Blackfort TechnologyBlackfort Technology

Cyber Resilience Act für IoT, Embedded & smarte Produkte

Blackfort Technology · Cyber Resilience Act nach Branche

Hinweis: Dieser Beitrag bietet allgemeine technisch-organisatorische Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und ist keine Rechtsberatung. Maßgeblich ist stets der geltende Verordnungstext; eine verbindliche Beurteilung Ihres Einzelfalls ersetzt dieser Beitrag nicht. Blackfort Technology erbringt technisch-organisatorische IT-Security- und Compliance-Beratung, keine Rechtsdienstleistungen i.S.d. RDG.

Vernetzte Produkte mit digitalen Elementen – vom smarten Türschloss über Router und Wearables bis zur industriellen Steuerung – fallen im Regelfall in den Anwendungsbereich des Cyber Resilience Act (Verordnung (EU) 2024/2847). Maßgeblich ist die direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz (Art. 2(1), Art. 3(1)). Für Hersteller von IoT- und Embedded-Produkten heißt das: Cybersicherheit wird zur Voraussetzung für die CE-Kennzeichnung und damit für den Marktzugang im EWR. Diese Seite gibt eine technisch-organisatorische Orientierung – keine Rechtsberatung.

Der entscheidende Punkt: Delegierte Verordnung (EU) 2022/30 (RED) → CRA

Speziell für Funk-/Wireless-Geräte gibt es ein Übergangsfenster, das viele IoT-Hersteller übersehen. Die Delegierte Verordnung (EU) 2022/30 aktiviert die Cybersicherheitsanforderungen der Funkanlagenrichtlinie (RED). Sie gilt ab 1. August 2025 und wird zum 11. Dezember 2027 aufgehoben, wenn der CRA allgemein anwendbar wird.

Es entsteht also ein Interimsfenster vom 1. August 2025 bis 11. Dezember 2027: In dieser Zeit greifen für Funkgeräte die RED-Cybersicherheitsanforderungen, danach löst der CRA sie horizontal ab. Unsere Empfehlung für Neuentwicklungen: direkt auf den CRA hin bauen – die Anforderungen überlappen stark, und wer heute nur die RED-Minimalstrecke fährt, riskiert eine zweite Umstellung 2027. Ein einmaliges, CRA-konformes Design vermeidet doppelten Aufwand.

Sind Ihre Produkte betroffen?

Als „Produkt mit digitalen Elementen“ (PDE) gilt jedes Software- oder Hardwareprodukt samt zugehöriger Fernverarbeitungslösungen (Art. 3(1)). Auch ein Cloud-/Backend-Bestandteil, ohne den eine Produktfunktion nicht mehr arbeitet und der vom Hersteller bereitgestellt wird, zählt als integraler Teil des PDE (Art. 3(2)). Ausgenommen sind u. a. Medizinprodukte (MDR/IVDR), Kraftfahrzeuge und Produkte unter gleichwertigen Unionsregeln (Art. 2). Eine reine, eigenständige SaaS-/Cloud-Anwendung fällt im Regelfall nicht unter den CRA, sondern unter NIS2 – die Abgrenzung ist an den Rändern jedoch nicht immer eindeutig.

Prüfen Sie Ihre grundsätzliche Betroffenheit über unseren CRA-Betroffenheits-Check.

Produktklassen: Wie streng wird die Konformität bewertet?

Der CRA kennt vier Stufen (Art. 32, Anhänge III/IV). Die Einordnung entscheidet über den Konformitätsweg. Sie ist typischerweise wie folgt zu verstehen – im Zweifel konservativ einstufen und prüfen lassen:

Standard (nicht klassifiziert)

Der Regelfall für die meisten Produkte: Selbstbewertung (Modul A). Kein Notified Body erforderlich.

Wichtig – Klasse I (Anhang III)

Viele vernetzte Consumer- und Industrieprodukte können hier landen, z. B. Smart-Home-Assistenten, smarte Schlösser/Kameras/Alarmanlagen, vernetztes Spielzeug, Health-Wearables, Router/Modems/Switches, Mikrocontroller mit Sicherheitsfunktionen. Selbstbewertung nur, wenn harmonisierte Normen vollständig angewandt werden – sonst Drittprüfung (Modul B+C oder H).

Wichtig – Klasse II (Anhang III)

Z. B. Firewalls, IDS/IPS sowie manipulationssichere Mikroprozessoren/-controller. Hier ist immer eine Drittprüfung durch eine benannte Stelle erforderlich, keine Selbstbewertung.

Kritisch (Anhang IV)

Z. B. Secure Elements, Smart-Meter-Gateways, HSMs. Häufig europäisches Zertifizierungsschema (mindestens „substanziell“).

Wichtig: Ein Notified Body ist nur für Klasse II und kritische Produkte zwingend – nicht „alle Produkte brauchen eine benannte Stelle“. Details zur Einstufung finden Sie unter CRA-Produktklassen. Die technischen Kategoriebeschreibungen konkretisiert die Durchführungsverordnung (EU) 2025/2392.

Kernpflichten & Handlungsfelder für IoT-Hersteller

Aus Anhang I und den Herstellerpflichten (Art. 13/14) ergeben sich für vernetzte Produkte insbesondere folgende Handlungsfelder:

  • Sichere Standardkonfiguration: Auslieferung mit sicheren Grundeinstellungen (security-by-default), keine fest verdrahteten Standardpasswörter, minimale Angriffsfläche.
  • Sichere, kostenlose Updates: Sicherheitsupdates ohne Verzögerung und unentgeltlich bereitstellen; Sicherheits- von Funktionsupdates trennen, wo möglich; abgesicherte Update-Verteilung.
  • Support-Zeitraum: in der Regel mindestens 5 Jahre (bzw. kürzere erwartete Nutzungsdauer). Bei langlebigen Embedded-Geräten früh in Roadmap und BOM einplanen.
  • Schwachstellenmanagement inkl. SBOM: Schwachstellen und Komponenten identifizieren und dokumentieren – einschließlich einer SBOM in einem gängigen, maschinenlesbaren Format, mindestens für die Top-Level-Abhängigkeiten. Die Verordnung schreibt kein bestimmtes Format vor (CycloneDX, SPDX o. ä. erfüllen dies als anerkannte Formate).
  • CVD-Policy: eine verpflichtende Coordinated-Vulnerability-Disclosure-Richtlinie samt Kontaktadresse zur Meldung.
  • Technische Dokumentation (Anhang VII) & CE: Architektur, SBOM, CVD-Policy, Update-Verteilung, Risikobewertung mit Bezug zu Anhang I; EU-Konformitätserklärung (Art. 28), CE-Kennzeichnung (Art. 30). Aufbewahrung mindestens 10 Jahre (bzw. Support-Zeitraum).
  • Meldepflichten (Art. 14): aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an CSIRT/ENISA melden – Frühwarnung binnen 24 h, Meldung binnen 72 h, Abschlussbericht binnen 14 Tagen nach verfügbarem Fix (Schwachstellen) bzw. innerhalb eines Monats (Vorfälle).

Zeitplan: Diese Fristen gelten

DatumWas gilt
10. Dezember 2024Inkrafttreten des CRA (noch keine durchsetzbaren Produktpflichten).
1. August 2025Delegierte Verordnung (EU) 2022/30 (RED) anwendbar – Cybersicherheit für Funkgeräte (Interimsfenster beginnt).
11. Juni 2026Regelungen zu notifizierten Stellen (Kapitel IV) anwendbar.
11. September 2026Meldepflichten der Hersteller (Art. 14) – auch für bereits im Markt befindliche Produkte.
11. Dezember 2027Allgemeine Anwendung: Anhang-I-Anforderungen, Konformitätsbewertung, CE-Kennzeichnung – RED 2022/30 wird zeitgleich aufgehoben.

Empfohlene Roadmap: (1) Produktportfolio klassifizieren und Betroffenheit klären; (2) Gap-Analyse gegen Anhang I; (3) SBOM-Pipeline und CVD-Policy aufsetzen; (4) Update- und Support-Prozesse für ≥5 Jahre etablieren; (5) technische Dokumentation und Konformitätsweg vorbereiten. Wer Funkgeräte heute schon CRA-konform auslegt, bedient das RED-Interim mit und vermeidet die Umstellung 2027.

Hintergrund und Gesamtüberblick: Cyber Resilience Act.

Häufige Fragen

Fallen meine IoT-Geräte wirklich unter den CRA?
Im Regelfall ja: Sobald ein Produkt eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netz hat, gilt es typischerweise als Produkt mit digitalen Elementen (Art. 2(1), 3(1)). Ausnahmen bestehen u. a. für Medizinprodukte, Kraftfahrzeuge und Produkte unter gleichwertigen Unionsregeln. Eine belastbare Einordnung ersetzt diese allgemeine Information nicht.
Was bedeutet die RED-Verordnung (EU) 2022/30 für mich?
Für Funk-/Wireless-Geräte aktiviert die Delegierte Verordnung (EU) 2022/30 ab 1. August 2025 Cybersicherheitsanforderungen der RED. Sie wird am 11. Dezember 2027 aufgehoben, wenn der CRA allgemein anwendbar wird. In diesem Interimsfenster kann es sich lohnen, gleich CRA-konform zu entwickeln, um eine zweite Umstellung zu vermeiden.
Brauche ich für mein smartes Produkt eine benannte Stelle (Notified Body)?
Meist nicht. Die meisten Produkte werden selbst bewertet (Modul A). Produkte der wichtigen Klasse I können sich selbst bewerten, wenn harmonisierte Normen vollständig angewandt werden. Zwingend ist eine benannte Stelle im Regelfall nur für wichtige Klasse II (z. B. Firewalls, IDS/IPS) und kritische Produkte.
Welches SBOM-Format schreibt der CRA vor?
Der CRA verlangt eine SBOM in einem gängigen, maschinenlesbaren Format, das mindestens die Top-Level-Abhängigkeiten abdeckt (Anhang I Teil II). Ein bestimmtes Format ist gesetzlich nicht vorgeschrieben; anerkannte Formate wie CycloneDX oder SPDX erfüllen die Anforderung. Die SBOM wird Behörden auf begründetes Verlangen offengelegt, nicht zwingend veröffentlicht.
Ab wann muss ich konform sein und was passiert bei Verstößen?
Der CRA ist am 10. Dezember 2024 in Kraft getreten; die Meldepflichten (Art. 14) gelten ab 11. September 2026, die allgemeine Anwendung mit CE-Kennzeichnung ab 11. Dezember 2027. Bußgelder können je nach Verstoß bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes betragen (Art. 64) – nicht mit dem DSGVO-Rahmen zu verwechseln.

Sprechen wir über Ihre CRA-Readiness

Lassen Sie Ihr IoT-Portfolio auf CRA- und RED-Betroffenheit prüfen – wir erstellen mit Ihnen eine priorisierte Roadmap bis 2027.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.