Cyber Resilience Act für KMU: Klar priorisiert, machbar umgesetzt
Gilt der CRA auch für Ihr Unternehmen? Ja – und zwar bald.
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) kennt keine Größenausnahme für Hersteller. Wenn Sie ein Produkt mit digitalen Elementen – Hardware oder Software – auf dem EU-Markt bereitstellen, gelten die Pflichten typischerweise für Sie. Unabhängig davon, ob Sie 10 oder 10.000 Mitarbeitende beschäftigen.
Was es für KMU gibt, sind punktuelle Erleichterungen bei Sanktionen und bestimmten Meldepflichten. Das ändert nichts an der grundsätzlichen Pflicht zur Umsetzung.
Die gute Nachricht: Mit dem richtigen Einstieg lässt sich der CRA strukturiert und ohne überdimensionierten Aufwand angehen – wenn Sie jetzt beginnen.
Zwei Fristen, die zählen
| Datum | Was gilt ab dann? | Priorität für KMU |
|---|---|---|
| 11. September 2026 | Melde- und Berichtspflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle | Hoch – operativer Prozess muss vorher stehen |
| 11. Dezember 2027 | Volle Produktanforderungen: Security-by-Design, SBOM, CE-Kennzeichnung, technische Dokumentation, EU-Konformitätserklärung | Mittel bis hoch – Vorlaufzeit für Produktentwicklung einplanen |
Die erste Frist – September 2026 – ist die dringlichere. Sie verlangt funktionierende Prozesse, keine fertige Produktdokumentation. Wer heute noch keinen definierten Ablauf hat, wenn eine Schwachstelle gemeldet wird oder ein Sicherheitsvorfall eintritt, hat bis dahin weniger Zeit als es scheint.
Was Sie ab September 2026 operativ bereitstellen müssen
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle über die CRA Single Reporting Platform melden (adressiert an das zuständige CSIRT, mit gleichzeitiger Bereitstellung an ENISA):
- 24 Stunden: Frühwarnung ab Kenntnisnahme
- 72 Stunden: Vollständige Meldung inkl. ergriffener Maßnahmen
- Abschlussbericht: 14 Tage, nachdem eine Korrekturmaßnahme verfügbar ist (aktiv ausgenutzte Schwachstellen); 1 Monat nach der 72-Stunden-Meldung (schwere Sicherheitsvorfälle)
Das klingt nach Standardprozessen – ist es für viele KMU aber nicht. Typische Lücken: kein definierter Ansprechpartner für Sicherheitsmeldungen, kein Eskalationsweg, keine Vorlage für den Abschlussbericht. Diese Prozesse aufzubauen braucht Zeit, aber keinen siebenstelligen Projektplan.
Mehr zu den Meldefristen und -wegen: CRA Meldepflicht ab 11. September 2026.
Typische Fallstricke für mittelständische Hersteller
„Wir machen nur Software – das gilt sicher nicht für uns."
Softwareprodukte fallen ausdrücklich unter den CRA, sofern sie eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk herstellen. Rein offline genutzte Software ohne jede Netzwerkkomponente kann ausgenommen sein – die Grenze ist enger, als viele annehmen.
„Wir sind zu klein für eine notifizierte Stelle."
Die meisten Standard-Produkte können per Selbstbewertung konformitätsbescheinigt werden. Allerdings hängt das von der Produktkategorie ab. Wichtige Produkte (Anhang III, Klasse I und II) unterliegen strengeren Anforderungen – bis hin zur verpflichtenden Beteiligung einer notifizierten Stelle. Welcher Weg für Ihr Produkt typischerweise gilt, sollte frühzeitig geklärt werden. Mehr dazu: CRA-Produktklassen: Einordnung und Prüfwege.
„Die SBOM-Pflicht kommt erst 2027 – das hat Zeit."
Ja und nein. Die Pflicht kommt 2027 – aber eine vollständige, CRA-konforme Software-Stückliste aufzubauen, wenn Ihr Produkt 50 Abhängigkeiten hat und das Entwicklungsteam sie noch nie systematisch erfasst hat, dauert Monate. Wer damit wartet, gerät in Zeitdruck genau dann, wenn auch alle anderen KMU gleichzeitig nachziehen. Mehr zu Formaten und Anforderungen: SBOM-Anforderungen im CRA.
„Wir verkaufen auch außerhalb der EU – der CRA gilt nur im Inland."
Der CRA knüpft an das Inverkehrbringen auf dem EU-Markt an. Wenn Sie in der EU verkaufen, gilt er – unabhängig davon, wo Sie Ihren Hauptsitz haben oder wohin Sie zusätzlich exportieren.
Priorisierter Fahrplan: Was zuerst, wenn Budget und Zeit begrenzt sind
Kein KMU muss alles auf einmal tun. Die folgende Priorisierung orientiert sich an den Fristen und daran, was im Falle eines Audits oder eines Vorfalls als erstes gefragt wird.
Phase 1 – Bis September 2026: Prozesse vor Dokumenten
- Betroffenheit klären: Gilt der CRA für Ihr Produkt? Welche Rolle nehmen Sie ein (Hersteller, Importeur, Händler)? → Interaktiver Betroffenheits-Check
- Produktklasse einordnen: Standard, wichtig Klasse I, wichtig Klasse II oder kritisch? Das bestimmt den Konformitätspfad.
- Meldeprozess aufbauen: Ansprechpartner benennen, Eskalationsweg definieren, Meldevorlagen erstellen, Zugang zur CRA Single Reporting Platform vorbereiten.
- Schwachstellen-Tracking einführen: Wer meldet intern was an wen? Wie werden bekannte Schwachstellen in genutzten Drittkomponenten überwacht?
Phase 2 – Bis Dezember 2027: Produktanforderungen systematisch schließen
- Risikobewertung und Security-by-Design: Cybersecurity-Risikobewertung für Design, Entwicklung und Produktion – kann an bestehende Prozesse angedockt werden.
- SBOM aufbauen: Software-Stückliste nach CRA-Anforderungen erstellen (CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1 empfohlen), Archivierungspflicht beachten (10 Jahre). Gap-Report anfragen: Ihre SBOM auf CRA-Tauglichkeit prüfen
- Technische Dokumentation aufbauen: Grundlage für CE-Kennzeichnung und EU-Konformitätserklärung.
- Konformitätsbewertung durchführen: Je nach Klasse Selbstbewertung oder Einbindung einer notifizierten Stelle.
- Nutzerinformationen (Anhang II): Sicherheitsrelevante Produktinformationen für Endnutzer bereitstellen.
Was Blackfort Technology für KMU-Hersteller übernimmt
Blackfort Technology begleitet mittelständische Hersteller von der ersten Einordnung bis zur dokumentierten Konformität – ohne Beratungsoverhead, der für ein 30-köpfiges Unternehmen nicht skaliert.
- Betroffenheits- und Klassenanalyse: Klärung, ob und in welchem Umfang Ihre Produkte unter den CRA fallen
- Meldeprozess-Setup: Aufbau eines schlanken PSIRT-Prozesses (Product Security Incident Response) für September 2026
- SBOM Gap-Report: Analyse Ihrer Software-Stückliste gegen CRA-Anforderungen, Tooling-Empfehlung (Dependency-Track, CycloneDX)
- Technische Dokumentation: Erstellung oder Review der für CE-Kennzeichnung erforderlichen Unterlagen
- Begleitung der Konformitätsbewertung: Vorbereitung auf Selbstbewertung oder Abstimmung mit notifizierter Stelle
Christian Gebhardt, Geschäftsführer von Blackfort Technology, ist Mitglied der ACS-KI-Facharbeitsgruppe und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs. Seine Umsetzungserfahrung aus PKI-, DORA-, NIS2- und ISMS-Projekten fließt direkt in die CRA-Arbeit ein.
Weiterführende Inhalte für KMU-Hersteller
Ausführlicher Schritt-für-Schritt-Plan: Cyber Resilience Act Mittelstand: Priorisierter Umsetzungsplan.
Gesamtüberblick über alle CRA-Pflichten: Cyber Resilience Act: Anforderungen, Fristen und Pflichten im Überblick.
Häufige Fragen
Gilt der Cyber Resilience Act auch für sehr kleine Unternehmen mit weniger als 10 Mitarbeitenden?
Wir entwickeln eine SaaS-Lösung – fällt Software ohne Hardware unter den CRA?
Was passiert, wenn wir die Meldepflicht ab September 2026 nicht erfüllen?
Müssen wir für die Meldepflicht zwingend eine eigene Sicherheitsabteilung aufbauen?
Wie aufwendig ist eine Software Bill of Materials (SBOM) für ein typisches KMU-Produkt?
Wir verkaufen unser Produkt hauptsächlich in den USA – müssen wir trotzdem CRA-konform werden?
Sprechen wir über Ihre CRA-Readiness
Jetzt Erstgespräch vereinbaren: Wir klären in 30 Minuten, welche CRA-Pflichten für Ihr Produkt typischerweise gelten – und was bis September 2026 wirklich dringend ist.
Erstgespräch anfragen Betroffenheit prüfen