CRA-Wissen: Artikel & Leitfäden
Vertiefende Beiträge rund um den Cyber Resilience Act — verständlich aufbereitet, mit Quellenangaben. Technisch-organisatorische Information, keine Rechtsberatung.
Cyber Resilience Act: Bin ich betroffen?
Hersteller, Importeur oder Händler: Wer fällt unter den CRA, wer nicht? Produkte mit digitalen Elementen, Ausnahmen (Medizin, Automotive) und systematische Prüfschritte.
CRA Meldepflicht ab 11. September 2026: Was Hersteller jetzt operativ vorbereiten müssen
Was Hersteller ab 11. September 2026 operativ bereitstellen müssen: ENISA Single Reporting Platform, PSIRT-Aufbau, Frühwarnung in 24 Stunden.
Cyber Resilience Act für den Mittelstand: Was Hersteller jetzt konkret tun müssen
Keine Größenausnahme, aber klare Prioritäten: Was KMU-Hersteller zuerst angehen — Meldepflicht vor SBOM vor CE-Kennzeichnung. Priorisierter CRA-Fahrplan.
SBOM-Anforderungen im Cyber Resilience Act: Formate, Inhalte und Archivierung
Was eine CRA-konforme Software-Stückliste enthalten muss, welches Format (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1) und wie die 10-jährige Archivierungspflicht greift.
CRA-Produktklassen: Wie wird Ihr Produkt eingestuft — und was folgt daraus?
Welche Konformitätsbewertung braucht Ihr Produkt? Klasse I (Selbstbewertung möglich), Klasse II (notifizierte Stelle), kritisch (Modul B+C). Mit Beispielen aus DVO 2025/2392.
Konformitätsbewertung und CE-Kennzeichnung unter dem Cyber Resilience Act
Konformitätsbewertung nach dem Cyber Resilience Act: Modul A, B+C oder H, wann eine benannte Stelle nötig ist, CE-Kennzeichnung und EU-Konformitätserklärung.
CRA Fristen 2024–2027: Der gestaffelte Zeitplan
Alle CRA-Fristen von 2024 bis 2027 auf einen Blick: Inkrafttreten am 10.12.2024, Meldepflichten ab 11.09.2026, volle Anwendung am 11.12.2027. Was jedes Datum bedeutet – und was Sie bis wann tun sollten.
Technische Dokumentation und EU-Konformitätserklärung nach dem CRA
Was die technische CRA-Dokumentation nach Anhang VII enthalten muss, wie die EU-Konformitätserklärung (Art. 28, Anhang V) aufgebaut ist, was zur CE-Kennzeichnung gehört und warum Sie alles ≥ 10 Jahre aufbewahren. Praxisnahe Checkliste.
CRA vs. NIS2 vs. DORA: unterschiedliche Regelungsgegenstände, teils dieselben Unternehmen
CRA, NIS2 und DORA im Vergleich: Der CRA reguliert Produkte, NIS2 Organisationen, DORA den Finanzsektor. Wer wovon betroffen ist – verständlich erklärt.
Cyber Resilience Act und Open Source: Steward-Rolle und Anwendungsbereich
Wie behandelt der Cyber Resilience Act Open Source? Nicht-kommerzielle FOSS ist außerhalb des Anwendungsbereichs, für Open-Source-Stewards (Art. 24) gilt ein leichtes Regime, Hersteller bleiben voll verantwortlich. Praxisleitfaden von Blackfort Technology.
Rollen unter dem CRA: Hersteller, Importeur und Händler im Überblick
Wer trägt welche Pflicht unter dem Cyber Resilience Act? Hersteller (Art. 13), Importeur (Art. 19), Händler (Art. 20) und Bevollmächtigter (Art. 18) im Vergleich — mit Pflichten-Matrix. Technisch-organisatorische Orientierung von Blackfort Technology, Bonn.
CRA Bußgelder & Sanktionen: was Artikel 64 wirklich vorsieht
CRA Bußgelder nach Artikel 64: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. Die drei Sanktionsstufen, Ausnahmen für Kleinstunternehmen und Open-Source-Verwalter – technisch-organisatorisch eingeordnet.
Schwachstellenbehandlung, Meldung & CVD unter dem CRA
Schwachstellenbehandlung (Anhang I Teil II), Meldepflicht (Art. 14) und Coordinated Vulnerability Disclosure unter dem CRA. Die Kaskade 24h → 72h → Abschlussbericht (14 Tage bei Schwachstellen, ein Monat bei Vorfällen) – ab 11. September 2026, auch für Bestandsprodukte.