CRA-Insights

Cyber Resilience Act

Herstellerpflichten unter dem CRA: Was Art. 13 wirklich verlangt

Herstellerpflichten unter dem CRA: Was Art. 13 wirklich verlangt

Stand: 2026-07-18

Unter dem EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) ist der Hersteller die Rolle mit der eigentlichen inhaltlichen Verantwortung. Importeure und Händler sind Torwächter, die prüfen; der Hersteller ist derjenige, der die Produktsicherheit tatsächlich herstellt, dokumentiert und nachweist. Wer ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt — oder ein bestehendes Produkt wesentlich verändert — trägt die Pflichten aus Art. 13 in voller Breite. Diese Seite ordnet sie technisch-organisatorisch, entlang des Verordnungstexts und der genannten Artikel- und Anhangsnummern. Sie ist allgemeine Orientierung, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG); die verbindliche Bewertung des Einzelfalls bleibt der Rechtsberatung vorbehalten.

Die Kernaussage vorweg

Der Hersteller (Art. 13) muss: die grundlegenden Anforderungen aus Annex I Teil I auf Basis einer Risikobewertung erfüllen, das Schwachstellen-Management nach Annex I Teil II betreiben, die technische Dokumentation nach Annex VII erstellen, die Konformitätsbewertung nach Art. 32 durchführen, die EU-Konformitätserklärung nach Art. 28 ausstellen, die CE-Kennzeichnung nach Art. 30 anbringen und die Meldepflichten nach Art. 14 erfüllen. Zwei Kennzahlen prägen den Aufwand: Supportzeitraum ≥ 5 Jahre und Aufbewahrung von technischer Dokumentation und Konformitätserklärung ≥ 10 Jahre.

1. Grundlegende Anforderungen erfüllen (Annex I Teil I)

Ausgangspunkt jeder Herstellerpflicht ist eine Cybersicherheits-Risikobewertung. Das Produkt ist so zu entwerfen, zu entwickeln und herzustellen, dass es ein dem Risiko angemessenes Cybersicherheitsniveau gewährleistet — der aus anderen NLF-Verordnungen bekannte Grundsatz „security by design and by default“. Annex I Teil I nennt hierfür eine Reihe von Schutzzielen, die je nach Risiko einschlägig sind: Auslieferung ohne bekannte ausnutzbare Schwachstellen, sichere Standardkonfiguration mit Rücksetzmöglichkeit, Schutz vor unbefugtem Zugriff (etwa durch Authentifizierung), Schutz der Vertraulichkeit und Integrität von Daten (Verschlüsselung wo angemessen), Datenminimierung, Verfügbarkeit von Kernfunktionen (Resilienz gegen Denial-of-Service), Minimierung der Angriffsfläche, Begrenzung von Auswirkungen (Defense in Depth), Protokollierung sicherheitsrelevanter Ereignisse und die Möglichkeit, Schwachstellen durch Sicherheitsupdates zu beheben. Entscheidend: Diese Anforderungen sind risikobasiert — nicht jede gilt für jedes Produkt gleich stark. Die Risikobewertung entscheidet, welche greifen, und wird Teil der technischen Dokumentation.

2. Schwachstellen-Management (Annex I Teil II) — inklusive SBOM und CVD

Anders als die einmalige Zertifizierung mancher Regelwerke ist das Schwachstellen-Management eine Dauerpflicht über den gesamten Supportzeitraum. Annex I Teil II verlangt vom Hersteller unter anderem:

  • Schwachstellen und Komponenten zu identifizieren und zu dokumentieren — einschließlich einer Software-Stückliste (SBOM) in einem gängigen, maschinenlesbaren Format, die mindestens die obersten Abhängigkeitsebenen abdeckt.
  • Schwachstellen unverzüglich zu beheben, insbesondere durch Sicherheitsupdates — und diese, wo machbar, von Funktionsupdates zu trennen.
  • Das Produkt regelmäßig zu testen und zu überprüfen.
  • Behobene Schwachstellen offenzulegen, sobald ein Update verfügbar ist (öffentliche Offenlegung mit beschreibenden Informationen).
  • Eine verbindliche Policy zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) vorzuhalten und durchzusetzen, samt einer Kontaktadresse für Meldungen.
  • Sicherheitsupdates sicher zu verteilen sowie unverzüglich und kostenlos bereitzustellen.

SBOM richtig verstehen: Die Verordnung schreibt eine SBOM in einem „gängigen, maschinenlesbaren Format, mindestens obere Abhängigkeitsebene“ vor — aber kein bestimmtes Format. Aussagen wie „der CRA verlangt CycloneDX“ oder „SPDX ist Pflicht“ sind falsch. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung, sind aber Leitlinie, nicht Gesetzestext. Die Kommission kann per Durchführungsrechtsakt später ein Format festlegen (bislang keines erlassen). Die SBOM wird den Behörden auf begründetes Verlangen offengelegt — sie ist kein Pflicht-Dokument zur öffentlichen Veröffentlichung.

3. Technische Dokumentation erstellen (Annex VII)

Die technische Dokumentation ist der schriftliche Nachweis, dass die grundlegenden Anforderungen erfüllt sind. Nach Annex VII enthält sie unter anderem: eine allgemeine Produktbeschreibung; die Design-, Entwicklungs- und Produktionsprozesse sowie die Prozesse des Schwachstellen-Managements (Architektur, SBOM, CVD-Policy, Verteilung von Updates); die Cybersicherheits-Risikobewertung, abgebildet auf die Anforderungen aus Annex I; Angaben zum Supportzeitraum; die angewandten Normen, Spezifikationen und Zertifizierungsschemata; Testberichte; und eine Kopie der EU-Konformitätserklärung. Sie muss aktuell gehalten werden. Eine tiefergehende Struktur- und Inhaltsübersicht finden Sie in unserem Beitrag zur CRA technischen Dokumentation.

4. Konformitätsbewertung durchführen (Art. 32) — der klassenabhängige Weg

Wie die Konformität nachgewiesen wird, hängt von der Produktklasse ab. Der CRA kennt vier Stufen; der Bewertungsweg unterscheidet sich deutlich:

ProduktklasseBewertungsweg
Standard / nicht klassifiziert (Regelfall)Selbstbewertung (Modul A) — oder wahlweise B+C, H bzw. Zertifizierungsschema
Wichtig, Klasse I (Annex III-I)Selbstbewertung nur, wenn harmonisierte Normen / gemeinsame Spezifikationen / ein Zertifizierungsschema vollständig angewandt werden; sonst Modul B (EU-Baumusterprüfung) + C oder Modul H
Wichtig, Klasse II (Annex III-II)Immer Drittprüfung durch benannte Stelle — B+C, H oder Zertifizierungsschema. Keine Selbstbewertung.
Kritisch (Annex IV)Europäisches Cybersicherheits-Zertifizierungsschema (VO 2019/881, ≥ „substanziell“), wo vorgeschrieben; sonst wie Klasse II

Merkregel: Eine benannte Stelle ist nur für Klasse II und kritische Produkte zwingend. Die große Mehrheit der Produkte mit digitalen Elementen kann sich selbst bewerten; Klasse-I-Produkte, wenn die einschlägigen Normen vollständig angewandt werden. „Alle Produkte brauchen eine benannte Stelle“ ist ein verbreiteter Irrtum. Welche Klasse Ihr Produkt trifft, klärt unsere Seite zu den CRA-Produktklassen.

5. EU-Konformitätserklärung ausstellen (Art. 28) und CE anbringen (Art. 30)

Nach bestandener Konformitätsbewertung stellt der Hersteller die EU-Konformitätserklärung (Art. 28, Muster in Annex V) unter alleiniger Verantwortung aus. Sie identifiziert das Produkt und den Hersteller, erklärt die Konformität, nennt die angewandten Normen/Spezifikationen/Schemata und — wo einschlägig — die benannte Stelle (Name, Nummer, Verfahren, Zertifikat) samt Unterschrift. Anschließend bringt der Hersteller die CE-Kennzeichnung (Art. 30) an. Die CE-Kennzeichnung ist die sichtbare Erklärung, dass das Produkt den einschlägigen Unionsvorschriften — hier dem CRA — entspricht. Sie ist erst ab der allgemeinen Anwendbarkeit am 11. Dezember 2027 relevant.

6. Meldepflichten (Art. 14) — ab 11. September 2026

Ab dem 11. September 2026 muss der Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an das koordinierende CSIRT und die ENISA melden — über die Single Reporting Platform (Art. 16). Die Kadenz ist mehrstufig, und ein Detail wird häufig verwechselt:

SchrittFrist
Frühwarnung24 Stunden nach Kenntnis
Meldung72 Stunden
Abschlussbericht — Schwachstellen≤ 14 Tage nach Verfügbarkeit einer Abhilfe
Abschlussbericht — schwere Vorfälleinnerhalb eines Monats nach der Meldung

⚠️ Die Abschlussfrist unterscheidet sich: 14 Tage (Schwachstelle) gegenüber einem Monat (Vorfall). Nicht „14 Tage für beides“.

Die Meldepflichten gelten auch für Produkte, die bereits auf dem Markt sind. Kleinst- und Kleinunternehmen können für versäumte Art.-14-Fristen nicht mit Bußgeld belegt werden.

7. Supportzeitraum und Aufbewahrung

Zwei Fristen sind zentral und werden oft verwechselt:

  • Supportzeitraum ≥ 5 Jahre: Der Hersteller muss Schwachstellen-Management und Sicherheitsupdates mindestens fünf Jahre lang leisten — oder für die kürzere erwartete Nutzungsdauer, falls das Produkt erkennbar kürzer genutzt wird.
  • Aufbewahrung ≥ 10 Jahre: Technische Dokumentation und EU-Konformitätserklärung sind mindestens zehn Jahre nach Inverkehrbringen aufzubewahren — bzw. für den Supportzeitraum, je nachdem, was länger ist.

8. Korrekturmaßnahmen, Rücknahme, Rückruf

Stellt der Hersteller fest, dass ein Produkt nicht (mehr) konform ist, muss er unverzüglich Korrekturmaßnahmen ergreifen — das Produkt in Konformität bringen, vom Markt nehmen oder zurückrufen, je nach Schwere. Er informiert die zuständigen Behörden und, wo ein Risiko besteht, die betroffenen Nutzer. Diese Pflicht ist der Gegenpol zur Marktüberwachung: Sie sorgt dafür, dass Konformität nicht nur zum Zeitpunkt des Inverkehrbringens, sondern über den gesamten Lebenszyklus fortbesteht.

Pflichten-Checkliste Hersteller

  1. Anwendbarkeit klären: Ist das Produkt ein Produkt mit digitalen Elementen im CRA-Anwendungsbereich? In welche Produktklasse fällt es?
  2. Cybersicherheits-Risikobewertung durchführen und auf Annex I abbilden.
  3. Produkt nach „security by design and by default“ entwerfen; grundlegende Anforderungen aus Annex I Teil I umsetzen.
  4. Schwachstellen-Prozess nach Annex I Teil II aufbauen: SBOM, CVD-Policy mit Kontaktadresse, sichere und kostenlose Update-Verteilung.
  5. Technische Dokumentation nach Annex VII erstellen und aktuell halten.
  6. Konformitätsbewertung nach Art. 32 klassengerecht durchführen (Selbstbewertung oder benannte Stelle).
  7. EU-Konformitätserklärung (Art. 28) ausstellen und CE-Kennzeichnung (Art. 30) anbringen.
  8. Meldeprozess nach Art. 14 einrichten (24 h / 72 h / 14 Tage bzw. ein Monat) — ab 11. September 2026.
  9. Supportzeitraum (≥ 5 Jahre) festlegen und kommunizieren; Aufbewahrung (≥ 10 Jahre) sicherstellen.
  10. Prozess für Korrekturmaßnahmen, Rücknahme und Rückruf etablieren.

Fahrplan bis zum 11. Dezember 2027

Bis zur allgemeinen Anwendbarkeit am 11. Dezember 2027 ist Zeit — aber die substanziellen Aufgaben (Risikobewertung, Schwachstellen-Prozess, Dokumentation) brauchen Vorlauf, und die Meldepflichten greifen bereits ab 11. September 2026.

  • Bis Q3 2026: Produkt-Rollen-Register und Klassifizierung abschließen; Meldeprozess nach Art. 14 einsatzbereit haben (Pflicht ab 11.09.2026).
  • 2026: Risikobewertung je Produkt durchführen; Schwachstellen-Management inkl. SBOM und CVD-Policy aufbauen.
  • 2026–2027: Grundlegende Anforderungen umsetzen; technische Dokumentation nach Annex VII schreiben; passenden Konformitätsweg wählen und — bei Klasse II / kritisch — benannte Stelle frühzeitig einbinden (Kapazität ist knapp).
  • Bis 11.12.2027: Konformitätsbewertung abschließen, EU-Konformitätserklärung ausstellen, CE anbringen.

Wo Sie im Portfolio die Herstellerlast tragen und wo nur die Torwächter-Rolle, klärt der Vergleich der CRA-Rollen. Den strukturierten Einstieg macht unsere Betroffenheitsprüfung.

Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des RDG. Konkrete Pflichten, Produktklassen und Fristen hängen vom Einzelfall ab und können sich durch Leitlinien und Durchführungsrechtsakte der Kommission ändern.

Häufige Fragen

Welche Pflichten hat ein Hersteller unter dem CRA?+
Der Hersteller (Art. 13) erfüllt die grundlegenden Anforderungen aus Annex I Teil I auf Basis einer Risikobewertung, betreibt das Schwachstellen-Management nach Annex I Teil II (inkl. SBOM und CVD-Policy), erstellt die technische Dokumentation nach Annex VII, führt die Konformitätsbewertung nach Art. 32 durch, stellt die EU-Konformitätserklärung nach Art. 28 aus, bringt die CE-Kennzeichnung nach Art. 30 an und erfüllt die Meldepflichten nach Art. 14. Zusätzlich schuldet er einen Supportzeitraum von mindestens 5 Jahren, eine Aufbewahrung von Dokumentation und Konformitätserklärung von mindestens 10 Jahren sowie Korrekturmaßnahmen bei Nichtkonformität.
Braucht jeder Hersteller eine benannte Stelle (Notified Body)?+
Nein. Eine benannte Stelle ist nach Art. 32 nur für wichtige Produkte der Klasse II (Annex III-II) und für kritische Produkte (Annex IV) zwingend. Standard- bzw. nicht klassifizierte Produkte dürfen im Wege der Selbstbewertung (Modul A) bewertet werden. Produkte der Klasse I (Annex III-I) dürfen ebenfalls selbst bewertet werden, sofern harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema vollständig angewandt werden; andernfalls ist auch hier eine Drittprüfung nötig. Die Aussage „alle Produkte brauchen eine benannte Stelle“ ist falsch.
Schreibt der CRA ein bestimmtes SBOM-Format vor?+
Nein. Annex I Teil II verlangt eine Software-Stückliste (SBOM) in einem gängigen, maschinenlesbaren Format, das mindestens die obersten Abhängigkeitsebenen abdeckt — aber kein konkretes Format. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung, sind jedoch anerkannte Leitlinie und nicht Gesetzestext. Die Kommission kann per Durchführungsrechtsakt später ein Format festlegen; bislang ist keines erlassen. Die SBOM wird den Behörden auf begründetes Verlangen offengelegt und ist kein Pflicht-Dokument zur öffentlichen Veröffentlichung.
Wie lange muss ein Hersteller Support leisten und Unterlagen aufbewahren?+
Der Supportzeitraum beträgt mindestens 5 Jahre — oder die kürzere erwartete Nutzungsdauer, falls das Produkt erkennbar kürzer genutzt wird. In dieser Zeit muss der Hersteller Schwachstellen-Management und Sicherheitsupdates leisten. Die technische Dokumentation und die EU-Konformitätserklärung sind getrennt davon mindestens 10 Jahre nach Inverkehrbringen aufzubewahren — bzw. für den Supportzeitraum, je nachdem, was länger ist. Die beiden Fristen (5 Jahre Support, 10 Jahre Aufbewahrung) werden häufig verwechselt.
Ab wann gelten die Melde- und Herstellerpflichten?+
Die Meldepflichten nach Art. 14 (aktiv ausgenutzte Schwachstellen und schwere Vorfälle) gelten ab dem 11. September 2026 — mit der Kadenz Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen 14 Tagen nach Verfügbarkeit einer Abhilfe (Schwachstellen) bzw. innerhalb eines Monats nach der Meldung (schwere Vorfälle). Die übrigen Herstellerpflichten — grundlegende Anforderungen, Konformitätsbewertung und CE-Kennzeichnung — gelten mit der allgemeinen Anwendbarkeit ab dem 11. Dezember 2027. Das Inkrafttreten am 10. Dezember 2024 begründet noch keine dieser Pflichten.

Quellen

Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).