Cyber Resilience Act für Software- & SaaS-Hersteller
Der EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen auf horizontale Cybersicherheitsanforderungen. Für Software- und SaaS-Anbieter ist die zentrale Frage: Bin ich mit meinem Produkt im Anwendungsbereich — und wenn ja, mit welchem Teil? Diese Seite ordnet die Rechtslage technisch-organisatorisch ein. Sie liefert Orientierung, keine verbindliche Einzelfallberatung; eine rechtliche Bewertung im Einzelfall bleibt der Rechtsberatung vorbehalten.
Warum eigenständige Software betroffen ist
Ein Produkt mit digitalen Elementen (Art. 3(1)) ist ein Software- oder Hardware-Produkt samt zugehöriger Datenfernverarbeitung, auch wenn Komponenten separat auf den Markt gebracht werden. Auslöser (Art. 2(1)) ist eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz. Eigenständige Software — also Anwendungen, die auf den Markt gebracht oder in Verkehr gebracht werden — gilt damit im Regelfall als Produkt mit digitalen Elementen und fällt in den Anwendungsbereich des CRA. Das ist der entscheidende Punkt für Software-Hersteller: Der CRA betrifft nicht nur „Geräte“, sondern auch reine Softwareprodukte.
Die Grenze: SaaS vs. Produkt
Eigenständiges SaaS bzw. reine Cloud-Dienste fallen im Regelfall NICHT automatisch unter den CRA — sie werden typischerweise der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) zugeordnet. Ein wichtiger Sonderfall bleibt jedoch im Anwendungsbereich: Eine Datenfernverarbeitung, die integraler Bestandteil eines Produkts ist (Art. 3(2)) — also eine Cloud- oder Backend-Funktion, deren Fehlen eine Produktfunktion ausfallen lassen würde und die vom Hersteller oder unter seiner Verantwortung bereitgestellt wird — zählt als Teil dieses Produkts mit digitalen Elementen und ist damit erfasst. Beispiel: Eine Companion-App, die ohne die vom Hersteller betriebene Cloud nicht funktioniert, zieht diese Backend-Komponente in den CRA-Rahmen. Die Abgrenzung ist an den Rändern echt uneindeutig und wird durch künftige Leitlinien der Kommission weiter zu präzisieren sein; im Zweifel ist konservativ zu bewerten. Eine erste Einordnung Ihres Portfolios bieten wir über unsere Betroffenheitsprüfung.
Kernpflichten für Software-Hersteller
Als Hersteller (Art. 13) trifft Sie die Hauptlast der Pflichten. Die wesentlichen Handlungsfelder:
Security-by-Design
Erfüllung der grundlegenden Cybersicherheitsanforderungen aus Annex I Teil I: sichere Standardkonfiguration, Angriffsflächen-Minimierung, Schutz von Vertraulichkeit und Integrität, Zugriffskontrolle. Grundlage ist eine dokumentierte Cybersicherheits-Risikobewertung, die auf Annex I abgebildet wird.
Schwachstellen-Management
Prozesse nach Annex I Teil II über den gesamten Supportzeitraum: Schwachstellen und Komponenten identifizieren und dokumentieren (inkl. SBOM), unverzüglich per Sicherheitsupdate beheben, regelmäßig testen, behobene Schwachstellen nach Verfügbarkeit eines Updates offenlegen.
CVD-Policy & Meldung
Eine verbindliche Policy zur koordinierten Offenlegung von Schwachstellen (CVD) samt Kontaktadresse. Zusätzlich die Meldepflichten nach Art. 14 über die Single Reporting Platform.
Updates & Support
Sichere Update-Verteilung, Updates unverzüglich und kostenlos, Sicherheits- von Funktionsupdates trennen, wo möglich. Supportzeitraum mindestens 5 Jahre (oder kürzere erwartete Nutzungsdauer).
Technische Dokumentation
Technische Unterlagen nach Annex VII (Architektur, SBOM, CVD-Policy, Update-Verteilung, Risikobewertung, Testberichte) — aufzubewahren mindestens 10 Jahre bzw. den Supportzeitraum.
Konformität, EU-DoC & CE
Konformitätsbewertung nach Art. 32, EU-Konformitätserklärung (Art. 28, Annex V), CE-Kennzeichnung (Art. 30). Bei Nichtkonformität: Korrekturmaßnahmen, Rücknahme oder Rückruf.
Selbstbewertung oder benannte Stelle?
Eine benannte Stelle (Notified Body) ist keineswegs für jedes Produkt nötig. Der CRA kennt vier Stufen (Art. 32, Annex VIII): den unklassifizierten Regelfall, wichtige Produkte der Klasse I und Klasse II sowie kritische Produkte. Die meisten Produkte mit digitalen Elementen bewerten sich selbst (Modul A). Wichtige Produkte der Klasse I dürfen dies ebenfalls, sofern harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema vollständig angewendet werden; andernfalls braucht es eine Drittprüfung. Eine benannte Stelle ist zwingend nur für Klasse II und kritische Produkte. Zu den in Annex III genannten Beispielen zählen etwa Passwort-Manager, Identitäts- und Zugriffsmanagement, Browser, VPNs, SIEM-Software oder Betriebssysteme (Klasse I) sowie etwa Firewalls, IDS/IPS und Hypervisoren (Klasse II). „Wichtig“ ist nicht dasselbe wie „kritisch“.
SBOM — ja, aber ohne festgelegtes Format
Annex I Teil II verlangt eine Software-Stückliste (SBOM) in einem gängigen, maschinenlesbaren Format, das mindestens die Abhängigkeiten der obersten Ebene abdeckt. Wichtig: Die Verordnung schreibt kein bestimmtes Format vor — es ist also nicht korrekt, dass der CRA CycloneDX oder SPDX vorschreibt. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung als anerkannte Formate (Orientierung, keine gesetzliche Vorgabe). Die Kommission kann per Durchführungsrechtsakt später ein Format festlegen; ein solcher liegt bislang nicht vor. Die SBOM ist zudem ein Compliance-Artefakt, das den Behörden auf begründetes Verlangen offengelegt wird — keine Pflicht zur öffentlichen Veröffentlichung. Details in unserem Wissensbeitrag zu den SBOM-Anforderungen des CRA.
Zeitplan & Fahrplan
Der CRA ist am 10. Dezember 2024 in Kraft getreten — daraus folgen jedoch noch keine unmittelbar durchsetzbaren Pflichten. Die Anwendung ist gestaffelt (Art. 71(2)):
| Datum | Was gilt |
|---|---|
| 10.12.2024 | Inkrafttreten (noch keine durchsetzbaren Herstellerpflichten) |
| 11.06.2026 | Kapitel IV — Regelungen zu benannten Stellen / Konformitätsbewertungsstellen |
| 11.09.2026 | Meldepflichten für Hersteller (Art. 14) über die Single Reporting Platform |
| 11.12.2027 | Allgemeine Anwendung: grundlegende Anforderungen (Annex I), Konformitätsbewertung, CE-Kennzeichnung |
Die Meldefristen nach Art. 14 folgen einer Kaskade: Frühwarnung binnen 24 Stunden nach Kenntnisnahme, Meldung binnen 72 Stunden, Abschlussbericht bei Schwachstellen innerhalb von 14 Tagen nach Verfügbarkeit einer Fehlerbehebung, bei schweren Vorfällen dagegen innerhalb eines Monats nach der Meldung — die beiden Fristen sind also nicht identisch.
Empfohlener Fahrplan bis 2027: (1) Betroffenheit und mögliche Klassifizierung je Produkt klären; (2) Risikobewertung und Security-by-Design-Maßnahmen etablieren; (3) Schwachstellen-Prozess, CVD-Policy und SBOM-Generierung in die CI/CD-Pipeline integrieren; (4) Meldeprozesse für Art. 14 vor September 2026 aufsetzen; (5) technische Dokumentation (Annex VII), EU-DoC und Konformitätsbewertung vor Dezember 2027 fertigstellen. Ein tieferer Überblick findet sich auf unserer CRA-Übersichtsseite.
Für Software-Teams ist es sinnvoll, früh zu beginnen: Ein Großteil der Anforderungen — SBOM-Erzeugung, Trennung von Sicherheits- und Funktionsupdates, dokumentierte CVD-Policy, sichere Update-Verteilung — lässt sich als Teil der bestehenden Entwicklungs- und Release-Prozesse umsetzen und muss nicht kurz vor der Frist als Sonderprojekt nachgeholt werden. Die Meldepflichten nach Art. 14 gelten bereits ab September 2026 und betreffen auch Produkte, die zu diesem Zeitpunkt schon auf dem Markt sind; ein funktionierender Melde- und Reaktionsprozess sollte daher priorisiert werden. Wer heute Architekturentscheidungen trifft, sollte den mindestens fünfjährigen Supportzeitraum von Anfang an einplanen.
Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes. Klassifizierungen und die Zuordnung zwischen CRA und NIS2 hängen vom Einzelfall ab und können sich durch Leitlinien der Kommission ändern.
Häufige Fragen
Fällt meine SaaS-Anwendung unter den Cyber Resilience Act?
Ist eigenständige Software wirklich vom CRA erfasst?
Schreibt der CRA CycloneDX oder SPDX als SBOM-Format vor?
Brauche ich als Software-Hersteller eine benannte Stelle?
Bis wann muss ich die CRA-Anforderungen erfüllen?
Sprechen wir über Ihre CRA-Readiness
Sie sind unsicher, ob Ihre Software oder SaaS-Lösung unter den CRA fällt? Wir ordnen Ihr Portfolio technisch-organisatorisch ein und entwickeln einen belastbaren Fahrplan bis 2027 — sprechen Sie mit Blackfort Technology aus Bonn.
Erstgespräch anfragen Betroffenheit prüfen