Blackfort Technology

Gilt der Cyber Resilience Act für Ihr Produkt?

Erst verstehen, dann handeln

Die erste Frage, die sich jedes Unternehmen beim Cyber Resilience Act stellen muss, ist nicht „Was muss ich tun?" — sondern „Bin ich überhaupt betroffen und in welcher Rolle?"

Die Antwort hängt davon ab, was Sie herstellen oder vertreiben und welche Rolle Sie im Vertriebsweg einnehmen. Der nachfolgende Check liefert eine schematische, unverbindliche Ersteinschätzung — kein Rechtsgutachten, aber ein strukturierter Ausgangspunkt für Ihre interne Beurteilung.

Was der interaktive Check leistet

In wenigen Schritten führt der Check Sie durch die entscheidenden Fragen:

  • Handelt es sich um ein „Produkt mit digitalen Elementen" im Sinne der Verordnung (EU) 2024/2847?
  • In welcher Rolle treten Sie auf — als Hersteller, Importeur oder Händler?
  • Fällt Ihr Produkt unter eine der anerkannten Ausnahmen (z. B. Medizinprodukte, Luftfahrt, Kfz-Typgenehmigung)?
  • Welcher Produktklasse könnte Ihr Produkt typischerweise zuzuordnen sein — Standard, wichtig (Klasse I oder II) oder kritisch?

Das Ergebnis zeigt Ihnen, welche Pflichten typischerweise auf Sie zukommen könnten — damit Sie wissen, wo Sie anfangen müssen.

Hinweis: Der Check ersetzt keine rechtliche oder technische Einzelfallprüfung. Die endgültige Einordnung Ihres Produkts hängt von konkreten technischen und rechtlichen Merkmalen ab, die nur eine individuelle Analyse klären kann.

Wer ist vom CRA betroffen? Die drei Rollen im Überblick

Die Verordnung richtet sich an alle Akteure im Vertriebsweg von Produkten mit digitalen Elementen. Welche Pflichten Sie treffen, hängt entscheidend davon ab, welche Rolle Sie einnehmen.

Hersteller

Als Hersteller gelten natürliche oder juristische Personen, die ein Produkt mit digitalen Elementen entwickeln oder herstellen — oder entwickeln bzw. herstellen lassen — und es unter eigenem Namen oder eigener Marke auf dem EU-Markt bereitstellen. Das gilt auch, wenn das Produkt kostenlos angeboten wird. Hersteller tragen die umfassendsten Pflichten: Security-by-Design, Schwachstellen-Handling, SBOM, technische Dokumentation, CE-Kennzeichnung und Meldepflichten ab dem 11. September 2026.

Importeur

Importeure bringen Produkte mit digitalen Elementen aus Drittländern in den EU-Markt. Sie müssen sicherstellen, dass der Hersteller seine Pflichten erfüllt hat, bevor sie das Produkt bereitstellen. Können sie das nicht verifizieren, dürfen sie das Produkt typischerweise nicht in Verkehr bringen.

Händler

Händler stellen Produkte auf dem EU-Markt bereit, ohne sie herzustellen oder zu importieren. Auch für sie gelten Sorgfaltspflichten — sie müssen prüfen, ob das Produkt den CRA-Anforderungen entspricht, bevor sie es weitergeben.

Rollenvergleich: Typische CRA-Pflichten auf einen Blick
Pflicht Hersteller Importeur Händler
Security-by-Design Ja Nein (Prüfpflicht) Nein (Prüfpflicht)
Technische Dokumentation / SBOM Ja Verfügbarkeit sicherstellen Weitergabepflicht
CE-Kennzeichnung Ja (angebracht) Prüfen vor Bereitstellung Prüfen vor Bereitstellung
Meldepflichten ab 11.09.2026 Ja Weiterleitungspflicht Weiterleitungspflicht

Wer ist nicht betroffen? Anerkannte Ausnahmen

Der CRA gilt nicht für Produkte, die bereits durch andere EU-Rechtsakte gleichwertig geregelt sind. Zu den wichtigsten Ausnahmebereichen gehören typischerweise:

  • Medizinprodukte — reguliert durch MDR (EU) 2017/745 und IVDR (EU) 2017/746
  • Kraftfahrzeuge — abgedeckt durch die EU-Kfz-Typgenehmigungsverordnung
  • Luftfahrtprodukte — reguliert durch EASA-Regelwerk

Wichtig: Diese Ausnahmen gelten nur, wenn das betreffende sektorale Regelwerk einen gleichwertigen Schutz bietet. Die Einordnung im Einzelfall ist auslegungsbedürftig — im Zweifel sollte eine individuelle Prüfung erfolgen.

Besonderheiten gelten zudem für Open-Source-Software: Open-Source-Stewards unterliegen einem erleichterten Regime. Auch kommerzielle Hersteller, die quelloffene Software im Sinne der Verordnung bereitstellen, können unter bestimmten Bedingungen von vereinfachten Konformitätswegen profitieren.

Für eine systematische Prüfung der Betroffenheit — einschließlich Rollen und Ausnahmen — empfehlen wir den ausführlichen Artikel: Cyber Resilience Act — bin ich betroffen? Rollen & Ausnahmen erklärt.

Produktklassen: Welche Konformitätsbewertung gilt?

Nicht alle Produkte mit digitalen Elementen werden gleich behandelt. Der CRA unterscheidet drei risikobasierte Kategorien, die bestimmen, wie aufwändig der Konformitätsnachweis ist.

CRA-Produktklassen und Konformitätsbewertung (schematisch)
Klasse Typische Produkte (Beispiele) Konformitätsbewertung
Standard Mobile Apps, Computerspiele, Smart Speaker, Speicherchips Selbstbewertung (Modul A)
Wichtig — Klasse I (Anhang III) Identitäts- und Zugriffsmanagementsoftware, Browser, Passwortmanager, VPN, SIEM, PKI, Netzwerk-Monitoring Selbstbewertung nur bei Anwendung harmonisierter Normen oder gemeinsamer Spezifikationen; sonst notifizierte Stelle
Wichtig — Klasse II (Anhang III) Hypervisoren, Container-Runtimes, Firewalls, Intrusion-Detection-/-Prevention-Systeme, manipulationssichere Mikroprozessoren und Mikrocontroller Notifizierte Stelle verpflichtend (Modul B+C oder Modul H)
Kritisch (Anhang IV) Smartcards, Secure Elements, Smart-Meter-Gateways Notifizierte Stelle oder verpflichtendes EU-Zertifizierungsschema

Die genaue Zuordnung eines konkreten Produkts zu einer Klasse ist abhängig von technischen Beschreibungen, die die Durchführungsverordnung (EU) 2025/2392 konkretisiert. In vielen Fällen ist eine Einzelfallbeurteilung erforderlich. Die obigen Beispiele sind schematisch und begründen keine verbindliche Rechtsfolge für Ihr Produkt.

Mehr zu Produktklassen und Konformitätswegen: CRA-Produktklassen: Standard, Klasse I/II und kritisch — Einordnung & Prüfwege.

Was kommt nach dem Check?

Der Betroffenheits-Check gibt Ihnen eine erste Orientierung. Für die konkrete Umsetzung empfehlen sich folgende nächste Schritte:

  1. Meldepflichten priorisieren: Ab dem 11. September 2026 gelten verbindliche Fristen für die Meldung aktiv ausgenutzter Schwachstellen und schwerer Vorfälle — das ist die erste harte Frist. CRA Meldepflicht ab 11. September 2026
  2. Produktklasse bestimmen: Klären Sie frühzeitig, ob Ihr Produkt als Standard, wichtig oder kritisch eingestuft werden könnte — das beeinflusst den Aufwand für die Konformitätsbewertung erheblich.
  3. SBOM aufbauen: Die Software Bill of Materials ist Voraussetzung für schnelles Schwachstellen-Handling und für die Meldepflicht. SBOM-Anforderungen im CRA
  4. Gesamtüberblick verschaffen: Alle Herstellerpflichten im Zusammenhang: Cyber Resilience Act: Anforderungen, Fristen & Pflichten für Hersteller

Häufige Fragen

Was ist ein Produkt mit digitalen Elementen?
Der CRA erfasst Hardware- und Softwareprodukte, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk haben. Dazu zählen typischerweise vernetzte Geräte, industrielle Steuerungssysteme, Sicherheitssoftware, aber auch einfache Apps und Smart-Home-Geräte. Die genaue Abgrenzung hängt vom Einzelfall ab.
Gilt der CRA auch für kostenlose Software?
Ja. Die Verordnung gilt unabhängig davon, ob ein Produkt entgeltlich oder unentgeltlich bereitgestellt wird. Auch kostenlose Software, die auf dem EU-Markt bereitgestellt wird, unterliegt typischerweise den Anforderungen des CRA — sofern der Anbieter als Hersteller im Sinne der Verordnung gilt.
Ab wann muss ich konkret handeln?
Die erste harte Frist ist der 11. September 2026: Ab dann gelten Melde- und Berichtspflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle. Die vollständigen Produktanforderungen (Security-by-Design, SBOM, CE-Kennzeichnung etc.) gelten ab dem 11. Dezember 2027. Angesichts des Aufwands für Konformitätsbewertung und Prozessaufbau sollte jetzt mit der Vorbereitung begonnen werden.
Gilt der CRA auch für KMU und kleine Softwarehersteller?
Ja — der CRA kennt keine generelle Ausnahme für kleine oder mittlere Unternehmen. Alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, unterliegen grundsätzlich den Anforderungen. Kleinstunternehmen profitieren punktuell von erleichterten Regelungen, sind aber nicht vollständig befreit.
Was passiert, wenn mein Produkt unter Medizinprodukte- oder Kfz-Recht fällt?
Produkte, die bereits durch gleichwertige sektorale EU-Rechtsakte reguliert sind — etwa Medizinprodukte nach MDR/IVDR oder Kraftfahrzeuge nach der Kfz-Typgenehmigungsverordnung — sind vom CRA ausgenommen. Entscheidend ist, ob das sektorale Regelwerk tatsächlich einen gleichwertigen Cybersecurity-Schutz bietet; diese Abgrenzung ist im Einzelfall zu prüfen.

Sprechen wir über Ihre CRA-Readiness

Haben Sie Ihr Produkt grob eingeordnet? Sprechen Sie mit Christian Gebhardt von Blackfort Technology über die nächsten konkreten Schritte — unverbindliches Erstgespräch, kein Overhead.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.