Cyber Resilience Act einfach erklärt
Überblick zu Terminen, Meldepflichten und typischen Auswirkungen des Cyber Resilience Act. Zur technischen und organisatorischen Orientierung, nicht als Rechtsberatung.
CRA in 30 Sekunden verstehen
Die wichtigsten Punkte zum Cyber Resilience Act in kurzer Form.
Was ist der CRA?
EU-Verordnung für Cybersicherheit aller vernetzten Produkte - Security by Design wird Pflicht.
- Gilt direkt in allen EU-Ländern
- CE-Kennzeichnung wird erweitert
Wer muss den CRA einhalten?
Hersteller, Importeure und Händler von Produkten mit "digitalen Elementen" im EU-Binnenmarkt.
- Hardware & Software mit Netzwerkverbindung
- Unabhängig von Unternehmensgröße
Was ändert sich & bis wann?
Neue Meldepflichten und CE-Kennzeichnung mit festen Terminen.
- 11.09.2026: Meldepflichten starten
- 11.12.2027: Vollständige Anwendung
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für alle digitalen Produkte mit Internetverbindung einführt. Als direkt anwendbare Verordnung gilt sie in allen EU-Mitgliedstaaten ohne nationale Umsetzungsgesetze.
Zentrales Prinzip: Security by Design und Security by Default über den gesamten Produktlebenszyklus. Die CE-Kennzeichnung wird um Cybersicherheitsanforderungen erweitert.
Wichtige Termine im Überblick
Diese Übersicht hilft bei der Planung. Maßgeblich bleiben immer Produktkategorie, Auslegung und gegebenenfalls rechtliche Bewertung.
Kurz zum Kontext
Der CRA schafft einen Rahmen für Security by Design, Update-Prozesse, Schwachstellenmanagement und Meldewege über den gesamten Produktlebenszyklus. Diese Seite gibt dafür eine erste praktische Orientierung.
CRA Beschluss
Das Cyber Resilience Act (CRA) wird offiziell beschlossen.
Veröffentlichung
Der Gesetzestext wird im Europäischen Amtsblatt veröffentlicht und damit öffentlich zugänglich.
Inkrafttreten
Das CRA tritt offiziell in Kraft. Ab diesem Datum gelten die neuen Regelungen.
Zertifizierung
Zertifizierungsstellen dürfen prüfen, ob Produkte die Anforderungen des CRA erfüllen.
Meldepflicht
Hersteller sind verpflichtet, gefundene Schwachstellen und Sicherheitsvorfälle zu melden.
Vollständige Anwendung
Alle neuen Produkte müssen vollständig den Anforderungen des CRA entsprechen.
Meldeprozesse früh vorbereiten
Ab September 2026 werden belastbare Meldewege wichtiger. Hersteller sollten deshalb frühzeitig Prozesse, Verantwortlichkeiten und Erreichbarkeiten festlegen.
Welche Produkte sind vom CRA betroffen?
Alle Produkte mit "digitalen Elementen", die direkt oder indirekt mit einem Netzwerk verbunden sind.
Hardware-Produkte
Smartphones, Laptops, Router, Sensoren, Kameras, Smart TVs, Fitness-Tracker
Software-Produkte
Mobile Apps, Betriebssysteme, Desktop-Software, Videospiele, Firmware
Komponenten
Prozessoren, Grafikkarten, Mikrocontroller, Softwarebibliotheken
Industrielle Systeme
PLC-Steuerungen, SCADA-Systeme, IIoT-Geräte, Industrie 4.0-Komponenten
Wichtige/Kritische Produkte
Passwortmanager, Firewalls, Smartcards, intelligente Zähler
CE-Kennzeichnung wird erweitert
Die bekannte CE-Kennzeichnung wird um Cybersicherheitsanforderungen erweitert und umfasst neue Produktklassen.
Normale Sicherheitsanforderungen
Die meisten vernetzten Geräte
Erhöhte Cybersicherheitsanforderungen
Wichtige Produkte mit besonderen Risiken
Konformitätsbewertungsmodule
Modul A
Interne Fertigungskontrolle - Selbstbewertung ohne notifizierte Stelle
Modul B+C
Baumusterprüfung + interne Fertigungskontrolle durch notifizierte Stelle
Modul H
Umfassende Qualitätssicherung - Bewertung des Qualitätssicherungsprozesses
Wesentliche Anforderungen des CRA
Diese Kernpflichten müssen alle betroffenen Produkte erfüllen.
Security by Design
Sicherheit muss von Anfang an in die Produktentwicklung integriert werden - keine nachträglichen Patches.
Update-Mechanismus
Automatische und sichere Update-Funktionen für Sicherheits-Patches während der gesamten Supportdauer.
Supportzeitraum
Mindestens 5 Jahre Sicherheitssupport zusagen und das Ende der Unterstützung rechtzeitig kommunizieren.
Globale Gültigkeit
Gilt für alle Hersteller weltweit, die Produkte auf dem EU-Markt vertreiben - unabhängig vom Geschäftssitz.
SBOM-Pflicht
Software Bill of Materials ("Zutatenliste für Software") mit allen verwendeten Komponenten und Bibliotheken.
Meldepflichten
24h Frühwarnung und 72h detaillierte Meldung von Sicherheitsvorfällen über zentrale EU-Plattform.
Meldepflichten ab September 2026
Die kritischen Meldepflichten, die alle Hersteller beachten müssen.
Sicherheitsvorfälle melden
Frühwarnung innerhalb 24h, detaillierte Meldung binnen 72h über zentrale EU-Plattform.
Schwachstellen-Management
Kontinuierliche Überwachung, SBOM erstellen, Updates während gesamtem Supportzeitraum bereitstellen.
Supportzeitraum kommunizieren
Mindestens 5 Jahre Support zusagen und Ende-Datum klar kommunizieren. Kostenlose Sicherheitsupdates.
Welche Erleichterungen für kleinere Unternehmen vorgesehen sind
Der CRA sieht unterstützende Maßnahmen für kleinere Unternehmen vor. Welche davon praktisch relevant sind, hängt vom Produkt und der konkreten Ausgangslage ab.
Vereinfachte Dokumentation
Reduzierte Anforderungen an die technische Dokumentation für kleinere Unternehmen.
Helpdesks
Spezielle Unterstützung bei Meldepflichten und Konformitätsbewertung.
Leitlinien
Detaillierte Implementierungsleitlinien speziell für kleinere Unternehmen.
Regulatory Sandboxes
Kontrollierte Testumgebungen für die Überprüfung von Produkten mit digitalen Elementen.
Häufige Fragen zum CRA
Antworten auf die wichtigsten Fragen zur Umsetzung des Cyber Resilience Acts.
Wenn es digitale Elemente hat (Software, Netzwerk, Update-Fähigkeit) und im EU-Binnenmarkt bereitgestellt wird, ist es betroffen. Ausnahmen: kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht, Medizinprodukte und Fahrzeuge mit eigenen Regelungen.
11.12.2024: CRA in Kraft (✓). 11.06.2026: Konformitätsbewertungsstellen bereit. 11.09.2026: Meldepflichten beginnen (auch für bestehende Produkte!). 11.12.2027: Vollständige Anwendung aller Anforderungen.
Ab 11.09.2026: Frühwarnung innerhalb 24h, detaillierte Meldung binnen 72h über neue zentrale EU-Meldeplattform. Betrifft aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle - auch bei bestehenden Produkten.
Kosten variieren je nach Produktkomplexität. Typische Aufwände: Gap-Analyse, Prozess-/Policy-Aufbau, SBOM-Erstellung, Update-Prozesse, Meldewege. KMU erhalten Unterstützung durch vereinfachte Dokumentation und Helpdesks.
Mindestens: Produktverantwortung, Entwicklung/IT, Compliance/Qualität. Wichtig: Verantwortliche Stelle für 24h/72h-Meldungen benennen und Schwachstellen-Management etablieren.
Software Bill of Materials = 'Zutatenliste für Software'. Detailliert alle verwendeten Softwarekomponenten und Bibliotheken. Pflicht nach CRA für Schwachstellen-Management. Muss nicht veröffentlicht werden, aber intern verfügbar sein.
Das BSI entwickelt die Technische Richtlinie TR-03183 mit konkreten Leitlinien für Hersteller. Teil 1 behandelt allgemeine Anforderungen, Teil 2 Software Bill of Materials (SBOM), Teil 3 Schwachstellenmeldungen und -behandlung.
Ja, der CRA gilt für alle Hersteller weltweit, die Produkte auf dem EU-Markt vertreiben - unabhängig vom Geschäftssitz. Beispiel: Japanische Spielekonsolen oder US-amerikanische Antivirensoftware müssen die CRA-Anforderungen erfüllen.
CRA-Themen strukturiert angehen
Wenn Sie Auswirkungen, Handlungsbedarf und passende nächste Schritte rund um den CRA strukturiert angehen möchten, unterstützen wir Sie bei der technischen und organisatorischen Vorbereitung.
Hinweis: Diese Unterstützung ist technische und organisatorische Orientierung und ersetzt keine Rechtsberatung.
CRA-Orientierung anfragen
Beschreiben Sie kurz Ihr Produkt, Ihren aktuellen Stand und welche Fragen Sie zum CRA klären möchten. Wir unterstützen bei der technischen und organisatorischen Vorbereitung.