Cyber Resilience Act: Produktsicherheit wird Pflicht

Der Cyber Resilience Act der Europäischen Union definiert verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Für Hersteller, Importeure und Händler bedeutet das: Produktsicherheit wird zum integralen Bestandteil des Entwicklungsprozesses. Der CRA ist im Dezember 2024 in Kraft getreten – ab Dezember 2027 dürfen nur noch CRA-konforme Produkte auf den europäischen Markt.

Kostenloser CRA Self-Check
Betroffenheit

Wen der CRA betrifft

Die Verordnung erfasst nahezu alle Produkte, die Software enthalten oder mit dem Internet verbunden werden können.

Hersteller

Hauptverantwortliche

Tragen die Hauptverantwortung. Sicherheitsanforderungen müssen während des gesamten Produktlebenszyklus erfüllt werden – von der Entwicklung bis zum Lebensende.

Importeure

Prüfungspflichten

Müssen prüfen, ob die importierten Produkte CRA-konform sind, und entsprechende Dokumentation vorhalten.

Händler

Sorgfaltspflichten

Müssen auf offensichtliche Nicht-Konformität achten und Produkte im Zweifelsfall nicht vertreiben.

→ Jetzt kostenlos prüfen: CRA Self-Check starten

Zeitplan

Die wichtigsten Fristen

Der CRA sieht gestaffelte Fristen vor. Zeit zur Vorbereitung ist jetzt.

01

Dezember 2024: Inkrafttreten

Der Cyber Resilience Act ist in Kraft getreten. Die Übergangsfrist für die Umsetzung beginnt. Hersteller sollten jetzt mit der Analyse und Vorbereitung beginnen.

02

September 2026: Meldepflichten aktiv

21 Monate nach Inkrafttreten müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden. Die Meldeinfrastruktur muss stehen.

03

Dezember 2027: Vollständige Anwendung

36 Monate nach Inkrafttreten müssen alle neu auf den Markt gebrachten Produkte CRA-konform sein. Produkte ohne Konformität dürfen nicht mehr verkauft werden.

Cyber Resilience Act Leitfaden und Umsetzungsfahrplan

Anforderungen

Die wesentlichen CRA-Anforderungen

Security by Design

Sicherheit muss von Anfang an in den Entwicklungsprozess integriert werden. Produkte müssen so konzipiert sein, dass sie ein angemessenes Sicherheitsniveau bieten.

Sichere Standardkonfiguration

Produkte müssen im Auslieferungszustand sicher konfiguriert sein. Keine offenen Ports, keine Standardpasswörter, keine unnötigen Dienste.

Schwachstellenmanagement

Hersteller müssen während der gesamten Produktlebensdauer auf Schwachstellen reagieren und Sicherheitsupdates zeitnah und kostenlos bereitstellen.

Technische Dokumentation

Die Konformität muss nachgewiesen werden. Dazu gehören Risikobewertungen, Sicherheitskonzepte und Testberichte.

Meldepflichten

Aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle müssen gemeldet werden – ab September 2026.

Zusammenhänge

CRA und andere Regelwerke

Der CRA steht nicht isoliert. Er fügt sich in ein Gesamtsystem europäischer Cybersicherheitsregulierung ein.

CRA und NIS-2

Beide erfordern Risikomanagement, Schwachstellenbehandlung und Incident Response. Wer NIS-2 konform ist, hat viele CRA-Prozesse bereits etabliert.

Wie die Regelwerke zusammenhängen

ISO 27001 als Basis

Ein ISMS nach ISO 27001 liefert die Prozesse und Dokumentationen, die auch der CRA verlangt. Wer bereits zertifiziert ist, hat einen erheblichen Vorsprung.

Von ISO 27001 zur CRA-Compliance
Weiterführend

Passende Leistungen

vCISO

Strategische Sicherheitsführung für die CRA-Implementierung – auf C-Level-Ebene.

vCISO im Detail

Externer ISB

Laufende Betreuung der Produktsicherheit und des Schwachstellenmanagements.

Externer ISB im Detail

Compliance aus einer Hand

CRA, NIS-2 und ISO 27001 integriert umsetzen – ein System für alle Anforderungen.

Integrierte Compliance
FAQ

Häufige Fragen zum Cyber Resilience Act

Welche Produkte fallen unter den Cyber Resilience Act?

Der CRA erfasst nahezu alle Produkte mit digitalen Elementen – also Hardware und Software, die direkt oder indirekt mit einem Netzwerk verbunden werden können. Dazu gehören Smart-Home-Geräte, industrielle Steuerungen, Softwareanwendungen, Betriebssysteme und IoT-Produkte. Ausgenommen sind unter anderem Medizinprodukte, Fahrzeuge und bestimmte Open-Source-Software ohne kommerzielle Nutzung. Mit unserem kostenlosen CRA Self-Check kannst du deine Betroffenheit in wenigen Minuten prüfen.

Ab wann gilt der Cyber Resilience Act?

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Umsetzung erfolgt gestaffelt: Ab 11. September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Ab 11. Dezember 2027 müssen alle neu auf den Markt gebrachten Produkte vollständig CRA-konform sein. Einen detaillierten Zeitplan findest du in unserem CRA-Leitfaden und Umsetzungsfahrplan.

Was bedeutet Security by Design im CRA-Kontext?

Security by Design bedeutet, dass Cybersicherheit von Beginn an in den Entwicklungsprozess integriert wird – nicht als nachträgliche Ergänzung. Der CRA fordert, dass Produkte so konzipiert werden, dass sie ein angemessenes Sicherheitsniveau bieten, im Auslieferungszustand sicher konfiguriert sind und nur notwendige Funktionen aktiviert haben. Das umfasst sichere Authentifizierung, Verschlüsselung und den Schutz vor bekannten Schwachstellen.

Was ist eine Software Bill of Materials (SBOM)?

Eine SBOM ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten eines Produkts – einschließlich Open-Source-Bibliotheken und Drittanbieter-Code. Der CRA fordert, dass Hersteller ihre Softwareabhängigkeiten kennen und dokumentieren. Bei Bekanntwerden einer Schwachstelle in einer Komponente kann so schnell ermittelt werden, welche Produkte betroffen sind. Die SBOM ist damit zentral für ein effektives Schwachstellenmanagement.

Welche Pflichten haben Importeure und Händler?

Importeure müssen vor dem Inverkehrbringen prüfen, ob Produkte die CRA-Anforderungen erfüllen, die CE-Kennzeichnung tragen und die technische Dokumentation vorliegt. Händler müssen auf offensichtliche Nicht-Konformität achten und im Zweifelsfall Produkte nicht vertreiben. Beide müssen bei Kenntnis von Sicherheitsproblemen die Marktüberwachungsbehörden informieren und gegebenenfalls mit dem Hersteller bei Korrekturmaßnahmen kooperieren.

Welche Strafen drohen bei Nichteinhaltung des CRA?

Die Sanktionen sind erheblich: Bei Verstößen gegen die wesentlichen Cybersicherheitsanforderungen drohen Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Andere Verstöße wie fehlende CE-Kennzeichnung oder mangelhafte Dokumentation können mit bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes geahndet werden. Hinzu kommt das Risiko von Produktrückrufen und Marktverboten.

CRA-Compliance jetzt vorbereiten

Prüfen Sie in 3 Minuten Ihre Betroffenheit – oder vereinbaren Sie direkt ein persönliches Beratungsgespräch.

Kostenloser CRA Self-Check Beratungstermin buchen