CRA-Insights

Cyber Resilience Act

CRA Fristen 2024–2027: Der gestaffelte Zeitplan

CRA Fristen 2024–2027: Der gestaffelte Zeitplan

Stand: 2026-07-18

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) tritt nicht an einem einzigen Stichtag in Kraft, sondern führt seine Pflichten gestaffelt über mehrere Jahre ein. Genau darin liegt die häufigste Fehlerquelle: Wer das Datum des Inkrafttretens mit dem Datum der Anwendbarkeit verwechselt, plant entweder in Panik zu früh – oder gefährlich zu spät. Dieser Beitrag ordnet jede Frist zwischen 2024 und 2027 ein, erklärt, was an diesem Tag jeweils tatsächlich gilt, und zeigt, was Hersteller bis wann vorbereiten sollten.

Die wichtigste Unterscheidung zuerst: Inkrafttreten (10. Dezember 2024) ist nicht gleich Anwendbarkeit. Aus dem Inkrafttreten allein folgt noch keine durchsetzbare Pflicht für Hersteller. Nennen Sie niemals 2024 oder 2025 als „Compliance-Stichtag“ – die materiellen Pflichten greifen erst 2026 und 2027 (Art. 71 Abs. 2).

Die vier maßgeblichen Daten

Der CRA wurde am 23. Oktober 2024 angenommen und am 20. November 2024 im Amtsblatt der EU veröffentlicht. Zwanzig Tage später – am 10. Dezember 2024 – ist er nach Art. 71 Abs. 1 in Kraft getreten. Rechtlich existiert die Verordnung damit; die Pflichten für Wirtschaftsakteure werden aber erst zu drei späteren Zeitpunkten wirksam.

10. Dezember 2024 – Inkrafttreten (Art. 71 Abs. 1)

Der Startpunkt der Übergangsfristen. Die Verordnung ist gültiges EU-Recht, aber es ist noch keine Herstellerpflicht durchsetzbar. Bußgelder, CE-Kennzeichnungspflicht oder Meldepflichten lassen sich zu diesem Datum nicht geltend machen. Dieses Datum dient der Planung – nicht der Umsetzung.

11. Juni 2026 – Kapitel IV: notifizierte Stellen (Art. 35–51)

Zuerst greifen die Regeln für die Konformitätsbewertungsstellen. Ab diesem Tag können Stellen als „notifizierte Stellen“ benannt werden, damit sie bereitstehen, wenn Hersteller später eine Drittprüfung benötigen (relevant vor allem für die Produktklasse „wichtig – Klasse II“ und kritische Produkte). Für die meisten Hersteller ist dies keine unmittelbare Handlungspflicht, aber ein Signal, dass der Prüfmarkt anläuft.

11. September 2026 – Meldepflichten (Art. 14)

Ab diesem Tag müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden – über die Single Reporting Platform an das koordinierende CSIRT und die ENISA. Es gilt eine dreistufige Kaskade: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht (bei Schwachstellen ≤ 14 Tage nach Verfügbarkeit einer Korrektur; bei schwerwiegenden Vorfällen binnen eines Monats). Wichtig: Diese Pflicht gilt auch für Produkte, die bereits am Markt sind. Details dazu im Beitrag CRA-Meldepflicht ab September 2026.

11. Dezember 2027 – volle Anwendung

Der eigentliche Hauptstichtag. Ab hier gelten die grundlegenden Anforderungen des Anhangs I, die Pflicht zur Konformitätsbewertung, die EU-Konformitätserklärung und die CE-Kennzeichnung. Ohne konforme Umsetzung dürfen Produkte mit digitalen Elementen ab diesem Datum grundsätzlich nicht mehr auf dem EU-Markt bereitgestellt werden.

Zeitplan im Überblick

DatumEreignisWas gilt / was zu tun ist
23.10.2024Annahme der VerordnungText final – noch keine Pflichten
20.11.2024Veröffentlichung im AmtsblattStartet die 20-Tage-Frist
10.12.2024Inkrafttreten (Art. 71 Abs. 1)Übergangsfristen laufen – keine durchsetzbare Pflicht
11.06.2026Kapitel IV (notifizierte Stellen)Konformitätsbewertungsstellen können benannt werden
11.09.2026Meldepflichten (Art. 14)24h/72h/14-Tage-Kaskade – auch für Bestandsprodukte
11.12.2027Volle AnwendungAnhang I, Konformitätsbewertung, CE-Kennzeichnung

Anders gesagt: Der CRA verteilt seine Last bewusst. Zuerst wird die Prüf-Infrastruktur aufgebaut (Juni 2026), dann greift die vergleichsweise schnell umsetzbare, aber operativ anspruchsvolle Meldepflicht (September 2026), und erst zum Schluss – mit dem längsten Vorlauf – die materiell aufwändigsten Pflichten rund um Anhang I und CE-Kennzeichnung (Dezember 2027). Diese Reihenfolge ist kein Zufall, sondern gibt Herstellern gestaffelt Zeit, ihre Prozesse anzupassen. Genau deshalb ist es falsch, den 11. Dezember 2027 als „den einen“ Stichtag zu behandeln und die Zwischenschritte zu übersehen.

Benachbarte Fristen zur Einordnung

Der CRA steht nicht allein. Drei benachbarte Rechtsakte helfen, den Zeitplan realistisch zu planen:

  • RED-Delegierte Verordnung (EU) 2022/30: Aktiviert die Cybersicherheitsanforderungen der Funkanlagenrichtlinie ab dem 1. August 2025 und wird am 11. Dezember 2027 mit dem Wirksamwerden des CRA aufgehoben. Das ergibt ein Übergangsfenster vom 1.8.2025 bis 11.12.2027. Wer Funkprodukte baut, sollte gleich CRA-konform entwickeln, um Doppelarbeit zu vermeiden.
  • Maschinenverordnung (EU) 2023/1230: Gilt ab dem 20. Januar 2027. Maschinenhersteller mit vernetzten Produkten erfüllen beide Regelwerke; ein Zertifikat nach dem Cybersecurity Act kann eine Konformitätsvermutung für die Cybersicherheitsanforderungen der Maschinenverordnung begründen.
  • NIS2 (Richtlinie (EU) 2022/2555): Für eigenständige SaaS-/reine Cloud-Angebote, die nicht als integrale Fernverarbeitung eines Produkts gelten, ist in der Regel NIS2 einschlägig, nicht der CRA.

Empfohlener Vorbereitungsfahrplan

Die folgende Reihenfolge ist eine allgemeine organisatorisch-technische Orientierung – keine Rechtsberatung. Sie richtet sich am gestaffelten Zeitplan aus:

  1. Jetzt bis Mitte 2025 – Betroffenheit & Klassifizierung. Klären Sie, ob Ihre Produkte „Produkte mit digitalen Elementen“ sind und in welche Klasse sie fallen (Standard, wichtig Klasse I/II, kritisch). Der Betroffenheits-Check ist der sinnvolle Startpunkt.
  2. 2025 bis Mitte 2026 – Prozesse aufbauen. Etablieren Sie Schwachstellenmanagement, eine Coordinated-Vulnerability-Disclosure-Policy, sichere Update-Verteilung und ein SBOM in einem maschinenlesbaren Format. Legen Sie den Support-Zeitraum fest (mindestens 5 Jahre bzw. die erwartete Nutzungsdauer).
  3. Bis 11. September 2026 – Melde-Bereitschaft. Richten Sie Meldewege für die Single Reporting Platform ein und üben Sie die 24h/72h/14-Tage-Kaskade – auch für bereits vertriebene Produkte.
  4. 2026 bis 2027 – Konformität herstellen. Erstellen Sie die technische Dokumentation (Anhang VII), führen Sie die passende Konformitätsbewertung durch, sichern Sie ggf. frühzeitig Kapazität bei einer notifizierten Stelle (Klasse II/kritisch) und bereiten Sie EU-Konformitätserklärung und CE-Kennzeichnung vor.
  5. Bis 11. Dezember 2027 – volle Anwendung. Ab diesem Tag müssen neu bereitgestellte Produkte konform sein und die CE-Kennzeichnung tragen.

Die häufigste Falle: Inkrafttreten ≠ Anwendbarkeit. Zwischen dem 10.12.2024 und dem 11.12.2027 liegen drei Jahre – aber der Aufbau von Schwachstellenmanagement, Dokumentation und Konformitätsbewertung braucht diese Zeit. Wer erst 2027 beginnt, kommt zu spät. Einen kompakten Gesamtüberblick zum Rechtsakt bietet unsere CRA-Übersicht.

Häufige Fragen

Wann tritt der CRA in Kraft?+
Der CRA ist am 10. Dezember 2024 in Kraft getreten – 20 Tage nach der Veröffentlichung im Amtsblatt am 20. November 2024 (Art. 71 Abs. 1). Das Inkrafttreten begründet aber noch keine durchsetzbare Herstellerpflicht; die materiellen Pflichten greifen erst 2026 und 2027.
Was ist der wichtigste CRA-Stichtag?+
Der 11. Dezember 2027 – ab diesem Tag gilt der CRA voll: grundlegende Anforderungen nach Anhang I, Konformitätsbewertung, EU-Konformitätserklärung und CE-Kennzeichnung. Produkte mit digitalen Elementen müssen dann konform sein.
Ab wann gelten die CRA-Meldepflichten?+
Die Meldepflichten nach Art. 14 gelten ab dem 11. September 2026 – über ein Jahr vor der vollen Anwendung. Sie umfassen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle in der Kaskade 24 Stunden / 72 Stunden / Abschlussbericht und gelten auch für Produkte, die bereits am Markt sind.
Warum darf man 2024 oder 2025 nicht als Compliance-Stichtag nennen?+
Weil Inkrafttreten nicht gleich Anwendbarkeit ist. Am 10. Dezember 2024 ist die Verordnung nur in Kraft getreten; durchsetzbare Herstellerpflichten entstehen erst am 11. Juni 2026 (notifizierte Stellen), 11. September 2026 (Meldepflichten) und 11. Dezember 2027 (volle Anwendung). Das ist die häufigste CRA-Falle.
Wie hängen CRA, RED-Delegierte Verordnung und Maschinenverordnung zeitlich zusammen?+
Die RED-Delegierte Verordnung (EU) 2022/30 gilt ab dem 1. August 2025 und wird am 11. Dezember 2027 mit Wirksamwerden des CRA aufgehoben. Die Maschinenverordnung (EU) 2023/1230 gilt ab dem 20. Januar 2027. Wer Funk- oder Maschinenprodukte baut, sollte gleich CRA-konform entwickeln, um Doppelarbeit im Übergangsfenster zu vermeiden.

Quellen

Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).