CRA-Insights
Wissen zum Cyber Resilience Act
Belegbare, aktuelle Analysen zu Betroffenheit, Fristen, SBOM, Produktklassen, Rollen und branchenspezifischer Einordnung des EU Cyber Resilience Act (VO (EU) 2024/2847).
Cyber Resilience Act: Bin ich betroffen?
Hersteller, Importeur oder Händler: Wer fällt unter den CRA, wer nicht? Produkte mit digitalen Elementen, Ausnahmen (Medizin, Automotive) und systematische Prüfschritte.
WeiterlesenCRA Meldepflicht ab 11. September 2026: Was Hersteller jetzt operativ vorbereiten müssen
Was Hersteller ab 11. September 2026 operativ bereitstellen müssen: ENISA Single Reporting Platform, PSIRT-Aufbau, Frühwarnung in 24 Stunden.
WeiterlesenCyber Resilience Act für den Mittelstand: Was Hersteller jetzt konkret tun müssen
Keine Größenausnahme, aber klare Prioritäten: Was KMU-Hersteller zuerst angehen — Meldepflicht vor SBOM vor CE-Kennzeichnung. Priorisierter CRA-Fahrplan.
WeiterlesenSBOM-Anforderungen im Cyber Resilience Act: Formate, Inhalte und Archivierung
Was eine CRA-konforme Software-Stückliste enthalten muss, welches Format (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1) und wie die 10-jährige Archivierungspflicht greift.
WeiterlesenCRA-Produktklassen: Wie wird Ihr Produkt eingestuft — und was folgt daraus?
Welche Konformitätsbewertung braucht Ihr Produkt? Klasse I (Selbstbewertung möglich), Klasse II (notifizierte Stelle), kritisch (Modul B+C). Mit Beispielen aus DVO 2025/2392.
WeiterlesenCRA Bußgelder & Sanktionen: was Artikel 64 wirklich vorsieht
CRA Bußgelder nach Artikel 64: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. Die drei Sanktionsstufen, Ausnahmen für Kleinstunternehmen und Open-Source-Verwalter – technisch-organisatorisch eingeordnet.
WeiterlesenCRA vs. NIS2 vs. DORA: unterschiedliche Regelungsgegenstände, teils dieselben Unternehmen
CRA, NIS2 und DORA im Vergleich: Der CRA reguliert Produkte, NIS2 Organisationen, DORA den Finanzsektor. Wer wovon betroffen ist – verständlich erklärt.
WeiterlesenSchwachstellenbehandlung, Meldung & CVD unter dem CRA
Schwachstellenbehandlung (Anhang I Teil II), Meldepflicht (Art. 14) und Coordinated Vulnerability Disclosure unter dem CRA. Die Kaskade 24h → 72h → Abschlussbericht (14 Tage bei Schwachstellen, ein Monat bei Vorfällen) – ab 11. September 2026, auch für Bestandsprodukte.
WeiterlesenCRA Fristen 2024–2027: Der gestaffelte Zeitplan
Alle CRA-Fristen von 2024 bis 2027 auf einen Blick: Inkrafttreten am 10.12.2024, Meldepflichten ab 11.09.2026, volle Anwendung am 11.12.2027. Was jedes Datum bedeutet – und was Sie bis wann tun sollten.
WeiterlesenKonformitätsbewertung und CE-Kennzeichnung unter dem Cyber Resilience Act
Konformitätsbewertung nach dem Cyber Resilience Act: Modul A, B+C oder H, wann eine benannte Stelle nötig ist, CE-Kennzeichnung und EU-Konformitätserklärung.
WeiterlesenCyber Resilience Act und Open Source: Steward-Rolle und Anwendungsbereich
Wie behandelt der Cyber Resilience Act Open Source? Nicht-kommerzielle FOSS ist außerhalb des Anwendungsbereichs, für Open-Source-Stewards (Art. 24) gilt ein leichtes Regime, Hersteller bleiben voll verantwortlich. Praxisleitfaden von Blackfort Technology.
WeiterlesenRollen unter dem CRA: Hersteller, Importeur und Händler im Überblick
Wer trägt welche Pflicht unter dem Cyber Resilience Act? Hersteller (Art. 13), Importeur (Art. 19), Händler (Art. 20) und Bevollmächtigter (Art. 18) im Vergleich — mit Pflichten-Matrix. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.
WeiterlesenTechnische Dokumentation und EU-Konformitätserklärung nach dem CRA
Was die technische CRA-Dokumentation nach Anhang VII enthalten muss, wie die EU-Konformitätserklärung (Art. 28, Anhang V) aufgebaut ist, was zur CE-Kennzeichnung gehört und warum Sie alles ≥ 10 Jahre aufbewahren. Praxisnahe Checkliste.
WeiterlesenCyber Resilience Act für IoT, Embedded & smarte Produkte
CRA-Orientierung für Hersteller von IoT-, Embedded- und Smart-Produkten: RED 2022/30-Übergang, Produktklassen, Pflichten, Fristen bis 11.12.2027. Technisch-organisatorische Information, keine Rechtsberatung.
WeiterlesenCyber Resilience Act für Maschinenbau & industrielle Automatisierung
Cyber Resilience Act (Verordnung (EU) 2024/2847) im Maschinenbau: Fristen bis 11.12.2027, Produktklassen, Maschinenverordnung, SBOM & Roadmap – Orientierung von Blackfort.
WeiterlesenCyber Resilience Act und Medizintechnik: die Grenze der Betroffenheit
MDR/IVDR-Medizinprodukte sind vom Cyber Resilience Act ausgenommen (Art. 2(2)) – Wellness-, Fitness- und Klinik-IT-Software oft nicht. Entscheidungsstruktur zur Abgrenzung. Technisch-organisatorische Orientierung, keine Rechtsberatung.
WeiterlesenCyber Resilience Act für Software- & SaaS-Hersteller
CRA für Software- und SaaS-Hersteller: eigenständige Software ist ein Produkt mit digitalen Elementen und im Regelfall im Anwendungsbereich, reines SaaS meist nicht (NIS2). Pflichten, SBOM, Fristen bis 11.12.2027 — technisch-organisatorische Orientierung von Blackfort Technology, Bonn.
WeiterlesenCRA-Glossar – die zentralen Begriffe des Cyber Resilience Act
Cyber Resilience Act verständlich: Produkt mit digitalen Elementen, Anhang III/IV, Konformitätsbewertung, Module A/B+C/H, SBOM, Meldepflicht, Support-Zeitraum – rund 24 CRA-Begriffe klar definiert.
WeiterlesenHändlerpflichten unter dem CRA (Art. 20): Sorgfalt in der Lieferkette
Was schuldet der Händler unter dem Cyber Resilience Act? Gebotene Sorgfalt nach Art. 20: CE-Kennzeichnung prüfen, Hersteller- und Importeurpflichten verifizieren, keine nicht-konformen Produkte bereitstellen, Lagerung sichern, Korrekturmaßnahmen. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.
WeiterlesenHerstellerpflichten unter dem CRA: Was Art. 13 wirklich verlangt
Hersteller tragen unter dem Cyber Resilience Act die substanzielle Last: grundlegende Anforderungen (Annex I), Schwachstellen-Management, technische Dokumentation (Annex VII), Konformitätsbewertung (Art. 32), CE-Kennzeichnung, Meldepflichten (Art. 14), Supportzeitraum ≥ 5 Jahre. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.
WeiterlesenImporteurpflichten unter dem CRA (Art. 19): der Torwächter zum EU-Markt
Der Importeur als Torwächter zum EU-Markt: Welche Pflichten trägt er nach Art. 19 Cyber Resilience Act? Prüfen statt herstellen — Konformität, technische Dokumentation, CE-Kennzeichnung. Mit Pflichten-Checkliste. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.
WeiterlesenCRA-Risikobewertung & Bedrohungsmodellierung
Die Cybersicherheits-Risikobewertung ist die dokumentenkritischste CRA-Pflicht. So liefern STRIDE, Attack-Trees und Data-Flow-Diagramme den Anhang-I/Art.-13-Nachweis.
WeiterlesenCRA-Support-Zeitraum, EOL & Update-Pflicht
Wie lange muss ein Produkt CRA-konform mit Sicherheitsupdates versorgt werden? Der Support-Zeitraum, die 5-Jahre-Guidance, EOL-Kommunikation und die Update-Pflicht.
WeiterlesenCRA × NIS2 × DORA × AI Act: die Konvergenz
Wie CRA, NIS2, DORA und AI Act zusammenspielen: Produkt vs. Betrieb vs. Finanzsektor vs. KI-Nutzung — die Mehrfach-Regulierungs-Karte für Hersteller und Betreiber.
WeiterlesenSecurity-by-Design im CRA umsetzen
Security-by-Design und Security-by-Default nach Anhang I des Cyber Resilience Act: die konkreten Anforderungen, ein sicherer Entwicklungslebenszyklus und Umsetzungshebel.
WeiterlesenWas kostet CRA-Compliance?
Was CRA-Compliance kostet, hängt von Produktklasse, SBOM-Reife und Prozessreife ab. Die Kostentreiber und drei illustrative Aufwands-Szenarien — bewusst ohne Marktzahlen.
WeiterlesenKontakt aufnehmen
CRA-Readiness-Assessment anfragen
Gap-Analyse Ist/Soll gegen Anhang I – konkret, belegbar und auf Ihr Produktportfolio bezogen.