Blackfort TechnologyBlackfort Technology

Cyber Resilience Act für Software- & SaaS-Hersteller

Blackfort Technology · Cyber Resilience Act nach Branche

Hinweis: Dieser Beitrag bietet allgemeine technisch-organisatorische Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und ist keine Rechtsberatung. Maßgeblich ist stets der geltende Verordnungstext; eine verbindliche Beurteilung Ihres Einzelfalls ersetzt dieser Beitrag nicht. Blackfort Technology erbringt technisch-organisatorische IT-Security- und Compliance-Beratung, keine Rechtsdienstleistungen i.S.d. RDG.

Der EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen auf horizontale Cybersicherheitsanforderungen. Für Software- und SaaS-Anbieter ist die zentrale Frage: Bin ich mit meinem Produkt im Anwendungsbereich — und wenn ja, mit welchem Teil? Diese Seite ordnet die Rechtslage technisch-organisatorisch ein. Sie liefert Orientierung, keine verbindliche Einzelfallberatung; eine rechtliche Bewertung im Einzelfall bleibt der Rechtsberatung vorbehalten.

Warum eigenständige Software betroffen ist

Ein Produkt mit digitalen Elementen (Art. 3(1)) ist ein Software- oder Hardware-Produkt samt zugehöriger Datenfernverarbeitung, auch wenn Komponenten separat auf den Markt gebracht werden. Auslöser (Art. 2(1)) ist eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz. Eigenständige Software — also Anwendungen, die auf den Markt gebracht oder in Verkehr gebracht werden — gilt damit im Regelfall als Produkt mit digitalen Elementen und fällt in den Anwendungsbereich des CRA. Das ist der entscheidende Punkt für Software-Hersteller: Der CRA betrifft nicht nur „Geräte“, sondern auch reine Softwareprodukte.

Die Grenze: SaaS vs. Produkt

Eigenständiges SaaS bzw. reine Cloud-Dienste fallen im Regelfall NICHT automatisch unter den CRA — sie werden typischerweise der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) zugeordnet. Ein wichtiger Sonderfall bleibt jedoch im Anwendungsbereich: Eine Datenfernverarbeitung, die integraler Bestandteil eines Produkts ist (Art. 3(2)) — also eine Cloud- oder Backend-Funktion, deren Fehlen eine Produktfunktion ausfallen lassen würde und die vom Hersteller oder unter seiner Verantwortung bereitgestellt wird — zählt als Teil dieses Produkts mit digitalen Elementen und ist damit erfasst. Beispiel: Eine Companion-App, die ohne die vom Hersteller betriebene Cloud nicht funktioniert, zieht diese Backend-Komponente in den CRA-Rahmen. Die Abgrenzung ist an den Rändern echt uneindeutig und wird durch künftige Leitlinien der Kommission weiter zu präzisieren sein; im Zweifel ist konservativ zu bewerten. Eine erste Einordnung Ihres Portfolios bieten wir über unsere Betroffenheitsprüfung.

Kernpflichten für Software-Hersteller

Als Hersteller (Art. 13) trifft Sie die Hauptlast der Pflichten. Die wesentlichen Handlungsfelder:

Security-by-Design

Erfüllung der grundlegenden Cybersicherheitsanforderungen aus Annex I Teil I: sichere Standardkonfiguration, Angriffsflächen-Minimierung, Schutz von Vertraulichkeit und Integrität, Zugriffskontrolle. Grundlage ist eine dokumentierte Cybersicherheits-Risikobewertung, die auf Annex I abgebildet wird.

Schwachstellen-Management

Prozesse nach Annex I Teil II über den gesamten Supportzeitraum: Schwachstellen und Komponenten identifizieren und dokumentieren (inkl. SBOM), unverzüglich per Sicherheitsupdate beheben, regelmäßig testen, behobene Schwachstellen nach Verfügbarkeit eines Updates offenlegen.

CVD-Policy & Meldung

Eine verbindliche Policy zur koordinierten Offenlegung von Schwachstellen (CVD) samt Kontaktadresse. Zusätzlich die Meldepflichten nach Art. 14 über die Single Reporting Platform.

Updates & Support

Sichere Update-Verteilung, Updates unverzüglich und kostenlos, Sicherheits- von Funktionsupdates trennen, wo möglich. Supportzeitraum mindestens 5 Jahre (oder kürzere erwartete Nutzungsdauer).

Technische Dokumentation

Technische Unterlagen nach Annex VII (Architektur, SBOM, CVD-Policy, Update-Verteilung, Risikobewertung, Testberichte) — aufzubewahren mindestens 10 Jahre bzw. den Supportzeitraum.

Konformität, EU-DoC & CE

Konformitätsbewertung nach Art. 32, EU-Konformitätserklärung (Art. 28, Annex V), CE-Kennzeichnung (Art. 30). Bei Nichtkonformität: Korrekturmaßnahmen, Rücknahme oder Rückruf.

Selbstbewertung oder benannte Stelle?

Eine benannte Stelle (Notified Body) ist keineswegs für jedes Produkt nötig. Der CRA kennt vier Stufen (Art. 32, Annex VIII): den unklassifizierten Regelfall, wichtige Produkte der Klasse I und Klasse II sowie kritische Produkte. Die meisten Produkte mit digitalen Elementen bewerten sich selbst (Modul A). Wichtige Produkte der Klasse I dürfen dies ebenfalls, sofern harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema vollständig angewendet werden; andernfalls braucht es eine Drittprüfung. Eine benannte Stelle ist zwingend nur für Klasse II und kritische Produkte. Zu den in Annex III genannten Beispielen zählen etwa Passwort-Manager, Identitäts- und Zugriffsmanagement, Browser, VPNs, SIEM-Software oder Betriebssysteme (Klasse I) sowie etwa Firewalls, IDS/IPS und Hypervisoren (Klasse II). „Wichtig“ ist nicht dasselbe wie „kritisch“.

SBOM — ja, aber ohne festgelegtes Format

Annex I Teil II verlangt eine Software-Stückliste (SBOM) in einem gängigen, maschinenlesbaren Format, das mindestens die Abhängigkeiten der obersten Ebene abdeckt. Wichtig: Die Verordnung schreibt kein bestimmtes Format vor — es ist also nicht korrekt, dass der CRA CycloneDX oder SPDX vorschreibt. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung als anerkannte Formate (Orientierung, keine gesetzliche Vorgabe). Die Kommission kann per Durchführungsrechtsakt später ein Format festlegen; ein solcher liegt bislang nicht vor. Die SBOM ist zudem ein Compliance-Artefakt, das den Behörden auf begründetes Verlangen offengelegt wird — keine Pflicht zur öffentlichen Veröffentlichung. Details in unserem Wissensbeitrag zu den SBOM-Anforderungen des CRA.

Zeitplan & Fahrplan

Der CRA ist am 10. Dezember 2024 in Kraft getreten — daraus folgen jedoch noch keine unmittelbar durchsetzbaren Pflichten. Die Anwendung ist gestaffelt (Art. 71(2)):

DatumWas gilt
10.12.2024Inkrafttreten (noch keine durchsetzbaren Herstellerpflichten)
11.06.2026Kapitel IV — Regelungen zu benannten Stellen / Konformitätsbewertungsstellen
11.09.2026Meldepflichten für Hersteller (Art. 14) über die Single Reporting Platform
11.12.2027Allgemeine Anwendung: grundlegende Anforderungen (Annex I), Konformitätsbewertung, CE-Kennzeichnung

Die Meldefristen nach Art. 14 folgen einer Kaskade: Frühwarnung binnen 24 Stunden nach Kenntnisnahme, Meldung binnen 72 Stunden, Abschlussbericht bei Schwachstellen innerhalb von 14 Tagen nach Verfügbarkeit einer Fehlerbehebung, bei schweren Vorfällen dagegen innerhalb eines Monats nach der Meldung — die beiden Fristen sind also nicht identisch.

Empfohlener Fahrplan bis 2027: (1) Betroffenheit und mögliche Klassifizierung je Produkt klären; (2) Risikobewertung und Security-by-Design-Maßnahmen etablieren; (3) Schwachstellen-Prozess, CVD-Policy und SBOM-Generierung in die CI/CD-Pipeline integrieren; (4) Meldeprozesse für Art. 14 vor September 2026 aufsetzen; (5) technische Dokumentation (Annex VII), EU-DoC und Konformitätsbewertung vor Dezember 2027 fertigstellen. Ein tieferer Überblick findet sich auf unserer CRA-Übersichtsseite.

Für Software-Teams ist es sinnvoll, früh zu beginnen: Ein Großteil der Anforderungen — SBOM-Erzeugung, Trennung von Sicherheits- und Funktionsupdates, dokumentierte CVD-Policy, sichere Update-Verteilung — lässt sich als Teil der bestehenden Entwicklungs- und Release-Prozesse umsetzen und muss nicht kurz vor der Frist als Sonderprojekt nachgeholt werden. Die Meldepflichten nach Art. 14 gelten bereits ab September 2026 und betreffen auch Produkte, die zu diesem Zeitpunkt schon auf dem Markt sind; ein funktionierender Melde- und Reaktionsprozess sollte daher priorisiert werden. Wer heute Architekturentscheidungen trifft, sollte den mindestens fünfjährigen Supportzeitraum von Anfang an einplanen.

Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes. Klassifizierungen und die Zuordnung zwischen CRA und NIS2 hängen vom Einzelfall ab und können sich durch Leitlinien der Kommission ändern.

Häufige Fragen

Fällt meine SaaS-Anwendung unter den Cyber Resilience Act?
Im Regelfall fällt eigenständiges SaaS bzw. ein reiner Cloud-Dienst nicht automatisch unter den CRA — solche Dienste werden typischerweise der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) zugeordnet. Erfasst ist SaaS aber dann, wenn es eine Datenfernverarbeitung darstellt, die integraler Bestandteil eines Produkts ist (Art. 3(2)) und deren Fehlen eine Produktfunktion ausfallen lassen würde. Die Abgrenzung ist an den Rändern uneindeutig und hängt vom Einzelfall sowie von künftigen Leitlinien der Kommission ab.
Ist eigenständige Software wirklich vom CRA erfasst?
Ja, im Regelfall. Eigenständige Software gilt als Produkt mit digitalen Elementen (Art. 3(1)), sobald sie eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz aufweist (Art. 2(1)). Damit betrifft der CRA nicht nur Hardware, sondern auch reine Softwareprodukte, die auf den Markt gebracht werden.
Schreibt der CRA CycloneDX oder SPDX als SBOM-Format vor?
Nein. Annex I Teil II verlangt eine SBOM in einem gängigen, maschinenlesbaren Format, das mindestens die Abhängigkeiten der obersten Ebene abdeckt — ein bestimmtes Format schreibt die Verordnung aber nicht vor. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung als anerkannte Formate. Die Kommission kann später per Durchführungsrechtsakt ein Format festlegen; ein solcher liegt bislang nicht vor.
Brauche ich als Software-Hersteller eine benannte Stelle?
Im Regelfall nicht. Die meisten Produkte mit digitalen Elementen bewerten sich selbst (Modul A). Wichtige Produkte der Klasse I dürfen sich ebenfalls selbst bewerten, sofern harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema vollständig angewendet werden. Zwingend ist eine benannte Stelle nur für Produkte der Klasse II und kritische Produkte.
Bis wann muss ich die CRA-Anforderungen erfüllen?
Der CRA ist am 10. Dezember 2024 in Kraft getreten, daraus folgen aber noch keine durchsetzbaren Herstellerpflichten. Die Anwendung ist gestaffelt: ab 11. September 2026 gelten die Meldepflichten nach Art. 14, ab 11. Dezember 2027 die allgemeine Anwendung mit grundlegenden Anforderungen (Annex I), Konformitätsbewertung und CE-Kennzeichnung. Der 11. Dezember 2027 ist damit die zentrale Frist für die vollständige Konformität.

Sprechen wir über Ihre CRA-Readiness

Sie sind unsicher, ob Ihre Software oder SaaS-Lösung unter den CRA fällt? Wir ordnen Ihr Portfolio technisch-organisatorisch ein und entwickeln einen belastbaren Fahrplan bis 2027 — sprechen Sie mit Blackfort Technology aus Bonn.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.