explizite Erleichterungen für kleine und mittlere Unternehmen vor.
Vereinfachte Dokumentation
Reduzierte Anforderungen an die technische Dokumentation für kleinere Unternehmen.
Helpdesks
Spezielle Unterstützung bei Meldepflichten und Konformitätsbewertung.
Leitlinien
Detaillierte Implementierungsleitlinien speziell für kleinere Unternehmen.
Regulatory Sandboxes
Kontrollierte Testumgebungen für die Überprüfung von Produkten mit digitalen Elementen.
Häufige Fragen zum CRA
Antworten auf die wichtigsten Fragen zur Umsetzung des Cyber Resilience Acts.
Wenn es digitale Elemente hat (Software, Netzwerk, Update-Fähigkeit) und im EU-Binnenmarkt bereitgestellt wird, ist es betroffen. Ausnahmen: kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht, Medizinprodukte und Fahrzeuge mit eigenen Regelungen.
11.12.2024: CRA in Kraft (✓). 11.06.2026: Konformitätsbewertungsstellen bereit. 11.09.2026: Meldepflichten beginnen (auch für bestehende Produkte!). 11.12.2027: Vollständige Anwendung aller Anforderungen.
Ab 11.09.2026: Frühwarnung innerhalb 24h, detaillierte Meldung binnen 72h über neue zentrale EU-Meldeplattform. Betrifft aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle - auch bei bestehenden Produkten.
Kosten variieren je nach Produktkomplexität. Typische Aufwände: Gap-Analyse, Prozess-/Policy-Aufbau, SBOM-Erstellung, Update-Prozesse, Meldewege. KMU erhalten Unterstützung durch vereinfachte Dokumentation und Helpdesks.
Mindestens: Produktverantwortung, Entwicklung/IT, Compliance/Qualität. Wichtig: Verantwortliche Stelle für 24h/72h-Meldungen benennen und Schwachstellen-Management etablieren.
Software Bill of Materials = 'Zutatenliste für Software'. Detailliert alle verwendeten Softwarekomponenten und Bibliotheken. Pflicht nach CRA für Schwachstellen-Management. Muss nicht veröffentlicht werden, aber intern verfügbar sein.
Das BSI entwickelt die Technische Richtlinie TR-03183 mit konkreten Leitlinien für Hersteller. Teil 1 behandelt allgemeine Anforderungen, Teil 2 Software Bill of Materials (SBOM), Teil 3 Schwachstellenmeldungen und -behandlung.
Ja, der CRA gilt für alle Hersteller weltweit, die Produkte auf dem EU-Markt vertreiben - unabhängig vom Geschäftssitz. Beispiel: Japanische Spielekonsolen oder US-amerikanische Antivirensoftware müssen CRA-konform sein.
Gemeinsam sicher durch den CRA
Lassen Sie uns Ihr Unternehmen fit für den Cyber Resilience Act machen. Von der Risikoanalyse bis zur vollständigen Compliance-Dokumentation.
Unsere Beratung basiert auf den aktuellen BSI-Richtlinien zur Cyberresilienz und der Technischen Richtlinie TR-03183.
Bereit für CRA-Compliance?
Starten Sie jetzt mit der Vorbereitung auf den Cyber Resilience Act. Unsere Experten unterstützen Sie bei der vollständigen Umsetzung.