Cyber Resilience Act: Was Hersteller digitaler Produkte jetzt wissen müssen
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist die Verordnung (EU) 2024/2847. Sie ist am 10. Dezember 2024 in Kraft getreten und legt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen fest, die auf dem EU-Markt bereitgestellt werden. Betroffen sind Hersteller, Importeure und Händler gleichermaßen — unabhängig davon, ob ein Produkt kostenpflichtig oder kostenlos vertrieben wird.
Kurz gesagt: Wer Software, Hardware oder Produkte mit Netzwerkverbindung in der EU vermarktet, muss künftig Cybersicherheit als Teil des Produkts nachweisen — nicht als Nachgedanke, sondern von Anfang an. Ob Ihr Produkt betroffen ist, können Sie mit unserem Betroffenheits-Check prüfen.
Die drei entscheidenden Fristen
Der CRA tritt in Stufen in Kraft. Für die Praxis sind drei Daten zentral:
| Datum | Was gilt ab dann? |
|---|---|
| 11. September 2026 | Melde- und Berichtspflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle (Art. 14 CRA). Dies ist die erste harte operative Frist für Hersteller. |
| 11. Juni 2026 | Vorschriften zu notifizierten Stellen (Conformity Assessment Bodies) werden anwendbar. |
| 11. Dezember 2027 | Volle Anwendbarkeit aller übrigen Produktanforderungen: Security-by-Design, SBOM, CE-Kennzeichnung, technische Dokumentation, EU-Konformitätserklärung. |
Wer bis September 2026 keinen funktionierenden Meldeprozess hat, riskiert Verstöße — bereits bevor die eigentlichen Produktanforderungen greifen. Mehr dazu: CRA-Meldepflicht ab 11. September 2026 — was jetzt gilt.
Wen trifft der CRA?
Der CRA richtet sich an alle Wirtschaftsakteure entlang der Lieferkette, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen:
- Hersteller: Wer ein Produkt entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke vermarktet — auch bei kostenloser Abgabe.
- Importeure: Wer ein Produkt aus einem Drittstaat in die EU einführt und auf dem EU-Markt bereitstellt.
- Händler: Wer ein Produkt auf dem EU-Markt bereitstellt, ohne Hersteller oder Importeur zu sein — mit abgestuften Pflichten.
Ein „Produkt mit digitalen Elementen" ist jede Hardware oder Software, die eine direkte oder indirekte logische oder physische Verbindung zu einem Gerät oder Netzwerk herstellen kann. Das umfasst mobile Apps, Industriesteuerungen, Netzwerkgeräte, Sicherheitssoftware und viele weitere Kategorien.
Keine Größenausnahme: Auch KMU und Kleinstunternehmen sind grundsätzlich betroffen. Es gibt punktuelle Erleichterungen bei Meldeaspekten und Sanktionen, aber keine vollständige Bereichsausnahme. Mehr dazu: CRA für den Mittelstand.
Ausgenommen sind Produkte, die bereits durch gleichwertige sektorspezifische EU-Regelungen abgedeckt sind — zum Beispiel Medizinprodukte (MDR/IVDR), Kraftfahrzeuge (Kfz-Typgenehmigung) und Luftfahrtprodukte. Diese Abgrenzung betrifft Sonderfälle; die große Mehrheit der Software- und Hardware-Hersteller fällt unter den CRA.
Noch unsicher, ob Ihr Produkt betroffen ist? Betroffenheit jetzt prüfen — oder lesen Sie den ausführlichen Artikel: Cyber Resilience Act — bin ich betroffen? Rollen & Ausnahmen erklärt.
Produktklassen: Was gilt für welches Produkt?
Der CRA unterscheidet risikobasiert drei Kategorien. Die Einordnung bestimmt, welches Konformitätsbewertungsverfahren erforderlich ist:
| Klasse | Typische Produkte (Beispiele) | Konformitätsbewertung |
|---|---|---|
| Standard | Speicherchips, mobile Apps, Computerspiele, Smart Speaker | Selbstbewertung (interne Kontrolle, Modul A) möglich |
| Wichtig — Klasse I (Anhang III) | Identitäts- und Zugriffsmanagement-Software, Browser, Passwortmanager, VPN, SIEM, PKI, Netzwerk-Monitoring, Malware-Erkennung | Selbstbewertung nur bei Anwendung harmonisierter Normen oder gemeinsamer Spezifikationen; sonst Drittprüfung durch notifizierte Stelle |
| Wichtig — Klasse II (Anhang III) | Hypervisoren, Container-Runtimes, Hardware-Firewalls, ICS/SCADA-Systeme, Router/Modems für industrielle Nutzung, universelle Mikroprozessoren | Beteiligung einer notifizierten Stelle verpflichtend (EU-Baumusterprüfung Modul B/C oder Modul H) |
| Kritisch (Anhang IV) | Smartcards, Secure Elements, Smart-Meter-Gateways | Notifizierte Stelle in jedem Fall verpflichtend oder verpflichtendes EU-Zertifizierungsschema |
Die technischen Beschreibungen für wichtige und kritische Produkte werden durch die Durchführungsverordnung (EU) 2025/2392 konkretisiert. Die Zuordnung eines spezifischen Produkts zu einer Klasse kann im Einzelfall auslegungsbedürftig sein — pauschale Selbstauskünfte sind hier fehl am Platz. Mehr zur Klassifizierung: CRA-Produktklassen: Einordnung & Prüfwege.
Meldepflichten ab 11. September 2026
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Vorfälle melden, die die Sicherheit ihrer Produkte beeinträchtigen. Die Meldefristen sind eng:
- 24 Stunden: Frühwarnung ab Kenntnisnahme
- 72 Stunden: Vollständige Meldung inklusive ergriffener Korrektur- und Minderungsmaßnahmen
- 14 Tage: Abschlussbericht bei Schwachstellen — spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme
- 1 Monat: Abschlussbericht bei schweren Vorfällen — innerhalb eines Monats nach der 72-Stunden-Meldung
Gemeldet wird einmalig über die CRA Single Reporting Platform (SRP), die von ENISA betrieben wird und zum 11. September 2026 betriebsbereit sein soll. Die Meldung geht an das CSIRT des Mitgliedstaats der Hauptniederlassung und gleichzeitig an ENISA.
Wer diese Fristen einhalten will, braucht vorab: einen etablierten PSIRT-Prozess, eine gepflegte SBOM als Grundlage für schnelle Schwachstellenidentifikation und klare interne Eskalationswege. Ohne diese Basis ist die 24-Stunden-Frühwarnung nicht realistisch erreichbar.
Details und Handlungsempfehlungen: CRA-Meldepflicht ab 11. September 2026: 24h/72h/14-Tage erklärt.
Die Kernpflichten der Hersteller
Ab dem 11. Dezember 2027 gelten für alle Hersteller von Produkten mit digitalen Elementen die vollständigen Anforderungen aus Art. 13 sowie Anhang I und II der Verordnung:
- Security-by-Design und Security-by-Default: Cybersicherheit muss von Anfang an in Produktdesign und -entwicklung eingebettet sein — als Vorgabe, nicht als Option.
- Cybersicherheits-Risikobewertung: Systematische Bewertung über den gesamten Lebenszyklus (Design, Entwicklung, Produktion).
- Schwachstellenmanagement über den Supportzeitraum: Coordinated Vulnerability Disclosure, Patch-Bereitstellung, Kommunikation von Support-Enddaten.
- Software Bill of Materials (SBOM): Vollständige Auflistung aller Software-Komponenten einschließlich Drittkomponenten — als Teil der technischen Dokumentation und Grundlage für Schwachstellen-Tracking.
- Technische Dokumentation: Für Marktüberwachungsbehörden bereitzuhalten.
- CE-Kennzeichnung: Nach bestandener Konformitätsbewertung.
- EU-Konformitätserklärung: Formeller Nachweis der Einhaltung der CRA-Anforderungen.
- Nutzerinformationen (Anhang II): Transparente Kommunikation über Sicherheitseigenschaften und Supportzeitraum.
Die SBOM-Anforderungen im Detail — Formate, Archivierungspflicht, Tiefe: SBOM-Anforderungen im CRA: CycloneDX vs. SPDX, TR-03183-2 & Archivierung.
CRA Readiness: Wo stehen Ihre Prozesse heute?
Viele betroffene Unternehmen unterschätzen noch, wie technisch anspruchsvoll die CRA-Anforderungen sind — und der erste operative Stichtag (September 2026) liegt näher, als viele annehmen. CRA Readiness bedeutet nicht, alle Anforderungen gleichzeitig zu erfüllen, sondern die richtigen Maßnahmen in der richtigen Reihenfolge anzugehen:
- Betroffenheit und Produktklasse klären — Was gilt für welches Produkt?
- Meldeprozesse aufbauen — PSIRT, Eskalationswege, SRP-Anbindung — bis September 2026.
- SBOM-Grundlage schaffen — Komponenten-Inventar, Dependency-Tracking, Format wählen (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1).
- Security-by-Design verankern — Risikobewertung in die Entwicklungsprozesse integrieren.
- Konformitätsbewertung vorbereiten — Technische Dokumentation, ggf. notifizierte Stelle einbeziehen.
Welche Schritte für Ihr Produkt in welcher Reihenfolge sinnvoll sind, hängt von Ihrer Ausgangslage ab. Der priorisierte Umsetzungsplan für KMU und Mittelstand: Cyber Resilience Act Mittelstand: Priorisierter Umsetzungsplan 2026/2027.
Wie Blackfort Technology bei der CRA-Umsetzung unterstützt
Blackfort Technology unterstützt Hersteller, Importeure und Händler technisch-organisatorisch auf dem Weg zur CRA Readiness. Christian Gebhardt, Geschäftsführer und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs sowie Mitglied der ACS-KI-Facharbeitsgruppe, bringt praktische Umsetzungserfahrung aus PKI-Projekten, DORA- und NIS2-Mandaten sowie ISMS-Aufbau und SBOM-/Schwachstellenmanagement-Projekten mit.
Die Schwerpunkte der Unterstützung:
- Betroffenheitsanalyse und Produktklassifizierung: Strukturierte Einordnung Ihrer Produkte in Standard, Klasse I, Klasse II oder kritisch — auf Basis des CRA-Textes und der Durchführungsverordnung (EU) 2025/2392.
- SBOM-Aufbau und Gap-Analyse: Inventarisierung aller Software-Komponenten, Wahl des geeigneten Formats, Integration in bestehende Entwicklungsprozesse, Anbindung an Dependency-Track. Für eine initiale Einschätzung: SBOM Gap-Report anfragen (cra-sbom.de).
- Schwachstellenmanagement und PSIRT-Aufbau: Prozessdesign und operative Begleitung beim Aufbau eines Product Security Incident Response Teams, das die 24h/72h-Meldefristen einhalten kann.
- Security-by-Design-Integration: Einbettung von Cybersicherheits-Risikobewertungen in bestehende Entwicklungs- und Qualitätssicherungsprozesse.
- Vorbereitung der Konformitätsbewertung: Technische Dokumentation, Selbstbewertung (Modul A) oder Begleitung bei der Einbeziehung einer notifizierten Stelle.
Für den Mittelstand bieten wir pragmatische, priorisierte Unterstützung — ohne Kanzlei-Latein, dafür mit konkreten Maßnahmen, die im vorhandenen Budget und Zeitrahmen realisierbar sind. Unser KMU-Angebot im Überblick.
Weiterführende Artikel
- Cyber Resilience Act — bin ich betroffen? Rollen & Ausnahmen erklärt
- CRA-Meldepflicht ab 11. September 2026: 24h/72h-Fristen und PSIRT-Aufbau
- SBOM-Anforderungen im CRA: CycloneDX vs. SPDX, TR-03183-2 & Archivierung
- CRA-Produktklassen: Standard, Klasse I/II und kritisch — Einordnung & Prüfwege
- Cyber Resilience Act Mittelstand: Priorisierter Umsetzungsplan 2026/2027
Häufige Fragen
Ab wann gilt der Cyber Resilience Act?
Bin ich als Softwarehersteller vom CRA betroffen?
Was ist eine SBOM und warum ist sie für den CRA relevant?
Was passiert, wenn ich die Meldepflichten ab September 2026 nicht erfülle?
Gilt der CRA auch für Open-Source-Software?
Sprechen wir über Ihre CRA-Readiness
Wo steht Ihr Produkt heute gegenüber den CRA-Anforderungen? Sprechen Sie mit Christian Gebhardt über einen pragmatischen Einstieg — SBOM-Bestand, PSIRT-Prozess und Betroffenheitsklärung als erste Schritte.
Erstgespräch anfragen Betroffenheit prüfen