
Stand: 2026-07-18
Unter dem EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) ist der Hersteller die Rolle mit der eigentlichen inhaltlichen Verantwortung. Importeure und Händler sind Torwächter, die prüfen; der Hersteller ist derjenige, der die Produktsicherheit tatsächlich herstellt, dokumentiert und nachweist. Wer ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt — oder ein bestehendes Produkt wesentlich verändert — trägt die Pflichten aus Art. 13 in voller Breite. Diese Seite ordnet sie technisch-organisatorisch, entlang des Verordnungstexts und der genannten Artikel- und Anhangsnummern. Sie ist allgemeine Orientierung, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG); die verbindliche Bewertung des Einzelfalls bleibt der Rechtsberatung vorbehalten.
Die Kernaussage vorweg
Der Hersteller (Art. 13) muss: die grundlegenden Anforderungen aus Annex I Teil I auf Basis einer Risikobewertung erfüllen, das Schwachstellen-Management nach Annex I Teil II betreiben, die technische Dokumentation nach Annex VII erstellen, die Konformitätsbewertung nach Art. 32 durchführen, die EU-Konformitätserklärung nach Art. 28 ausstellen, die CE-Kennzeichnung nach Art. 30 anbringen und die Meldepflichten nach Art. 14 erfüllen. Zwei Kennzahlen prägen den Aufwand: Supportzeitraum ≥ 5 Jahre und Aufbewahrung von technischer Dokumentation und Konformitätserklärung ≥ 10 Jahre.
1. Grundlegende Anforderungen erfüllen (Annex I Teil I)
Ausgangspunkt jeder Herstellerpflicht ist eine Cybersicherheits-Risikobewertung. Das Produkt ist so zu entwerfen, zu entwickeln und herzustellen, dass es ein dem Risiko angemessenes Cybersicherheitsniveau gewährleistet — der aus anderen NLF-Verordnungen bekannte Grundsatz „security by design and by default“. Annex I Teil I nennt hierfür eine Reihe von Schutzzielen, die je nach Risiko einschlägig sind: Auslieferung ohne bekannte ausnutzbare Schwachstellen, sichere Standardkonfiguration mit Rücksetzmöglichkeit, Schutz vor unbefugtem Zugriff (etwa durch Authentifizierung), Schutz der Vertraulichkeit und Integrität von Daten (Verschlüsselung wo angemessen), Datenminimierung, Verfügbarkeit von Kernfunktionen (Resilienz gegen Denial-of-Service), Minimierung der Angriffsfläche, Begrenzung von Auswirkungen (Defense in Depth), Protokollierung sicherheitsrelevanter Ereignisse und die Möglichkeit, Schwachstellen durch Sicherheitsupdates zu beheben. Entscheidend: Diese Anforderungen sind risikobasiert — nicht jede gilt für jedes Produkt gleich stark. Die Risikobewertung entscheidet, welche greifen, und wird Teil der technischen Dokumentation.
2. Schwachstellen-Management (Annex I Teil II) — inklusive SBOM und CVD
Anders als die einmalige Zertifizierung mancher Regelwerke ist das Schwachstellen-Management eine Dauerpflicht über den gesamten Supportzeitraum. Annex I Teil II verlangt vom Hersteller unter anderem:
- Schwachstellen und Komponenten zu identifizieren und zu dokumentieren — einschließlich einer Software-Stückliste (SBOM) in einem gängigen, maschinenlesbaren Format, die mindestens die obersten Abhängigkeitsebenen abdeckt.
- Schwachstellen unverzüglich zu beheben, insbesondere durch Sicherheitsupdates — und diese, wo machbar, von Funktionsupdates zu trennen.
- Das Produkt regelmäßig zu testen und zu überprüfen.
- Behobene Schwachstellen offenzulegen, sobald ein Update verfügbar ist (öffentliche Offenlegung mit beschreibenden Informationen).
- Eine verbindliche Policy zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) vorzuhalten und durchzusetzen, samt einer Kontaktadresse für Meldungen.
- Sicherheitsupdates sicher zu verteilen sowie unverzüglich und kostenlos bereitzustellen.
SBOM richtig verstehen: Die Verordnung schreibt eine SBOM in einem „gängigen, maschinenlesbaren Format, mindestens obere Abhängigkeitsebene“ vor — aber kein bestimmtes Format. Aussagen wie „der CRA verlangt CycloneDX“ oder „SPDX ist Pflicht“ sind falsch. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung, sind aber Leitlinie, nicht Gesetzestext. Die Kommission kann per Durchführungsrechtsakt später ein Format festlegen (bislang keines erlassen). Die SBOM wird den Behörden auf begründetes Verlangen offengelegt — sie ist kein Pflicht-Dokument zur öffentlichen Veröffentlichung.
3. Technische Dokumentation erstellen (Annex VII)
Die technische Dokumentation ist der schriftliche Nachweis, dass die grundlegenden Anforderungen erfüllt sind. Nach Annex VII enthält sie unter anderem: eine allgemeine Produktbeschreibung; die Design-, Entwicklungs- und Produktionsprozesse sowie die Prozesse des Schwachstellen-Managements (Architektur, SBOM, CVD-Policy, Verteilung von Updates); die Cybersicherheits-Risikobewertung, abgebildet auf die Anforderungen aus Annex I; Angaben zum Supportzeitraum; die angewandten Normen, Spezifikationen und Zertifizierungsschemata; Testberichte; und eine Kopie der EU-Konformitätserklärung. Sie muss aktuell gehalten werden. Eine tiefergehende Struktur- und Inhaltsübersicht finden Sie in unserem Beitrag zur CRA technischen Dokumentation.
4. Konformitätsbewertung durchführen (Art. 32) — der klassenabhängige Weg
Wie die Konformität nachgewiesen wird, hängt von der Produktklasse ab. Der CRA kennt vier Stufen; der Bewertungsweg unterscheidet sich deutlich:
| Produktklasse | Bewertungsweg |
|---|---|
| Standard / nicht klassifiziert (Regelfall) | Selbstbewertung (Modul A) — oder wahlweise B+C, H bzw. Zertifizierungsschema |
| Wichtig, Klasse I (Annex III-I) | Selbstbewertung nur, wenn harmonisierte Normen / gemeinsame Spezifikationen / ein Zertifizierungsschema vollständig angewandt werden; sonst Modul B (EU-Baumusterprüfung) + C oder Modul H |
| Wichtig, Klasse II (Annex III-II) | Immer Drittprüfung durch benannte Stelle — B+C, H oder Zertifizierungsschema. Keine Selbstbewertung. |
| Kritisch (Annex IV) | Europäisches Cybersicherheits-Zertifizierungsschema (VO 2019/881, ≥ „substanziell“), wo vorgeschrieben; sonst wie Klasse II |
Merkregel: Eine benannte Stelle ist nur für Klasse II und kritische Produkte zwingend. Die große Mehrheit der Produkte mit digitalen Elementen kann sich selbst bewerten; Klasse-I-Produkte, wenn die einschlägigen Normen vollständig angewandt werden. „Alle Produkte brauchen eine benannte Stelle“ ist ein verbreiteter Irrtum. Welche Klasse Ihr Produkt trifft, klärt unsere Seite zu den CRA-Produktklassen.
5. EU-Konformitätserklärung ausstellen (Art. 28) und CE anbringen (Art. 30)
Nach bestandener Konformitätsbewertung stellt der Hersteller die EU-Konformitätserklärung (Art. 28, Muster in Annex V) unter alleiniger Verantwortung aus. Sie identifiziert das Produkt und den Hersteller, erklärt die Konformität, nennt die angewandten Normen/Spezifikationen/Schemata und — wo einschlägig — die benannte Stelle (Name, Nummer, Verfahren, Zertifikat) samt Unterschrift. Anschließend bringt der Hersteller die CE-Kennzeichnung (Art. 30) an. Die CE-Kennzeichnung ist die sichtbare Erklärung, dass das Produkt den einschlägigen Unionsvorschriften — hier dem CRA — entspricht. Sie ist erst ab der allgemeinen Anwendbarkeit am 11. Dezember 2027 relevant.
6. Meldepflichten (Art. 14) — ab 11. September 2026
Ab dem 11. September 2026 muss der Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an das koordinierende CSIRT und die ENISA melden — über die Single Reporting Platform (Art. 16). Die Kadenz ist mehrstufig, und ein Detail wird häufig verwechselt:
| Schritt | Frist |
|---|---|
| Frühwarnung | 24 Stunden nach Kenntnis |
| Meldung | 72 Stunden |
| Abschlussbericht — Schwachstellen | ≤ 14 Tage nach Verfügbarkeit einer Abhilfe |
| Abschlussbericht — schwere Vorfälle | innerhalb eines Monats nach der Meldung |
⚠️ Die Abschlussfrist unterscheidet sich: 14 Tage (Schwachstelle) gegenüber einem Monat (Vorfall). Nicht „14 Tage für beides“.
Die Meldepflichten gelten auch für Produkte, die bereits auf dem Markt sind. Kleinst- und Kleinunternehmen können für versäumte Art.-14-Fristen nicht mit Bußgeld belegt werden.
7. Supportzeitraum und Aufbewahrung
Zwei Fristen sind zentral und werden oft verwechselt:
- Supportzeitraum ≥ 5 Jahre: Der Hersteller muss Schwachstellen-Management und Sicherheitsupdates mindestens fünf Jahre lang leisten — oder für die kürzere erwartete Nutzungsdauer, falls das Produkt erkennbar kürzer genutzt wird.
- Aufbewahrung ≥ 10 Jahre: Technische Dokumentation und EU-Konformitätserklärung sind mindestens zehn Jahre nach Inverkehrbringen aufzubewahren — bzw. für den Supportzeitraum, je nachdem, was länger ist.
8. Korrekturmaßnahmen, Rücknahme, Rückruf
Stellt der Hersteller fest, dass ein Produkt nicht (mehr) konform ist, muss er unverzüglich Korrekturmaßnahmen ergreifen — das Produkt in Konformität bringen, vom Markt nehmen oder zurückrufen, je nach Schwere. Er informiert die zuständigen Behörden und, wo ein Risiko besteht, die betroffenen Nutzer. Diese Pflicht ist der Gegenpol zur Marktüberwachung: Sie sorgt dafür, dass Konformität nicht nur zum Zeitpunkt des Inverkehrbringens, sondern über den gesamten Lebenszyklus fortbesteht.
Pflichten-Checkliste Hersteller
- Anwendbarkeit klären: Ist das Produkt ein Produkt mit digitalen Elementen im CRA-Anwendungsbereich? In welche Produktklasse fällt es?
- Cybersicherheits-Risikobewertung durchführen und auf Annex I abbilden.
- Produkt nach „security by design and by default“ entwerfen; grundlegende Anforderungen aus Annex I Teil I umsetzen.
- Schwachstellen-Prozess nach Annex I Teil II aufbauen: SBOM, CVD-Policy mit Kontaktadresse, sichere und kostenlose Update-Verteilung.
- Technische Dokumentation nach Annex VII erstellen und aktuell halten.
- Konformitätsbewertung nach Art. 32 klassengerecht durchführen (Selbstbewertung oder benannte Stelle).
- EU-Konformitätserklärung (Art. 28) ausstellen und CE-Kennzeichnung (Art. 30) anbringen.
- Meldeprozess nach Art. 14 einrichten (24 h / 72 h / 14 Tage bzw. ein Monat) — ab 11. September 2026.
- Supportzeitraum (≥ 5 Jahre) festlegen und kommunizieren; Aufbewahrung (≥ 10 Jahre) sicherstellen.
- Prozess für Korrekturmaßnahmen, Rücknahme und Rückruf etablieren.
Fahrplan bis zum 11. Dezember 2027
Bis zur allgemeinen Anwendbarkeit am 11. Dezember 2027 ist Zeit — aber die substanziellen Aufgaben (Risikobewertung, Schwachstellen-Prozess, Dokumentation) brauchen Vorlauf, und die Meldepflichten greifen bereits ab 11. September 2026.
- Bis Q3 2026: Produkt-Rollen-Register und Klassifizierung abschließen; Meldeprozess nach Art. 14 einsatzbereit haben (Pflicht ab 11.09.2026).
- 2026: Risikobewertung je Produkt durchführen; Schwachstellen-Management inkl. SBOM und CVD-Policy aufbauen.
- 2026–2027: Grundlegende Anforderungen umsetzen; technische Dokumentation nach Annex VII schreiben; passenden Konformitätsweg wählen und — bei Klasse II / kritisch — benannte Stelle frühzeitig einbinden (Kapazität ist knapp).
- Bis 11.12.2027: Konformitätsbewertung abschließen, EU-Konformitätserklärung ausstellen, CE anbringen.
Wo Sie im Portfolio die Herstellerlast tragen und wo nur die Torwächter-Rolle, klärt der Vergleich der CRA-Rollen. Den strukturierten Einstieg macht unsere Betroffenheitsprüfung.
Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des RDG. Konkrete Pflichten, Produktklassen und Fristen hängen vom Einzelfall ab und können sich durch Leitlinien und Durchführungsrechtsakte der Kommission ändern.
Häufige Fragen
Welche Pflichten hat ein Hersteller unter dem CRA?+
Braucht jeder Hersteller eine benannte Stelle (Notified Body)?+
Schreibt der CRA ein bestimmtes SBOM-Format vor?+
Wie lange muss ein Hersteller Support leisten und Unterlagen aufbewahren?+
Ab wann gelten die Melde- und Herstellerpflichten?+
Quellen
- https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
- https://digital-strategy.ec.europa.eu/en/policies/cra-summary
- https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html
- https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402847
Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).