CRA Fristen 2024–2027: Der gestaffelte Zeitplan
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) tritt nicht an einem einzigen Stichtag in Kraft, sondern führt seine Pflichten gestaffelt über mehrere Jahre ein. Genau darin liegt die häufigste Fehlerquelle: Wer das Datum des Inkrafttretens mit dem Datum der Anwendbarkeit verwechselt, plant entweder in Panik zu früh – oder gefährlich zu spät. Dieser Beitrag ordnet jede Frist zwischen 2024 und 2027 ein, erklärt, was an diesem Tag jeweils tatsächlich gilt, und zeigt, was Hersteller bis wann vorbereiten sollten.
Die wichtigste Unterscheidung zuerst: Inkrafttreten (10. Dezember 2024) ist nicht gleich Anwendbarkeit. Aus dem Inkrafttreten allein folgt noch keine durchsetzbare Pflicht für Hersteller. Nennen Sie niemals 2024 oder 2025 als „Compliance-Stichtag“ – die materiellen Pflichten greifen erst 2026 und 2027 (Art. 71 Abs. 2).
Die vier maßgeblichen Daten
Der CRA wurde am 23. Oktober 2024 angenommen und am 20. November 2024 im Amtsblatt der EU veröffentlicht. Zwanzig Tage später – am 10. Dezember 2024 – ist er nach Art. 71 Abs. 1 in Kraft getreten. Rechtlich existiert die Verordnung damit; die Pflichten für Wirtschaftsakteure werden aber erst zu drei späteren Zeitpunkten wirksam.
10. Dezember 2024 – Inkrafttreten (Art. 71 Abs. 1)
Der Startpunkt der Übergangsfristen. Die Verordnung ist gültiges EU-Recht, aber es ist noch keine Herstellerpflicht durchsetzbar. Bußgelder, CE-Kennzeichnungspflicht oder Meldepflichten lassen sich zu diesem Datum nicht geltend machen. Dieses Datum dient der Planung – nicht der Umsetzung.
11. Juni 2026 – Kapitel IV: notifizierte Stellen (Art. 35–51)
Zuerst greifen die Regeln für die Konformitätsbewertungsstellen. Ab diesem Tag können Stellen als „notifizierte Stellen“ benannt werden, damit sie bereitstehen, wenn Hersteller später eine Drittprüfung benötigen (relevant vor allem für die Produktklasse „wichtig – Klasse II“ und kritische Produkte). Für die meisten Hersteller ist dies keine unmittelbare Handlungspflicht, aber ein Signal, dass der Prüfmarkt anläuft.
11. September 2026 – Meldepflichten (Art. 14)
Ab diesem Tag müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden – über die Single Reporting Platform an das koordinierende CSIRT und die ENISA. Es gilt eine dreistufige Kaskade: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht (bei Schwachstellen ≤ 14 Tage nach Verfügbarkeit einer Korrektur; bei schwerwiegenden Vorfällen binnen eines Monats). Wichtig: Diese Pflicht gilt auch für Produkte, die bereits am Markt sind. Details dazu im Beitrag CRA-Meldepflicht ab September 2026.
11. Dezember 2027 – volle Anwendung
Der eigentliche Hauptstichtag. Ab hier gelten die grundlegenden Anforderungen des Anhangs I, die Pflicht zur Konformitätsbewertung, die EU-Konformitätserklärung und die CE-Kennzeichnung. Ohne konforme Umsetzung dürfen Produkte mit digitalen Elementen ab diesem Datum grundsätzlich nicht mehr auf dem EU-Markt bereitgestellt werden.
Zeitplan im Überblick
| Datum | Ereignis | Was gilt / was zu tun ist |
|---|---|---|
| 23.10.2024 | Annahme der Verordnung | Text final – noch keine Pflichten |
| 20.11.2024 | Veröffentlichung im Amtsblatt | Startet die 20-Tage-Frist |
| 10.12.2024 | Inkrafttreten (Art. 71 Abs. 1) | Übergangsfristen laufen – keine durchsetzbare Pflicht |
| 11.06.2026 | Kapitel IV (notifizierte Stellen) | Konformitätsbewertungsstellen können benannt werden |
| 11.09.2026 | Meldepflichten (Art. 14) | 24h/72h/14-Tage-Kaskade – auch für Bestandsprodukte |
| 11.12.2027 | Volle Anwendung | Anhang I, Konformitätsbewertung, CE-Kennzeichnung |
Anders gesagt: Der CRA verteilt seine Last bewusst. Zuerst wird die Prüf-Infrastruktur aufgebaut (Juni 2026), dann greift die vergleichsweise schnell umsetzbare, aber operativ anspruchsvolle Meldepflicht (September 2026), und erst zum Schluss – mit dem längsten Vorlauf – die materiell aufwändigsten Pflichten rund um Anhang I und CE-Kennzeichnung (Dezember 2027). Diese Reihenfolge ist kein Zufall, sondern gibt Herstellern gestaffelt Zeit, ihre Prozesse anzupassen. Genau deshalb ist es falsch, den 11. Dezember 2027 als „den einen“ Stichtag zu behandeln und die Zwischenschritte zu übersehen.
Benachbarte Fristen zur Einordnung
Der CRA steht nicht allein. Drei benachbarte Rechtsakte helfen, den Zeitplan realistisch zu planen:
- RED-Delegierte Verordnung (EU) 2022/30: Aktiviert die Cybersicherheitsanforderungen der Funkanlagenrichtlinie ab dem 1. August 2025 und wird am 11. Dezember 2027 mit dem Wirksamwerden des CRA aufgehoben. Das ergibt ein Übergangsfenster vom 1.8.2025 bis 11.12.2027. Wer Funkprodukte baut, sollte gleich CRA-konform entwickeln, um Doppelarbeit zu vermeiden.
- Maschinenverordnung (EU) 2023/1230: Gilt ab dem 20. Januar 2027. Maschinenhersteller mit vernetzten Produkten erfüllen beide Regelwerke; ein Zertifikat nach dem Cybersecurity Act kann eine Konformitätsvermutung für die Cybersicherheitsanforderungen der Maschinenverordnung begründen.
- NIS2 (Richtlinie (EU) 2022/2555): Für eigenständige SaaS-/reine Cloud-Angebote, die nicht als integrale Fernverarbeitung eines Produkts gelten, ist in der Regel NIS2 einschlägig, nicht der CRA.
Empfohlener Vorbereitungsfahrplan
Die folgende Reihenfolge ist eine allgemeine organisatorisch-technische Orientierung – keine Rechtsberatung. Sie richtet sich am gestaffelten Zeitplan aus:
- Jetzt bis Mitte 2025 – Betroffenheit & Klassifizierung. Klären Sie, ob Ihre Produkte „Produkte mit digitalen Elementen“ sind und in welche Klasse sie fallen (Standard, wichtig Klasse I/II, kritisch). Der Betroffenheits-Check ist der sinnvolle Startpunkt.
- 2025 bis Mitte 2026 – Prozesse aufbauen. Etablieren Sie Schwachstellenmanagement, eine Coordinated-Vulnerability-Disclosure-Policy, sichere Update-Verteilung und ein SBOM in einem maschinenlesbaren Format. Legen Sie den Support-Zeitraum fest (mindestens 5 Jahre bzw. die erwartete Nutzungsdauer).
- Bis 11. September 2026 – Melde-Bereitschaft. Richten Sie Meldewege für die Single Reporting Platform ein und üben Sie die 24h/72h/14-Tage-Kaskade – auch für bereits vertriebene Produkte.
- 2026 bis 2027 – Konformität herstellen. Erstellen Sie die technische Dokumentation (Anhang VII), führen Sie die passende Konformitätsbewertung durch, sichern Sie ggf. frühzeitig Kapazität bei einer notifizierten Stelle (Klasse II/kritisch) und bereiten Sie EU-Konformitätserklärung und CE-Kennzeichnung vor.
- Bis 11. Dezember 2027 – volle Anwendung. Ab diesem Tag müssen neu bereitgestellte Produkte konform sein und die CE-Kennzeichnung tragen.
Die häufigste Falle: Inkrafttreten ≠ Anwendbarkeit. Zwischen dem 10.12.2024 und dem 11.12.2027 liegen drei Jahre – aber der Aufbau von Schwachstellenmanagement, Dokumentation und Konformitätsbewertung braucht diese Zeit. Wer erst 2027 beginnt, kommt zu spät. Einen kompakten Gesamtüberblick zum Rechtsakt bietet unsere CRA-Übersicht.
Häufige Fragen
Wann tritt der CRA in Kraft?
Was ist der wichtigste CRA-Stichtag?
Ab wann gelten die CRA-Meldepflichten?
Warum darf man 2024 oder 2025 nicht als Compliance-Stichtag nennen?
Wie hängen CRA, RED-Delegierte Verordnung und Maschinenverordnung zeitlich zusammen?
Sprechen wir über Ihre CRA-Readiness
Unsicher, welche CRA-Frist für Ihre Produkte zuerst greift? Starten Sie mit dem kostenlosen Betroffenheits-Check und ordnen Sie Ihre Produkte in wenigen Minuten ein.
Erstgespräch anfragen Betroffenheit prüfen