Cyber Resilience Act für IoT, Embedded & smarte Produkte
Vernetzte Produkte mit digitalen Elementen – vom smarten Türschloss über Router und Wearables bis zur industriellen Steuerung – fallen im Regelfall in den Anwendungsbereich des Cyber Resilience Act (Verordnung (EU) 2024/2847). Maßgeblich ist die direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz (Art. 2(1), Art. 3(1)). Für Hersteller von IoT- und Embedded-Produkten heißt das: Cybersicherheit wird zur Voraussetzung für die CE-Kennzeichnung und damit für den Marktzugang im EWR. Diese Seite gibt eine technisch-organisatorische Orientierung – keine Rechtsberatung.
Der entscheidende Punkt: Delegierte Verordnung (EU) 2022/30 (RED) → CRA
Speziell für Funk-/Wireless-Geräte gibt es ein Übergangsfenster, das viele IoT-Hersteller übersehen. Die Delegierte Verordnung (EU) 2022/30 aktiviert die Cybersicherheitsanforderungen der Funkanlagenrichtlinie (RED). Sie gilt ab 1. August 2025 und wird zum 11. Dezember 2027 aufgehoben, wenn der CRA allgemein anwendbar wird.
Es entsteht also ein Interimsfenster vom 1. August 2025 bis 11. Dezember 2027: In dieser Zeit greifen für Funkgeräte die RED-Cybersicherheitsanforderungen, danach löst der CRA sie horizontal ab. Unsere Empfehlung für Neuentwicklungen: direkt auf den CRA hin bauen – die Anforderungen überlappen stark, und wer heute nur die RED-Minimalstrecke fährt, riskiert eine zweite Umstellung 2027. Ein einmaliges, CRA-konformes Design vermeidet doppelten Aufwand.
Sind Ihre Produkte betroffen?
Als „Produkt mit digitalen Elementen“ (PDE) gilt jedes Software- oder Hardwareprodukt samt zugehöriger Fernverarbeitungslösungen (Art. 3(1)). Auch ein Cloud-/Backend-Bestandteil, ohne den eine Produktfunktion nicht mehr arbeitet und der vom Hersteller bereitgestellt wird, zählt als integraler Teil des PDE (Art. 3(2)). Ausgenommen sind u. a. Medizinprodukte (MDR/IVDR), Kraftfahrzeuge und Produkte unter gleichwertigen Unionsregeln (Art. 2). Eine reine, eigenständige SaaS-/Cloud-Anwendung fällt im Regelfall nicht unter den CRA, sondern unter NIS2 – die Abgrenzung ist an den Rändern jedoch nicht immer eindeutig.
Prüfen Sie Ihre grundsätzliche Betroffenheit über unseren CRA-Betroffenheits-Check.
Produktklassen: Wie streng wird die Konformität bewertet?
Der CRA kennt vier Stufen (Art. 32, Anhänge III/IV). Die Einordnung entscheidet über den Konformitätsweg. Sie ist typischerweise wie folgt zu verstehen – im Zweifel konservativ einstufen und prüfen lassen:
Standard (nicht klassifiziert)
Der Regelfall für die meisten Produkte: Selbstbewertung (Modul A). Kein Notified Body erforderlich.
Wichtig – Klasse I (Anhang III)
Viele vernetzte Consumer- und Industrieprodukte können hier landen, z. B. Smart-Home-Assistenten, smarte Schlösser/Kameras/Alarmanlagen, vernetztes Spielzeug, Health-Wearables, Router/Modems/Switches, Mikrocontroller mit Sicherheitsfunktionen. Selbstbewertung nur, wenn harmonisierte Normen vollständig angewandt werden – sonst Drittprüfung (Modul B+C oder H).
Wichtig – Klasse II (Anhang III)
Z. B. Firewalls, IDS/IPS sowie manipulationssichere Mikroprozessoren/-controller. Hier ist immer eine Drittprüfung durch eine benannte Stelle erforderlich, keine Selbstbewertung.
Kritisch (Anhang IV)
Z. B. Secure Elements, Smart-Meter-Gateways, HSMs. Häufig europäisches Zertifizierungsschema (mindestens „substanziell“).
Wichtig: Ein Notified Body ist nur für Klasse II und kritische Produkte zwingend – nicht „alle Produkte brauchen eine benannte Stelle“. Details zur Einstufung finden Sie unter CRA-Produktklassen. Die technischen Kategoriebeschreibungen konkretisiert die Durchführungsverordnung (EU) 2025/2392.
Kernpflichten & Handlungsfelder für IoT-Hersteller
Aus Anhang I und den Herstellerpflichten (Art. 13/14) ergeben sich für vernetzte Produkte insbesondere folgende Handlungsfelder:
- Sichere Standardkonfiguration: Auslieferung mit sicheren Grundeinstellungen (security-by-default), keine fest verdrahteten Standardpasswörter, minimale Angriffsfläche.
- Sichere, kostenlose Updates: Sicherheitsupdates ohne Verzögerung und unentgeltlich bereitstellen; Sicherheits- von Funktionsupdates trennen, wo möglich; abgesicherte Update-Verteilung.
- Support-Zeitraum: in der Regel mindestens 5 Jahre (bzw. kürzere erwartete Nutzungsdauer). Bei langlebigen Embedded-Geräten früh in Roadmap und BOM einplanen.
- Schwachstellenmanagement inkl. SBOM: Schwachstellen und Komponenten identifizieren und dokumentieren – einschließlich einer SBOM in einem gängigen, maschinenlesbaren Format, mindestens für die Top-Level-Abhängigkeiten. Die Verordnung schreibt kein bestimmtes Format vor (CycloneDX, SPDX o. ä. erfüllen dies als anerkannte Formate).
- CVD-Policy: eine verpflichtende Coordinated-Vulnerability-Disclosure-Richtlinie samt Kontaktadresse zur Meldung.
- Technische Dokumentation (Anhang VII) & CE: Architektur, SBOM, CVD-Policy, Update-Verteilung, Risikobewertung mit Bezug zu Anhang I; EU-Konformitätserklärung (Art. 28), CE-Kennzeichnung (Art. 30). Aufbewahrung mindestens 10 Jahre (bzw. Support-Zeitraum).
- Meldepflichten (Art. 14): aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an CSIRT/ENISA melden – Frühwarnung binnen 24 h, Meldung binnen 72 h, Abschlussbericht binnen 14 Tagen nach verfügbarem Fix (Schwachstellen) bzw. innerhalb eines Monats (Vorfälle).
Zeitplan: Diese Fristen gelten
| Datum | Was gilt |
|---|---|
| 10. Dezember 2024 | Inkrafttreten des CRA (noch keine durchsetzbaren Produktpflichten). |
| 1. August 2025 | Delegierte Verordnung (EU) 2022/30 (RED) anwendbar – Cybersicherheit für Funkgeräte (Interimsfenster beginnt). |
| 11. Juni 2026 | Regelungen zu notifizierten Stellen (Kapitel IV) anwendbar. |
| 11. September 2026 | Meldepflichten der Hersteller (Art. 14) – auch für bereits im Markt befindliche Produkte. |
| 11. Dezember 2027 | Allgemeine Anwendung: Anhang-I-Anforderungen, Konformitätsbewertung, CE-Kennzeichnung – RED 2022/30 wird zeitgleich aufgehoben. |
Empfohlene Roadmap: (1) Produktportfolio klassifizieren und Betroffenheit klären; (2) Gap-Analyse gegen Anhang I; (3) SBOM-Pipeline und CVD-Policy aufsetzen; (4) Update- und Support-Prozesse für ≥5 Jahre etablieren; (5) technische Dokumentation und Konformitätsweg vorbereiten. Wer Funkgeräte heute schon CRA-konform auslegt, bedient das RED-Interim mit und vermeidet die Umstellung 2027.
Hintergrund und Gesamtüberblick: Cyber Resilience Act.
Häufige Fragen
Fallen meine IoT-Geräte wirklich unter den CRA?
Was bedeutet die RED-Verordnung (EU) 2022/30 für mich?
Brauche ich für mein smartes Produkt eine benannte Stelle (Notified Body)?
Welches SBOM-Format schreibt der CRA vor?
Ab wann muss ich konform sein und was passiert bei Verstößen?
Sprechen wir über Ihre CRA-Readiness
Lassen Sie Ihr IoT-Portfolio auf CRA- und RED-Betroffenheit prüfen – wir erstellen mit Ihnen eine priorisierte Roadmap bis 2027.
Erstgespräch anfragen Betroffenheit prüfen