Blackfort Technology

Cyber Resilience Act für KMU: Klar priorisiert, machbar umgesetzt

Gilt der CRA auch für Ihr Unternehmen? Ja – und zwar bald.

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) kennt keine Größenausnahme für Hersteller. Wenn Sie ein Produkt mit digitalen Elementen – Hardware oder Software – auf dem EU-Markt bereitstellen, gelten die Pflichten typischerweise für Sie. Unabhängig davon, ob Sie 10 oder 10.000 Mitarbeitende beschäftigen.

Was es für KMU gibt, sind punktuelle Erleichterungen bei Sanktionen und bestimmten Meldepflichten. Das ändert nichts an der grundsätzlichen Pflicht zur Umsetzung.

Die gute Nachricht: Mit dem richtigen Einstieg lässt sich der CRA strukturiert und ohne überdimensionierten Aufwand angehen – wenn Sie jetzt beginnen.

Zwei Fristen, die zählen

Datum Was gilt ab dann? Priorität für KMU
11. September 2026 Melde- und Berichtspflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle Hoch – operativer Prozess muss vorher stehen
11. Dezember 2027 Volle Produktanforderungen: Security-by-Design, SBOM, CE-Kennzeichnung, technische Dokumentation, EU-Konformitätserklärung Mittel bis hoch – Vorlaufzeit für Produktentwicklung einplanen

Die erste Frist – September 2026 – ist die dringlichere. Sie verlangt funktionierende Prozesse, keine fertige Produktdokumentation. Wer heute noch keinen definierten Ablauf hat, wenn eine Schwachstelle gemeldet wird oder ein Sicherheitsvorfall eintritt, hat bis dahin weniger Zeit als es scheint.

Was Sie ab September 2026 operativ bereitstellen müssen

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle über die CRA Single Reporting Platform melden (adressiert an das zuständige CSIRT, mit gleichzeitiger Bereitstellung an ENISA):

  • 24 Stunden: Frühwarnung ab Kenntnisnahme
  • 72 Stunden: Vollständige Meldung inkl. ergriffener Maßnahmen
  • Abschlussbericht: 14 Tage, nachdem eine Korrekturmaßnahme verfügbar ist (aktiv ausgenutzte Schwachstellen); 1 Monat nach der 72-Stunden-Meldung (schwere Sicherheitsvorfälle)

Das klingt nach Standardprozessen – ist es für viele KMU aber nicht. Typische Lücken: kein definierter Ansprechpartner für Sicherheitsmeldungen, kein Eskalationsweg, keine Vorlage für den Abschlussbericht. Diese Prozesse aufzubauen braucht Zeit, aber keinen siebenstelligen Projektplan.

Mehr zu den Meldefristen und -wegen: CRA Meldepflicht ab 11. September 2026.

Typische Fallstricke für mittelständische Hersteller

„Wir machen nur Software – das gilt sicher nicht für uns."

Softwareprodukte fallen ausdrücklich unter den CRA, sofern sie eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk herstellen. Rein offline genutzte Software ohne jede Netzwerkkomponente kann ausgenommen sein – die Grenze ist enger, als viele annehmen.

„Wir sind zu klein für eine notifizierte Stelle."

Die meisten Standard-Produkte können per Selbstbewertung konformitätsbescheinigt werden. Allerdings hängt das von der Produktkategorie ab. Wichtige Produkte (Anhang III, Klasse I und II) unterliegen strengeren Anforderungen – bis hin zur verpflichtenden Beteiligung einer notifizierten Stelle. Welcher Weg für Ihr Produkt typischerweise gilt, sollte frühzeitig geklärt werden. Mehr dazu: CRA-Produktklassen: Einordnung und Prüfwege.

„Die SBOM-Pflicht kommt erst 2027 – das hat Zeit."

Ja und nein. Die Pflicht kommt 2027 – aber eine vollständige, CRA-konforme Software-Stückliste aufzubauen, wenn Ihr Produkt 50 Abhängigkeiten hat und das Entwicklungsteam sie noch nie systematisch erfasst hat, dauert Monate. Wer damit wartet, gerät in Zeitdruck genau dann, wenn auch alle anderen KMU gleichzeitig nachziehen. Mehr zu Formaten und Anforderungen: SBOM-Anforderungen im CRA.

„Wir verkaufen auch außerhalb der EU – der CRA gilt nur im Inland."

Der CRA knüpft an das Inverkehrbringen auf dem EU-Markt an. Wenn Sie in der EU verkaufen, gilt er – unabhängig davon, wo Sie Ihren Hauptsitz haben oder wohin Sie zusätzlich exportieren.

Priorisierter Fahrplan: Was zuerst, wenn Budget und Zeit begrenzt sind

Kein KMU muss alles auf einmal tun. Die folgende Priorisierung orientiert sich an den Fristen und daran, was im Falle eines Audits oder eines Vorfalls als erstes gefragt wird.

Phase 1 – Bis September 2026: Prozesse vor Dokumenten

  • Betroffenheit klären: Gilt der CRA für Ihr Produkt? Welche Rolle nehmen Sie ein (Hersteller, Importeur, Händler)? → Interaktiver Betroffenheits-Check
  • Produktklasse einordnen: Standard, wichtig Klasse I, wichtig Klasse II oder kritisch? Das bestimmt den Konformitätspfad.
  • Meldeprozess aufbauen: Ansprechpartner benennen, Eskalationsweg definieren, Meldevorlagen erstellen, Zugang zur CRA Single Reporting Platform vorbereiten.
  • Schwachstellen-Tracking einführen: Wer meldet intern was an wen? Wie werden bekannte Schwachstellen in genutzten Drittkomponenten überwacht?

Phase 2 – Bis Dezember 2027: Produktanforderungen systematisch schließen

  • Risikobewertung und Security-by-Design: Cybersecurity-Risikobewertung für Design, Entwicklung und Produktion – kann an bestehende Prozesse angedockt werden.
  • SBOM aufbauen: Software-Stückliste nach CRA-Anforderungen erstellen (CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1 empfohlen), Archivierungspflicht beachten (10 Jahre). Gap-Report anfragen: Ihre SBOM auf CRA-Tauglichkeit prüfen
  • Technische Dokumentation aufbauen: Grundlage für CE-Kennzeichnung und EU-Konformitätserklärung.
  • Konformitätsbewertung durchführen: Je nach Klasse Selbstbewertung oder Einbindung einer notifizierten Stelle.
  • Nutzerinformationen (Anhang II): Sicherheitsrelevante Produktinformationen für Endnutzer bereitstellen.

Was Blackfort Technology für KMU-Hersteller übernimmt

Blackfort Technology begleitet mittelständische Hersteller von der ersten Einordnung bis zur dokumentierten Konformität – ohne Beratungsoverhead, der für ein 30-köpfiges Unternehmen nicht skaliert.

  • Betroffenheits- und Klassenanalyse: Klärung, ob und in welchem Umfang Ihre Produkte unter den CRA fallen
  • Meldeprozess-Setup: Aufbau eines schlanken PSIRT-Prozesses (Product Security Incident Response) für September 2026
  • SBOM Gap-Report: Analyse Ihrer Software-Stückliste gegen CRA-Anforderungen, Tooling-Empfehlung (Dependency-Track, CycloneDX)
  • Technische Dokumentation: Erstellung oder Review der für CE-Kennzeichnung erforderlichen Unterlagen
  • Begleitung der Konformitätsbewertung: Vorbereitung auf Selbstbewertung oder Abstimmung mit notifizierter Stelle

Christian Gebhardt, Geschäftsführer von Blackfort Technology, ist Mitglied der ACS-KI-Facharbeitsgruppe und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs. Seine Umsetzungserfahrung aus PKI-, DORA-, NIS2- und ISMS-Projekten fließt direkt in die CRA-Arbeit ein.

Weiterführende Inhalte für KMU-Hersteller

Ausführlicher Schritt-für-Schritt-Plan: Cyber Resilience Act Mittelstand: Priorisierter Umsetzungsplan.

Gesamtüberblick über alle CRA-Pflichten: Cyber Resilience Act: Anforderungen, Fristen und Pflichten im Überblick.

Häufige Fragen

Gilt der Cyber Resilience Act auch für sehr kleine Unternehmen mit weniger als 10 Mitarbeitenden?
Ja. Der CRA kennt keine Größenausnahme für Hersteller. Kleinstunternehmen erhalten punktuelle Erleichterungen bei bestimmten Sanktions- und Melderegelungen, sind aber grundsätzlich verpflichtet, die Anforderungen zu erfüllen, wenn sie Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen.
Wir entwickeln eine SaaS-Lösung – fällt Software ohne Hardware unter den CRA?
Softwareprodukte sind ausdrücklich im Anwendungsbereich des CRA, sofern sie eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk herstellen. Rein lokal genutzte Software ohne jede Netzwerkkomponente kann außerhalb des Anwendungsbereichs liegen – die Grenze ist im Einzelfall zu prüfen.
Was passiert, wenn wir die Meldepflicht ab September 2026 nicht erfüllen?
Verstöße gegen CRA-Anforderungen können mit erheblichen Bußgeldern geahndet werden. Für Verstöße gegen die grundlegenden Cybersicherheitsanforderungen (Anhang I) sowie gegen bestimmte Hersteller- und Meldepflichten (u. a. Art. 13 und 14) sieht der CRA Geldbußen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag höher ist). Bei der Bemessung wird die Unternehmensgröße – insbesondere bei KMU und Kleinstunternehmen – berücksichtigt, die grundsätzliche Bußgeldpflicht besteht jedoch.
Müssen wir für die Meldepflicht zwingend eine eigene Sicherheitsabteilung aufbauen?
Nein. Was der CRA verlangt, ist ein funktionierender Prozess: ein benannter Ansprechpartner, ein definierter Eskalationsweg und die Fähigkeit, eine Meldung fristgerecht über die CRA Single Reporting Platform abzusetzen. Wie das intern organisiert ist – ob als Teilaufgabe des IT-Leiters, als externer Dienstleister oder als dediziertes PSIRT – bleibt Ihnen überlassen.
Wie aufwendig ist eine Software Bill of Materials (SBOM) für ein typisches KMU-Produkt?
Das hängt stark von der Komplexität Ihrer Abhängigkeiten ab. Moderne Tools wie Dependency-Track können einen Großteil der Erfassung automatisieren. Der Aufwand liegt oft weniger im technischen Aufbau als in der initialen Inventarisierung unbekannter oder schlecht dokumentierter Drittkomponenten. Unser SBOM Gap-Report zeigt Ihnen konkret, wo Lücken bestehen.
Wir verkaufen unser Produkt hauptsächlich in den USA – müssen wir trotzdem CRA-konform werden?
Wenn Sie Ihr Produkt auch auf dem EU-Markt anbieten oder Kunden in der EU haben, fällt es unter den CRA. Der CRA knüpft an das Inverkehrbringen im EU-Binnenmarkt an, nicht an den Unternehmenssitz. Wer ausschließlich außerhalb der EU verkauft und keinen EU-Vertriebskanal hat, ist typischerweise nicht betroffen.

Sprechen wir über Ihre CRA-Readiness

Jetzt Erstgespräch vereinbaren: Wir klären in 30 Minuten, welche CRA-Pflichten für Ihr Produkt typischerweise gelten – und was bis September 2026 wirklich dringend ist.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.