Wissen · Cyber Resilience Act

CRA-Insights

Wissen zum Cyber Resilience Act

Belegbare, aktuelle Analysen zu Betroffenheit, Fristen, SBOM, Produktklassen, Rollen und branchenspezifischer Einordnung des EU Cyber Resilience Act (VO (EU) 2024/2847).

Cyber Resilience Act: Bin ich betroffen?

Hersteller, Importeur oder Händler: Wer fällt unter den CRA, wer nicht? Produkte mit digitalen Elementen, Ausnahmen (Medizin, Automotive) und systematische Prüfschritte.

Weiterlesen

CRA Meldepflicht ab 11. September 2026: Was Hersteller jetzt operativ vorbereiten müssen

Was Hersteller ab 11. September 2026 operativ bereitstellen müssen: ENISA Single Reporting Platform, PSIRT-Aufbau, Frühwarnung in 24 Stunden.

Weiterlesen

Cyber Resilience Act für den Mittelstand: Was Hersteller jetzt konkret tun müssen

Keine Größenausnahme, aber klare Prioritäten: Was KMU-Hersteller zuerst angehen — Meldepflicht vor SBOM vor CE-Kennzeichnung. Priorisierter CRA-Fahrplan.

Weiterlesen

SBOM-Anforderungen im Cyber Resilience Act: Formate, Inhalte und Archivierung

Was eine CRA-konforme Software-Stückliste enthalten muss, welches Format (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1) und wie die 10-jährige Archivierungspflicht greift.

Weiterlesen

CRA-Produktklassen: Wie wird Ihr Produkt eingestuft — und was folgt daraus?

Welche Konformitätsbewertung braucht Ihr Produkt? Klasse I (Selbstbewertung möglich), Klasse II (notifizierte Stelle), kritisch (Modul B+C). Mit Beispielen aus DVO 2025/2392.

Weiterlesen

CRA Bußgelder & Sanktionen: was Artikel 64 wirklich vorsieht

CRA Bußgelder nach Artikel 64: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. Die drei Sanktionsstufen, Ausnahmen für Kleinstunternehmen und Open-Source-Verwalter – technisch-organisatorisch eingeordnet.

Weiterlesen

CRA vs. NIS2 vs. DORA: unterschiedliche Regelungsgegenstände, teils dieselben Unternehmen

CRA, NIS2 und DORA im Vergleich: Der CRA reguliert Produkte, NIS2 Organisationen, DORA den Finanzsektor. Wer wovon betroffen ist – verständlich erklärt.

Weiterlesen

Schwachstellenbehandlung, Meldung & CVD unter dem CRA

Schwachstellenbehandlung (Anhang I Teil II), Meldepflicht (Art. 14) und Coordinated Vulnerability Disclosure unter dem CRA. Die Kaskade 24h → 72h → Abschlussbericht (14 Tage bei Schwachstellen, ein Monat bei Vorfällen) – ab 11. September 2026, auch für Bestandsprodukte.

Weiterlesen

CRA Fristen 2024–2027: Der gestaffelte Zeitplan

Alle CRA-Fristen von 2024 bis 2027 auf einen Blick: Inkrafttreten am 10.12.2024, Meldepflichten ab 11.09.2026, volle Anwendung am 11.12.2027. Was jedes Datum bedeutet – und was Sie bis wann tun sollten.

Weiterlesen

Konformitätsbewertung und CE-Kennzeichnung unter dem Cyber Resilience Act

Konformitätsbewertung nach dem Cyber Resilience Act: Modul A, B+C oder H, wann eine benannte Stelle nötig ist, CE-Kennzeichnung und EU-Konformitätserklärung.

Weiterlesen

Cyber Resilience Act und Open Source: Steward-Rolle und Anwendungsbereich

Wie behandelt der Cyber Resilience Act Open Source? Nicht-kommerzielle FOSS ist außerhalb des Anwendungsbereichs, für Open-Source-Stewards (Art. 24) gilt ein leichtes Regime, Hersteller bleiben voll verantwortlich. Praxisleitfaden von Blackfort Technology.

Weiterlesen

Rollen unter dem CRA: Hersteller, Importeur und Händler im Überblick

Wer trägt welche Pflicht unter dem Cyber Resilience Act? Hersteller (Art. 13), Importeur (Art. 19), Händler (Art. 20) und Bevollmächtigter (Art. 18) im Vergleich — mit Pflichten-Matrix. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.

Weiterlesen

Technische Dokumentation und EU-Konformitätserklärung nach dem CRA

Was die technische CRA-Dokumentation nach Anhang VII enthalten muss, wie die EU-Konformitätserklärung (Art. 28, Anhang V) aufgebaut ist, was zur CE-Kennzeichnung gehört und warum Sie alles ≥ 10 Jahre aufbewahren. Praxisnahe Checkliste.

Weiterlesen

Cyber Resilience Act für IoT, Embedded & smarte Produkte

CRA-Orientierung für Hersteller von IoT-, Embedded- und Smart-Produkten: RED 2022/30-Übergang, Produktklassen, Pflichten, Fristen bis 11.12.2027. Technisch-organisatorische Information, keine Rechtsberatung.

Weiterlesen

Cyber Resilience Act für Maschinenbau & industrielle Automatisierung

Cyber Resilience Act (Verordnung (EU) 2024/2847) im Maschinenbau: Fristen bis 11.12.2027, Produktklassen, Maschinenverordnung, SBOM & Roadmap – Orientierung von Blackfort.

Weiterlesen

Cyber Resilience Act und Medizintechnik: die Grenze der Betroffenheit

MDR/IVDR-Medizinprodukte sind vom Cyber Resilience Act ausgenommen (Art. 2(2)) – Wellness-, Fitness- und Klinik-IT-Software oft nicht. Entscheidungsstruktur zur Abgrenzung. Technisch-organisatorische Orientierung, keine Rechtsberatung.

Weiterlesen

Cyber Resilience Act für Software- & SaaS-Hersteller

CRA für Software- und SaaS-Hersteller: eigenständige Software ist ein Produkt mit digitalen Elementen und im Regelfall im Anwendungsbereich, reines SaaS meist nicht (NIS2). Pflichten, SBOM, Fristen bis 11.12.2027 — technisch-organisatorische Orientierung von Blackfort Technology, Bonn.

Weiterlesen

CRA-Glossar – die zentralen Begriffe des Cyber Resilience Act

Cyber Resilience Act verständlich: Produkt mit digitalen Elementen, Anhang III/IV, Konformitätsbewertung, Module A/B+C/H, SBOM, Meldepflicht, Support-Zeitraum – rund 24 CRA-Begriffe klar definiert.

Weiterlesen

Händlerpflichten unter dem CRA (Art. 20): Sorgfalt in der Lieferkette

Was schuldet der Händler unter dem Cyber Resilience Act? Gebotene Sorgfalt nach Art. 20: CE-Kennzeichnung prüfen, Hersteller- und Importeurpflichten verifizieren, keine nicht-konformen Produkte bereitstellen, Lagerung sichern, Korrekturmaßnahmen. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.

Weiterlesen

Herstellerpflichten unter dem CRA: Was Art. 13 wirklich verlangt

Hersteller tragen unter dem Cyber Resilience Act die substanzielle Last: grundlegende Anforderungen (Annex I), Schwachstellen-Management, technische Dokumentation (Annex VII), Konformitätsbewertung (Art. 32), CE-Kennzeichnung, Meldepflichten (Art. 14), Supportzeitraum ≥ 5 Jahre. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.

Weiterlesen

Importeurpflichten unter dem CRA (Art. 19): der Torwächter zum EU-Markt

Der Importeur als Torwächter zum EU-Markt: Welche Pflichten trägt er nach Art. 19 Cyber Resilience Act? Prüfen statt herstellen — Konformität, technische Dokumentation, CE-Kennzeichnung. Mit Pflichten-Checkliste. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.

Weiterlesen

CRA-Risikobewertung & Bedrohungsmodellierung

Die Cybersicherheits-Risikobewertung ist die dokumentenkritischste CRA-Pflicht. So liefern STRIDE, Attack-Trees und Data-Flow-Diagramme den Anhang-I/Art.-13-Nachweis.

Weiterlesen

CRA-Support-Zeitraum, EOL & Update-Pflicht

Wie lange muss ein Produkt CRA-konform mit Sicherheitsupdates versorgt werden? Der Support-Zeitraum, die 5-Jahre-Guidance, EOL-Kommunikation und die Update-Pflicht.

Weiterlesen

CRA × NIS2 × DORA × AI Act: die Konvergenz

Wie CRA, NIS2, DORA und AI Act zusammenspielen: Produkt vs. Betrieb vs. Finanzsektor vs. KI-Nutzung — die Mehrfach-Regulierungs-Karte für Hersteller und Betreiber.

Weiterlesen

Security-by-Design im CRA umsetzen

Security-by-Design und Security-by-Default nach Anhang I des Cyber Resilience Act: die konkreten Anforderungen, ein sicherer Entwicklungslebenszyklus und Umsetzungshebel.

Weiterlesen

Was kostet CRA-Compliance?

Was CRA-Compliance kostet, hängt von Produktklasse, SBOM-Reife und Prozessreife ab. Die Kostentreiber und drei illustrative Aufwands-Szenarien — bewusst ohne Marktzahlen.

Weiterlesen

Kontakt aufnehmen

CRA-Readiness-Assessment anfragen

Gap-Analyse Ist/Soll gegen Anhang I – konkret, belegbar und auf Ihr Produktportfolio bezogen.