Gilt der Cyber Resilience Act für Ihr Produkt?
Erst verstehen, dann handeln
Die erste Frage, die sich jedes Unternehmen beim Cyber Resilience Act stellen muss, ist nicht „Was muss ich tun?" — sondern „Bin ich überhaupt betroffen und in welcher Rolle?"
Die Antwort hängt davon ab, was Sie herstellen oder vertreiben und welche Rolle Sie im Vertriebsweg einnehmen. Der nachfolgende Check liefert eine schematische, unverbindliche Ersteinschätzung — kein Rechtsgutachten, aber ein strukturierter Ausgangspunkt für Ihre interne Beurteilung.
Was der interaktive Check leistet
In wenigen Schritten führt der Check Sie durch die entscheidenden Fragen:
- Handelt es sich um ein „Produkt mit digitalen Elementen" im Sinne der Verordnung (EU) 2024/2847?
- In welcher Rolle treten Sie auf — als Hersteller, Importeur oder Händler?
- Fällt Ihr Produkt unter eine der anerkannten Ausnahmen (z. B. Medizinprodukte, Luftfahrt, Kfz-Typgenehmigung)?
- Welcher Produktklasse könnte Ihr Produkt typischerweise zuzuordnen sein — Standard, wichtig (Klasse I oder II) oder kritisch?
Das Ergebnis zeigt Ihnen, welche Pflichten typischerweise auf Sie zukommen könnten — damit Sie wissen, wo Sie anfangen müssen.
Hinweis: Der Check ersetzt keine rechtliche oder technische Einzelfallprüfung. Die endgültige Einordnung Ihres Produkts hängt von konkreten technischen und rechtlichen Merkmalen ab, die nur eine individuelle Analyse klären kann.
Wer ist vom CRA betroffen? Die drei Rollen im Überblick
Die Verordnung richtet sich an alle Akteure im Vertriebsweg von Produkten mit digitalen Elementen. Welche Pflichten Sie treffen, hängt entscheidend davon ab, welche Rolle Sie einnehmen.
Hersteller
Als Hersteller gelten natürliche oder juristische Personen, die ein Produkt mit digitalen Elementen entwickeln oder herstellen — oder entwickeln bzw. herstellen lassen — und es unter eigenem Namen oder eigener Marke auf dem EU-Markt bereitstellen. Das gilt auch, wenn das Produkt kostenlos angeboten wird. Hersteller tragen die umfassendsten Pflichten: Security-by-Design, Schwachstellen-Handling, SBOM, technische Dokumentation, CE-Kennzeichnung und Meldepflichten ab dem 11. September 2026.
Importeur
Importeure bringen Produkte mit digitalen Elementen aus Drittländern in den EU-Markt. Sie müssen sicherstellen, dass der Hersteller seine Pflichten erfüllt hat, bevor sie das Produkt bereitstellen. Können sie das nicht verifizieren, dürfen sie das Produkt typischerweise nicht in Verkehr bringen.
Händler
Händler stellen Produkte auf dem EU-Markt bereit, ohne sie herzustellen oder zu importieren. Auch für sie gelten Sorgfaltspflichten — sie müssen prüfen, ob das Produkt den CRA-Anforderungen entspricht, bevor sie es weitergeben.
| Pflicht | Hersteller | Importeur | Händler |
|---|---|---|---|
| Security-by-Design | Ja | Nein (Prüfpflicht) | Nein (Prüfpflicht) |
| Technische Dokumentation / SBOM | Ja | Verfügbarkeit sicherstellen | Weitergabepflicht |
| CE-Kennzeichnung | Ja (angebracht) | Prüfen vor Bereitstellung | Prüfen vor Bereitstellung |
| Meldepflichten ab 11.09.2026 | Ja | Weiterleitungspflicht | Weiterleitungspflicht |
Wer ist nicht betroffen? Anerkannte Ausnahmen
Der CRA gilt nicht für Produkte, die bereits durch andere EU-Rechtsakte gleichwertig geregelt sind. Zu den wichtigsten Ausnahmebereichen gehören typischerweise:
- Medizinprodukte — reguliert durch MDR (EU) 2017/745 und IVDR (EU) 2017/746
- Kraftfahrzeuge — abgedeckt durch die EU-Kfz-Typgenehmigungsverordnung
- Luftfahrtprodukte — reguliert durch EASA-Regelwerk
Wichtig: Diese Ausnahmen gelten nur, wenn das betreffende sektorale Regelwerk einen gleichwertigen Schutz bietet. Die Einordnung im Einzelfall ist auslegungsbedürftig — im Zweifel sollte eine individuelle Prüfung erfolgen.
Besonderheiten gelten zudem für Open-Source-Software: Open-Source-Stewards unterliegen einem erleichterten Regime. Auch kommerzielle Hersteller, die quelloffene Software im Sinne der Verordnung bereitstellen, können unter bestimmten Bedingungen von vereinfachten Konformitätswegen profitieren.
Für eine systematische Prüfung der Betroffenheit — einschließlich Rollen und Ausnahmen — empfehlen wir den ausführlichen Artikel: Cyber Resilience Act — bin ich betroffen? Rollen & Ausnahmen erklärt.
Produktklassen: Welche Konformitätsbewertung gilt?
Nicht alle Produkte mit digitalen Elementen werden gleich behandelt. Der CRA unterscheidet drei risikobasierte Kategorien, die bestimmen, wie aufwändig der Konformitätsnachweis ist.
| Klasse | Typische Produkte (Beispiele) | Konformitätsbewertung |
|---|---|---|
| Standard | Mobile Apps, Computerspiele, Smart Speaker, Speicherchips | Selbstbewertung (Modul A) |
| Wichtig — Klasse I (Anhang III) | Identitäts- und Zugriffsmanagementsoftware, Browser, Passwortmanager, VPN, SIEM, PKI, Netzwerk-Monitoring | Selbstbewertung nur bei Anwendung harmonisierter Normen oder gemeinsamer Spezifikationen; sonst notifizierte Stelle |
| Wichtig — Klasse II (Anhang III) | Hypervisoren, Container-Runtimes, Firewalls, Intrusion-Detection-/-Prevention-Systeme, manipulationssichere Mikroprozessoren und Mikrocontroller | Notifizierte Stelle verpflichtend (Modul B+C oder Modul H) |
| Kritisch (Anhang IV) | Smartcards, Secure Elements, Smart-Meter-Gateways | Notifizierte Stelle oder verpflichtendes EU-Zertifizierungsschema |
Die genaue Zuordnung eines konkreten Produkts zu einer Klasse ist abhängig von technischen Beschreibungen, die die Durchführungsverordnung (EU) 2025/2392 konkretisiert. In vielen Fällen ist eine Einzelfallbeurteilung erforderlich. Die obigen Beispiele sind schematisch und begründen keine verbindliche Rechtsfolge für Ihr Produkt.
Mehr zu Produktklassen und Konformitätswegen: CRA-Produktklassen: Standard, Klasse I/II und kritisch — Einordnung & Prüfwege.
Was kommt nach dem Check?
Der Betroffenheits-Check gibt Ihnen eine erste Orientierung. Für die konkrete Umsetzung empfehlen sich folgende nächste Schritte:
- Meldepflichten priorisieren: Ab dem 11. September 2026 gelten verbindliche Fristen für die Meldung aktiv ausgenutzter Schwachstellen und schwerer Vorfälle — das ist die erste harte Frist. CRA Meldepflicht ab 11. September 2026
- Produktklasse bestimmen: Klären Sie frühzeitig, ob Ihr Produkt als Standard, wichtig oder kritisch eingestuft werden könnte — das beeinflusst den Aufwand für die Konformitätsbewertung erheblich.
- SBOM aufbauen: Die Software Bill of Materials ist Voraussetzung für schnelles Schwachstellen-Handling und für die Meldepflicht. SBOM-Anforderungen im CRA
- Gesamtüberblick verschaffen: Alle Herstellerpflichten im Zusammenhang: Cyber Resilience Act: Anforderungen, Fristen & Pflichten für Hersteller
Häufige Fragen
Was ist ein Produkt mit digitalen Elementen?
Gilt der CRA auch für kostenlose Software?
Ab wann muss ich konkret handeln?
Gilt der CRA auch für KMU und kleine Softwarehersteller?
Was passiert, wenn mein Produkt unter Medizinprodukte- oder Kfz-Recht fällt?
Sprechen wir über Ihre CRA-Readiness
Haben Sie Ihr Produkt grob eingeordnet? Sprechen Sie mit Christian Gebhardt von Blackfort Technology über die nächsten konkreten Schritte — unverbindliches Erstgespräch, kein Overhead.
Erstgespräch anfragen Betroffenheit prüfen