Rechtsgrundlage: EU-Verordnung 2024/2847 (Cyber Resilience Act) · ABl. EU L, 20.11.2024 · In Kraft: 11.12.2024
EU-Verordnung 2024/2847 verpflichtet Hersteller von Produkten mit digitalen Elementen zu verbindlichen Cybersicherheitsanforderungen — ab 11. Dezember 2027 mit CE-Kennzeichnungspflicht, Bußgeldern bis 15 Mio. € und Marktrücknahmerisiko.
Schwachstellen-Meldepflicht aktiv
Quelle: Art. 14 i.V.m. Art. 71 Abs. 2 EU-VO 2024/2847Vollständige Geltung — CE-Pflicht
Quelle: Art. 71 Abs. 3 EU-VO 2024/2847Maximales Bußgeld oder 2,5 % des Umsatzes
Quelle: Art. 64 Abs. 1 EU-VO 2024/2847 → BerechnenAller digitalen Produkte betroffen
Quelle: EU-Kommission, Impact Assessment SWD(2021) 229Der EU Cyber Resilience Act (CRA) ist die EU-Verordnung 2024/2847, veröffentlicht am 20. November 2024. Sie verpflichtet alle Hersteller von Produkten mit digitalen Elementen zu verbindlichen Cybersicherheitsanforderungen — unabhängig von Unternehmensgröße oder Branche.
Betroffen sind Hardware mit eingebetteter Software (IoT-Geräte, Industriesteuerungen) ebenso wie reine Softwareprodukte, die in der EU in Verkehr gebracht werden.
Wer die Anforderungen nicht erfüllt, riskiert Marktrücknahme und Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
IoT-Sensoren, B2B-SaaS, einfache Apps
Selbstbewertung
VPN, Passwort-Manager, Smart-Home-Hubs
Selbstbewertung oder Notified Body
Hypervisoren, Firewalls, PKI
Notified Body Pflicht
Smart Meter Gateways, HSMs
Notified Body + ggf. EUCC
12–18 Fragen zu Ihrem Produkt. Kostenlos, anonym, ohne Registrierung. Dauert ca. 5 Minuten.
Indikative Klassifizierung und eine Pflichtenliste — zugeschnitten auf Ihre Produktklasse.
Optionales Dokumentationspaket mit Templates, Checklisten und Fachexpertenvalidierung.
Entwickelt für Hersteller ohne eigene Compliance-Abteilung. Kein Account, keine Datenweitergabe.
Ermittelt indikativ Ihre CRA-Risikoklasse (Default, Important I/II, Critical) auf Basis von Anhang III und IV der Verordnung.
Grundlage: Art. 6, Anhang III, IV EU-VO 2024/2847
Berechnet den maximalen Bußgeldrahmen nach Jahresumsatz und Verstoßart gemäß Art. 64 der Verordnung.
Grundlage: Art. 64 EU-VO 2024/2847
Erzeugt einen vollständigen Katalog Ihrer CRA-Pflichten nach Ihrer Rolle (Hersteller / Importeur / Händler) und Produktklasse — mit Artikelverweisen.
Grundlage: Art. 13–20, Anhang I, VII EU-VO 2024/2847
Erstellt einen personalisierten Umsetzungsplan mit Zeitschätzungen und priorisierten Maßnahmen bis zur CE-Kennzeichnungsreife.
Grundlage: Art. 71 (Übergangsfristen), Anhang I EU-VO 2024/2847
Alle Instrumente liefern eine indikative Einschätzung. Sie ersetzen keine Rechtsberatung. Primärquelle: EU-Verordnung 2024/2847, ABl. EU L-Serie, 20.11.2024.
Sie verantworten die technische Konformität und brauchen eine klare Einschätzung, welche Maßnahmen tatsächlich erforderlich sind — ohne wochenlang die Verordnung zu lesen.
Sie sind für Audit-Trail und Dokumentation verantwortlich. Ihnen fehlt ein strukturierter Ausgangspunkt, der regulatorische Anforderungen mit Unternehmensprozessen verbindet.
Sie bauen Hardware mit Software-Komponenten und sind unsicher, ob und wie der CRA gilt. Sektorale Ausnahmen machen die Einschätzung komplex.
Normfaktor ist ein unabhängiger Informationsdienst, den ich aufgebaut habe weil die Lücke zwischen EU-Verordnungstext und KMU-Realität zu groß ist. Hersteller stehen vor der Wahl: entweder eine teure Kanzlei beauftragen oder die Verordnung selbst durcharbeiten — beides ist für ein Unternehmen mit 30 Mitarbeitern keine praktische Option.
Ich strukturiere CRA-Anforderungen auf Basis der Primärquelle (EU-Verordnung 2024/2847) und begleitender Leitlinien von ENISA, BSI und der EU-Kommission. Jede Aussage auf dieser Plattform ist quellenbelegt. Keine Rechtsberatung — aber strukturierte, verlässliche Orientierung für Hersteller, die wissen wollen wo sie stehen.
Indikative Einschätzung · Keine Rechtsberatung · DSGVO-konform