Blackfort Technology

Cyber Resilience Act: Was Hersteller digitaler Produkte jetzt wissen müssen

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist die Verordnung (EU) 2024/2847. Sie ist am 10. Dezember 2024 in Kraft getreten und legt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen fest, die auf dem EU-Markt bereitgestellt werden. Betroffen sind Hersteller, Importeure und Händler gleichermaßen — unabhängig davon, ob ein Produkt kostenpflichtig oder kostenlos vertrieben wird.

Kurz gesagt: Wer Software, Hardware oder Produkte mit Netzwerkverbindung in der EU vermarktet, muss künftig Cybersicherheit als Teil des Produkts nachweisen — nicht als Nachgedanke, sondern von Anfang an. Ob Ihr Produkt betroffen ist, können Sie mit unserem Betroffenheits-Check prüfen.

Die drei entscheidenden Fristen

Der CRA tritt in Stufen in Kraft. Für die Praxis sind drei Daten zentral:

Datum Was gilt ab dann?
11. September 2026 Melde- und Berichtspflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle (Art. 14 CRA). Dies ist die erste harte operative Frist für Hersteller.
11. Juni 2026 Vorschriften zu notifizierten Stellen (Conformity Assessment Bodies) werden anwendbar.
11. Dezember 2027 Volle Anwendbarkeit aller übrigen Produktanforderungen: Security-by-Design, SBOM, CE-Kennzeichnung, technische Dokumentation, EU-Konformitätserklärung.

Wer bis September 2026 keinen funktionierenden Meldeprozess hat, riskiert Verstöße — bereits bevor die eigentlichen Produktanforderungen greifen. Mehr dazu: CRA-Meldepflicht ab 11. September 2026 — was jetzt gilt.

Wen trifft der CRA?

Der CRA richtet sich an alle Wirtschaftsakteure entlang der Lieferkette, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen:

  • Hersteller: Wer ein Produkt entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke vermarktet — auch bei kostenloser Abgabe.
  • Importeure: Wer ein Produkt aus einem Drittstaat in die EU einführt und auf dem EU-Markt bereitstellt.
  • Händler: Wer ein Produkt auf dem EU-Markt bereitstellt, ohne Hersteller oder Importeur zu sein — mit abgestuften Pflichten.

Ein „Produkt mit digitalen Elementen" ist jede Hardware oder Software, die eine direkte oder indirekte logische oder physische Verbindung zu einem Gerät oder Netzwerk herstellen kann. Das umfasst mobile Apps, Industriesteuerungen, Netzwerkgeräte, Sicherheitssoftware und viele weitere Kategorien.

Keine Größenausnahme: Auch KMU und Kleinstunternehmen sind grundsätzlich betroffen. Es gibt punktuelle Erleichterungen bei Meldeaspekten und Sanktionen, aber keine vollständige Bereichsausnahme. Mehr dazu: CRA für den Mittelstand.

Ausgenommen sind Produkte, die bereits durch gleichwertige sektorspezifische EU-Regelungen abgedeckt sind — zum Beispiel Medizinprodukte (MDR/IVDR), Kraftfahrzeuge (Kfz-Typgenehmigung) und Luftfahrtprodukte. Diese Abgrenzung betrifft Sonderfälle; die große Mehrheit der Software- und Hardware-Hersteller fällt unter den CRA.

Noch unsicher, ob Ihr Produkt betroffen ist? Betroffenheit jetzt prüfen — oder lesen Sie den ausführlichen Artikel: Cyber Resilience Act — bin ich betroffen? Rollen & Ausnahmen erklärt.

Produktklassen: Was gilt für welches Produkt?

Der CRA unterscheidet risikobasiert drei Kategorien. Die Einordnung bestimmt, welches Konformitätsbewertungsverfahren erforderlich ist:

Klasse Typische Produkte (Beispiele) Konformitätsbewertung
Standard Speicherchips, mobile Apps, Computerspiele, Smart Speaker Selbstbewertung (interne Kontrolle, Modul A) möglich
Wichtig — Klasse I (Anhang III) Identitäts- und Zugriffsmanagement-Software, Browser, Passwortmanager, VPN, SIEM, PKI, Netzwerk-Monitoring, Malware-Erkennung Selbstbewertung nur bei Anwendung harmonisierter Normen oder gemeinsamer Spezifikationen; sonst Drittprüfung durch notifizierte Stelle
Wichtig — Klasse II (Anhang III) Hypervisoren, Container-Runtimes, Hardware-Firewalls, ICS/SCADA-Systeme, Router/Modems für industrielle Nutzung, universelle Mikroprozessoren Beteiligung einer notifizierten Stelle verpflichtend (EU-Baumusterprüfung Modul B/C oder Modul H)
Kritisch (Anhang IV) Smartcards, Secure Elements, Smart-Meter-Gateways Notifizierte Stelle in jedem Fall verpflichtend oder verpflichtendes EU-Zertifizierungsschema

Die technischen Beschreibungen für wichtige und kritische Produkte werden durch die Durchführungsverordnung (EU) 2025/2392 konkretisiert. Die Zuordnung eines spezifischen Produkts zu einer Klasse kann im Einzelfall auslegungsbedürftig sein — pauschale Selbstauskünfte sind hier fehl am Platz. Mehr zur Klassifizierung: CRA-Produktklassen: Einordnung & Prüfwege.

Meldepflichten ab 11. September 2026

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Vorfälle melden, die die Sicherheit ihrer Produkte beeinträchtigen. Die Meldefristen sind eng:

  • 24 Stunden: Frühwarnung ab Kenntnisnahme
  • 72 Stunden: Vollständige Meldung inklusive ergriffener Korrektur- und Minderungsmaßnahmen
  • 14 Tage: Abschlussbericht bei Schwachstellen — spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme
  • 1 Monat: Abschlussbericht bei schweren Vorfällen — innerhalb eines Monats nach der 72-Stunden-Meldung

Gemeldet wird einmalig über die CRA Single Reporting Platform (SRP), die von ENISA betrieben wird und zum 11. September 2026 betriebsbereit sein soll. Die Meldung geht an das CSIRT des Mitgliedstaats der Hauptniederlassung und gleichzeitig an ENISA.

Wer diese Fristen einhalten will, braucht vorab: einen etablierten PSIRT-Prozess, eine gepflegte SBOM als Grundlage für schnelle Schwachstellenidentifikation und klare interne Eskalationswege. Ohne diese Basis ist die 24-Stunden-Frühwarnung nicht realistisch erreichbar.

Details und Handlungsempfehlungen: CRA-Meldepflicht ab 11. September 2026: 24h/72h/14-Tage erklärt.

Die Kernpflichten der Hersteller

Ab dem 11. Dezember 2027 gelten für alle Hersteller von Produkten mit digitalen Elementen die vollständigen Anforderungen aus Art. 13 sowie Anhang I und II der Verordnung:

  • Security-by-Design und Security-by-Default: Cybersicherheit muss von Anfang an in Produktdesign und -entwicklung eingebettet sein — als Vorgabe, nicht als Option.
  • Cybersicherheits-Risikobewertung: Systematische Bewertung über den gesamten Lebenszyklus (Design, Entwicklung, Produktion).
  • Schwachstellenmanagement über den Supportzeitraum: Coordinated Vulnerability Disclosure, Patch-Bereitstellung, Kommunikation von Support-Enddaten.
  • Software Bill of Materials (SBOM): Vollständige Auflistung aller Software-Komponenten einschließlich Drittkomponenten — als Teil der technischen Dokumentation und Grundlage für Schwachstellen-Tracking.
  • Technische Dokumentation: Für Marktüberwachungsbehörden bereitzuhalten.
  • CE-Kennzeichnung: Nach bestandener Konformitätsbewertung.
  • EU-Konformitätserklärung: Formeller Nachweis der Einhaltung der CRA-Anforderungen.
  • Nutzerinformationen (Anhang II): Transparente Kommunikation über Sicherheitseigenschaften und Supportzeitraum.

Die SBOM-Anforderungen im Detail — Formate, Archivierungspflicht, Tiefe: SBOM-Anforderungen im CRA: CycloneDX vs. SPDX, TR-03183-2 & Archivierung.

CRA Readiness: Wo stehen Ihre Prozesse heute?

Viele betroffene Unternehmen unterschätzen noch, wie technisch anspruchsvoll die CRA-Anforderungen sind — und der erste operative Stichtag (September 2026) liegt näher, als viele annehmen. CRA Readiness bedeutet nicht, alle Anforderungen gleichzeitig zu erfüllen, sondern die richtigen Maßnahmen in der richtigen Reihenfolge anzugehen:

  1. Betroffenheit und Produktklasse klären — Was gilt für welches Produkt?
  2. Meldeprozesse aufbauen — PSIRT, Eskalationswege, SRP-Anbindung — bis September 2026.
  3. SBOM-Grundlage schaffen — Komponenten-Inventar, Dependency-Tracking, Format wählen (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1).
  4. Security-by-Design verankern — Risikobewertung in die Entwicklungsprozesse integrieren.
  5. Konformitätsbewertung vorbereiten — Technische Dokumentation, ggf. notifizierte Stelle einbeziehen.

Welche Schritte für Ihr Produkt in welcher Reihenfolge sinnvoll sind, hängt von Ihrer Ausgangslage ab. Der priorisierte Umsetzungsplan für KMU und Mittelstand: Cyber Resilience Act Mittelstand: Priorisierter Umsetzungsplan 2026/2027.

Wie Blackfort Technology bei der CRA-Umsetzung unterstützt

Blackfort Technology unterstützt Hersteller, Importeure und Händler technisch-organisatorisch auf dem Weg zur CRA Readiness. Christian Gebhardt, Geschäftsführer und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs sowie Mitglied der ACS-KI-Facharbeitsgruppe, bringt praktische Umsetzungserfahrung aus PKI-Projekten, DORA- und NIS2-Mandaten sowie ISMS-Aufbau und SBOM-/Schwachstellenmanagement-Projekten mit.

Die Schwerpunkte der Unterstützung:

  • Betroffenheitsanalyse und Produktklassifizierung: Strukturierte Einordnung Ihrer Produkte in Standard, Klasse I, Klasse II oder kritisch — auf Basis des CRA-Textes und der Durchführungsverordnung (EU) 2025/2392.
  • SBOM-Aufbau und Gap-Analyse: Inventarisierung aller Software-Komponenten, Wahl des geeigneten Formats, Integration in bestehende Entwicklungsprozesse, Anbindung an Dependency-Track. Für eine initiale Einschätzung: SBOM Gap-Report anfragen (cra-sbom.de).
  • Schwachstellenmanagement und PSIRT-Aufbau: Prozessdesign und operative Begleitung beim Aufbau eines Product Security Incident Response Teams, das die 24h/72h-Meldefristen einhalten kann.
  • Security-by-Design-Integration: Einbettung von Cybersicherheits-Risikobewertungen in bestehende Entwicklungs- und Qualitätssicherungsprozesse.
  • Vorbereitung der Konformitätsbewertung: Technische Dokumentation, Selbstbewertung (Modul A) oder Begleitung bei der Einbeziehung einer notifizierten Stelle.

Für den Mittelstand bieten wir pragmatische, priorisierte Unterstützung — ohne Kanzlei-Latein, dafür mit konkreten Maßnahmen, die im vorhandenen Budget und Zeitrahmen realisierbar sind. Unser KMU-Angebot im Überblick.

Weiterführende Artikel

Häufige Fragen

Ab wann gilt der Cyber Resilience Act?
Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die erste operative Pflicht — Meldung aktiv ausgenutzter Schwachstellen und schwerer Vorfälle — gilt ab dem 11. September 2026. Die vollständigen Produktanforderungen (Security-by-Design, SBOM, CE-Kennzeichnung) gelten ab dem 11. Dezember 2027.
Bin ich als Softwarehersteller vom CRA betroffen?
Wahrscheinlich ja. Der CRA gilt für alle Hersteller von Produkten mit digitalen Elementen — darunter fallen Software-Produkte, die eine Verbindung zu einem Netzwerk oder Gerät herstellen können. Das umfasst Business-Software, Sicherheitslösungen, mobile Apps und viele weitere Kategorien. Eine Größenausnahme gibt es nicht. Mit unserem Betroffenheits-Check können Sie Ihre Situation strukturiert prüfen.
Was ist eine SBOM und warum ist sie für den CRA relevant?
Eine Software Bill of Materials (SBOM) ist eine vollständige, maschinenlesbare Liste aller Software-Komponenten eines Produkts — inklusive Drittkomponenten und deren Versionen. Der CRA schreibt die SBOM als Teil der technischen Dokumentation vor. Praktisch ist sie die Grundlage, um bei einer bekannten Schwachstelle in einer Abhängigkeit innerhalb von 24 Stunden eine Frühwarnung absetzen zu können. Ohne SBOM ist dieser Prozess nicht zuverlässig möglich.
Was passiert, wenn ich die Meldepflichten ab September 2026 nicht erfülle?
Der CRA sieht gestaffelte Sanktionen vor. Verstöße gegen die wesentlichen Anforderungen (Anhang I) sowie gegen zentrale Herstellerpflichten nach Art. 13 und 14 — dazu zählen auch die Meldepflichten — können Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes nach sich ziehen (je nachdem, welcher Betrag höher ist). Für Verstöße gegen bestimmte weitere Pflichten sieht der CRA einen niedrigeren Rahmen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes vor. Der genaue Sanktionsrahmen im Einzelfall sollte mit rechtlichem Beistand geklärt werden.
Gilt der CRA auch für Open-Source-Software?
Für Open-Source-Stewards (Organisationen, die die Entwicklung von Open-Source-Software koordinieren, ohne sie zu vermarkten) gelten erleichterte Regelungen — insbesondere keine CRA-Bußgelder. Hersteller, die Open-Source-Komponenten in kommerzielle Produkte einbauen und diese vermarkten, unterliegen dem CRA vollständig. Die Grenze liegt also nicht beim Quellcode, sondern bei der kommerziellen Vermarktung.

Sprechen wir über Ihre CRA-Readiness

Wo steht Ihr Produkt heute gegenüber den CRA-Anforderungen? Sprechen Sie mit Christian Gebhardt über einen pragmatischen Einstieg — SBOM-Bestand, PSIRT-Prozess und Betroffenheitsklärung als erste Schritte.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.