Blackfort TechnologyBlackfort Technology

CRA-Wissen: Artikel & Leitfäden

Vertiefende Beiträge rund um den Cyber Resilience Act — verständlich aufbereitet, mit Quellenangaben. Technisch-organisatorische Information, keine Rechtsberatung.

Cyber Resilience Act: Bin ich betroffen?

Hersteller, Importeur oder Händler: Wer fällt unter den CRA, wer nicht? Produkte mit digitalen Elementen, Ausnahmen (Medizin, Automotive) und systematische Prüfschritte.

CRA Meldepflicht ab 11. September 2026: Was Hersteller jetzt operativ vorbereiten müssen

Was Hersteller ab 11. September 2026 operativ bereitstellen müssen: ENISA Single Reporting Platform, PSIRT-Aufbau, Frühwarnung in 24 Stunden.

Cyber Resilience Act für den Mittelstand: Was Hersteller jetzt konkret tun müssen

Keine Größenausnahme, aber klare Prioritäten: Was KMU-Hersteller zuerst angehen — Meldepflicht vor SBOM vor CE-Kennzeichnung. Priorisierter CRA-Fahrplan.

SBOM-Anforderungen im Cyber Resilience Act: Formate, Inhalte und Archivierung

Was eine CRA-konforme Software-Stückliste enthalten muss, welches Format (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1) und wie die 10-jährige Archivierungspflicht greift.

CRA-Produktklassen: Wie wird Ihr Produkt eingestuft — und was folgt daraus?

Welche Konformitätsbewertung braucht Ihr Produkt? Klasse I (Selbstbewertung möglich), Klasse II (notifizierte Stelle), kritisch (Modul B+C). Mit Beispielen aus DVO 2025/2392.

Konformitätsbewertung und CE-Kennzeichnung unter dem Cyber Resilience Act

Konformitätsbewertung nach dem Cyber Resilience Act: Modul A, B+C oder H, wann eine benannte Stelle nötig ist, CE-Kennzeichnung und EU-Konformitätserklärung.

CRA Fristen 2024–2027: Der gestaffelte Zeitplan

Alle CRA-Fristen von 2024 bis 2027 auf einen Blick: Inkrafttreten am 10.12.2024, Meldepflichten ab 11.09.2026, volle Anwendung am 11.12.2027. Was jedes Datum bedeutet – und was Sie bis wann tun sollten.

Technische Dokumentation und EU-Konformitätserklärung nach dem CRA

Was die technische CRA-Dokumentation nach Anhang VII enthalten muss, wie die EU-Konformitätserklärung (Art. 28, Anhang V) aufgebaut ist, was zur CE-Kennzeichnung gehört und warum Sie alles ≥ 10 Jahre aufbewahren. Praxisnahe Checkliste.

CRA vs. NIS2 vs. DORA: unterschiedliche Regelungsgegenstände, teils dieselben Unternehmen

CRA, NIS2 und DORA im Vergleich: Der CRA reguliert Produkte, NIS2 Organisationen, DORA den Finanzsektor. Wer wovon betroffen ist – verständlich erklärt.

Cyber Resilience Act und Open Source: Steward-Rolle und Anwendungsbereich

Wie behandelt der Cyber Resilience Act Open Source? Nicht-kommerzielle FOSS ist außerhalb des Anwendungsbereichs, für Open-Source-Stewards (Art. 24) gilt ein leichtes Regime, Hersteller bleiben voll verantwortlich. Praxisleitfaden von Blackfort Technology.

Rollen unter dem CRA: Hersteller, Importeur und Händler im Überblick

Wer trägt welche Pflicht unter dem Cyber Resilience Act? Hersteller (Art. 13), Importeur (Art. 19), Händler (Art. 20) und Bevollmächtigter (Art. 18) im Vergleich — mit Pflichten-Matrix. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.

CRA Bußgelder & Sanktionen: was Artikel 64 wirklich vorsieht

CRA Bußgelder nach Artikel 64: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. Die drei Sanktionsstufen, Ausnahmen für Kleinstunternehmen und Open-Source-Verwalter – technisch-organisatorisch eingeordnet.

Schwachstellenbehandlung, Meldung & CVD unter dem CRA

Schwachstellenbehandlung (Anhang I Teil II), Meldepflicht (Art. 14) und Coordinated Vulnerability Disclosure unter dem CRA. Die Kaskade 24h → 72h → Abschlussbericht (14 Tage bei Schwachstellen, ein Monat bei Vorfällen) – ab 11. September 2026, auch für Bestandsprodukte.

Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.