Cyber Resilience Act für den Mittelstand: Was Hersteller jetzt konkret tun müssen
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) trifft mittelständische Hersteller digitaler Produkte härter als viele vermuten: Es gibt keine Größenausnahme. Wer ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt — ob Hardware mit Software-Komponente, Embedded-Gerät oder reine Software — unterliegt grundsätzlich denselben Anforderungen wie ein Großkonzern. Der Unterschied liegt im Zeitplan, in der Prioritätensetzung und im verfügbaren Budget. Dieser Artikel liefert einen priorisierten Fahrplan, der genau dort ansetzt.
Gilt der CRA überhaupt für mein Unternehmen?
Die entscheidende Frage ist nicht die Unternehmensgröße, sondern die Produktkategorie. Betroffen sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk aufweisen — und die auf dem EU-Markt bereitgestellt werden. Das gilt auch für kostenlose Software und für Produkte, die unter eigenem Namen vermarktet werden, aber von Dritten entwickelt wurden.
Ausnahmen gelten für Produkte, die bereits durch sektorspezifische EU-Rechtsakte gleichwertig geregelt sind, etwa Medizinprodukte (MDR/IVDR), Kraftfahrzeuge (Kfz-Typgenehmigung) oder Luftfahrtprodukte. Für die überwiegende Mehrheit der mittelständischen Software- und Hardware-Hersteller greifen diese Ausnahmen nicht. Den systematischen Selbstcheck bietet unser interaktiver Betroffenheits-Check; eine ausführliche Erklärung der Rollen und Abgrenzungen findet sich im Artikel Cyber Resilience Act — bin ich betroffen?
Die zwei harten Fristen — und warum die erste drängt
Für den Mittelstand gibt es zwei Daten, die den gesamten Umsetzungsplan strukturieren:
- 11. September 2026: Die Melde- und Berichtspflichten des CRA (Art. 14) werden anwendbar. Ab diesem Tag müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als vollständige Meldung anzeigen. Ein Abschlussbericht folgt bei Schwachstellen innerhalb von 14 Tagen nach Verfügbarkeit einer Korrektur- oder Abhilfemaßnahme, bei schweren Vorfällen innerhalb eines Monats nach der 72-Stunden-Meldung. Die Anzeige erfolgt über die Single Reporting Platform (SRP) der ENISA an das zuständige CSIRT.
- 11. Dezember 2027: Alle übrigen Produktanforderungen werden vollständig anwendbar: Security-by-Design, Schwachstellen-Handling über den gesamten Supportzeitraum, SBOM, technische Dokumentation, CE-Kennzeichnung und EU-Konformitätserklärung.
Die erste Frist ist die kritischere für operative Entscheidungen: Sie ist in wenigen Monaten erreicht und erfordert funktionierende Prozesse — keine abgeschlossene Produktzertifizierung, aber eine einsatzbereite Melde-Infrastruktur. Mehr dazu im Artikel CRA Meldepflicht ab 11. September 2026: 24h/72h/14-Tage erklärt.
Minimum Viable CRA Compliance: Prioritäten für knappes Budget
Wenn Ressourcen begrenzt sind, ist die Reihenfolge entscheidend. Nicht alle CRA-Pflichten werden gleichzeitig wirksam, und nicht alle haben dasselbe Bußgeldrisiko. Der folgende Fahrplan orientiert sich an Fristdringlichkeit und Implementierungsaufwand.
Phase 1 (jetzt bis September 2026): Meldeprozesse aufbauen
Dies ist die dringlichste Maßnahme. Ein Product Security Incident Response Team (PSIRT) muss nicht zwingend eine eigene Abteilung sein — aber es braucht eine benannte verantwortliche Person, einen dokumentierten Eskalationspfad und die technische Fähigkeit, innerhalb von 24 Stunden eine qualifizierte Frühwarnung abzusetzen. Konkret bedeutet das:
- Interne Meldekette definieren: Wer entscheidet, ob ein Vorfall „aktiv ausgenutzt" oder „schwer" ist?
- Kontakt zur ENISA Single Reporting Platform (SRP) vorbereiten — Registrierung und Meldeformat prüfen
- Vorlage für 24h-Frühwarnung, 72h-Meldung und Abschlussbericht erstellen
- Monitoring-Grundlage sichern: Gibt es eine Vulnerability-Datenbank-Anbindung (NVD, OSV), um ausgenutzte Schwachstellen in eigenen Produktkomponenten zu erkennen?
Hinweis: Die ENISA Single Reporting Platform befand sich zum Zeitpunkt der Erstellung dieses Artikels (Juli 2026) noch im Aufbau. Hersteller sollten die ENISA-Website auf den Starttermin und das genaue Meldeformat beobachten. Detailinfos zur Meldepflicht.
Phase 2 (parallel, bis Dezember 2027): SBOM aufbauen
Eine Software Bill of Materials (SBOM) ist die unverzichtbare Grundlage für alle weiteren CRA-Pflichten: Ohne zu wissen, welche Drittkomponenten in einem Produkt stecken, ist weder schnelles Schwachstellen-Reporting noch koordiniertes Vulnerability Handling möglich. Gleichzeitig ist die SBOM die zeitaufwändigste Maßnahme im gesamten CRA-Fahrplan.
Für KMU empfiehlt sich ein gestuftes Vorgehen:
- Sofortmaßnahme: SBOM für das umsatzstärkste oder risikoreichste Produkt erstellen — im Format CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1 (BSI-Standard TR-03183-2)
- Tooling: Open-Source-Tools wie Dependency-Track ermöglichen automatisierte SBOM-Generierung und kontinuierliches Schwachstellen-Monitoring
- Aufbewahrungspflicht beachten: Die technische Dokumentation einschließlich der SBOM ist mindestens 10 Jahre nach dem Inverkehrbringen oder für den Supportzeitraum des Produkts vorzuhalten — je nachdem, welcher Zeitraum länger ist
Einen detaillierten technischen Überblick zu Formaten, Werkzeugen und der Aufbewahrungspflicht bietet der Artikel SBOM-Anforderungen im CRA. Alternativ können Sie mit unserem SBOM Gap-Report den aktuellen Stand Ihrer Software-Stückliste auf CRA-Tauglichkeit prüfen lassen.
Phase 3 (bis Dezember 2027): Produktklasse bestimmen und Konformitätsbewertung planen
Der CRA unterscheidet drei Produktkategorien mit unterschiedlichen Anforderungen an die Konformitätsbewertung:
| Produktkategorie | Konformitätsbewertung | Typische Beispiele |
|---|---|---|
| Standard | Selbstbewertung (Modul A) | Mobile Apps, Smart Speaker, Computerspiele |
| Wichtig, Klasse I (Anhang III) | Selbstbewertung bei harmonisierten Normen; sonst notifizierte Stelle | Passwortmanager, VPN, Browser, PKI-Software, SIEM |
| Wichtig, Klasse II (Anhang III) | Notifizierte Stelle verpflichtend (Modul B/C oder H) | Hardware-Firewalls, Hypervisoren, industrielle Steuerungen |
| Kritisch (Anhang IV) | Notifizierte Stelle oder EU-Zertifizierungsschema | Smartcards, Secure Elements, Smart-Meter-Gateways |
Für Produkte der Klasse I besteht eine wichtige Entlastungsmöglichkeit: Wenn harmonisierte Normen oder gemeinsame Spezifikationen angewandt werden, genügt die Selbstbewertung — ohne externe Prüfstelle. Diese Normen (unter Mandat M/608 von ETSI und CEN/CENELEC erarbeitet) werden voraussichtlich bis Ende 2026 verfügbar sein. KMU mit Produkten in Klasse I sollten diesen Zeitplan verfolgen, da er den Aufwand für die Konformitätsbewertung erheblich beeinflussen kann.
Die genaue Einordnung konkreter Produkte ist teils auslegungsbedürftig und hängt von der Durchführungsverordnung (EU) 2025/2392 ab. Für den Content gilt: Angaben zur Klasse sind schematisch zu verstehen — die Einstufung des eigenen Produkts sollte fachlich begleitet werden. Mehr dazu im Artikel CRA-Produktklassen: Standard, Klasse I/II und kritisch.
Was der CRA den Mittelstand typischerweise kostet
Marktschätzungen nennen für die erstmalige CRA-Umsetzung Aufwände zwischen 50.000 und 200.000 Euro — stark abhängig von Produktkomplexität, Ausgangszustand der Security-Prozesse und Produktklasse. Für KMU mit einem einzelnen Standard-Produkt und bereits vorhandener Basis-Sicherheitsdokumentation ist der untere Bereich realistisch. Unternehmen mit mehreren Produkten in Klasse I/II oder ohne bestehende Schwachstellen-Management-Prozesse müssen mit dem oberen Bereich rechnen.
Entscheidend für die Kostensteuerung ist die Reihenfolge: Wer zuerst SBOM-Tooling einführt, spart erheblichen Aufwand bei der technischen Dokumentation und beschleunigt gleichzeitig die Meldeprozesse. Wer die Produktklasse früh klärt, vermeidet teure Nacharbeiten, wenn sich herausstellt, dass eine externe Prüfstelle notwendig ist.
Erleichterungen für Kleinstunternehmen — und was sie nicht abdecken
Der CRA sieht für Kleinstunternehmen (unter 10 Mitarbeitende, Jahresumsatz oder Jahresbilanzsumme unter 2 Millionen Euro) punktuelle Erleichterungen vor, etwa bei bestimmten Sanktionsaspekten und administrativen Anforderungen. Diese Erleichterungen bedeuten jedoch nicht, dass Kleinstunternehmen vom CRA ausgenommen wären — die technischen Produktanforderungen und die Meldepflichten gelten auch für sie. Für Hersteller in dieser Größenklasse ist der pragmatische Ansatz besonders wichtig: Priorität auf Meldeprozesse und SBOM, Selbstbewertung wo immer zulässig, harmonisierte Normen sobald verfügbar.
Der realistische Zeitplan auf einen Blick
- Sofort (Q3 2026): Betroffenheit prüfen, Produktklasse vorab einschätzen, PSIRT-Verantwortung benennen, Meldekette dokumentieren, SRP-Registrierung vorbereiten
- Q4 2026 – Q2 2027: SBOM für Kernprodukte aufbauen, Dependency-Track oder vergleichbares Tooling einführen, technische Dokumentation beginnen
- Q3 – Q4 2027: Konformitätsbewertung abschließen (Selbstbewertung oder notifizierte Stelle), CE-Kennzeichnung anbringen, EU-Konformitätserklärung ausstellen
Einen vollständigen Überblick über alle CRA-Pflichten bietet die CRA-Pillar-Seite. Wenn Sie unsicher sind, ob und wie Ihr Produkt betroffen ist, starten Sie mit dem Betroffenheits-Check oder vereinbaren Sie direkt ein unverbindliches Erstgespräch.
Häufige Fragen
Gilt der Cyber Resilience Act auch für kleine Unternehmen?
Was ist die wichtigste CRA-Pflicht, die KMU zuerst umsetzen sollten?
Muss ich für mein Produkt eine notifizierte Stelle einschalten?
Was ist eine SBOM und warum ist sie für den CRA so wichtig?
Was kostet die CRA-Umsetzung für ein mittelständisches Unternehmen?
Sprechen wir über Ihre CRA-Readiness
Sie möchten wissen, wo Ihr Unternehmen beim CRA steht und was als nächstes zu tun ist? Christian Gebhardt, Geschäftsführer von Blackfort Technology und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs, begleitet mittelständische Hersteller von der Betroffenheitsanalyse bis zur abgeschlossenen Konformitätsbewertung. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch.
Erstgespräch anfragen Betroffenheit prüfen