CRA Fristen-Übersicht 2026/2027
Quelle: EU-Verordnung 2024/2847 | cra-routecheck.de | Stand: Mai 2026
Kostenloser Lead-Magnet
CRA Fristen-Übersicht 2026/2027
Alle wichtigen Termine des Cyber Resilience Act auf einen Blick — von der Schwachstellen-Meldepflicht im September 2026 bis zur vollständigen Geltung im Dezember 2027.
Drucken → „Als PDF speichern" auswählen
Hinweis zur Nutzung: Klicken Sie oben auf „Als PDF speichern" oder nutzen Sie die Browser-Druckfunktion (Strg+P / ⌘+P). Wählen Sie im Druckdialog „Als PDF speichern" aus. Die Seite ist für den Druck auf DIN A4 optimiert.
Alle CRA-Fristen im Überblick
Art. 71 Abs. 1 CRA
11. Dez. 2024
CRA in Kraft getreten
Alle
Art. 14, 71 Abs. 2 CRA
11. Sept. 2026
Schwachstellen-Meldepflicht
Alle Hersteller
Art. 71 Abs. 2 CRA
11. Sept. 2026
Marktaufsichtsbehörden operativ
EU-Mitgliedstaaten
Art. 13 Abs. 6 CRA
11. Sept. 2026
VDP-Pflicht (Vulnerability Disclosure Policy)
Alle Hersteller
Art. 71 Abs. 3 CRA
11. Dez. 2027
Vollständige Geltung des CRA
Alle Hersteller
Art. 28 ff. CRA
11. Dez. 2027
CE-Kennzeichnung Pflicht
Hersteller betroffener Produkte
Anhang VII CRA
11. Dez. 2027
Technische Dokumentation fertiggestellt
Alle Hersteller
Art. 32 ff. CRA
11. Dez. 2027
Konformitätsbewertung abgeschlossen
Alle Hersteller
Anhang I Nr. 1 CRA
11. Dez. 2027
SBOM-Pflicht
Alle Hersteller
Anhang I Nr. 10 CRA
Laufend
Security-Updates (mind. 5 Jahre)
Alle Hersteller
Anhang I Nr. 11 CRA
Laufend
CVE-Monitoring
Alle Hersteller
| Datum | Pflicht / Ereignis | Betrifft | Rechtsgrundlage |
|---|---|---|---|
| 11. Dez. 2024 | CRA in Kraft getreten | Alle | Art. 71 Abs. 1 CRA |
| 11. Sept. 2026 | Schwachstellen-Meldepflicht | Alle Hersteller | Art. 14, 71 Abs. 2 CRA |
| 11. Sept. 2026 | Marktaufsichtsbehörden operativ | EU-Mitgliedstaaten | Art. 71 Abs. 2 CRA |
| 11. Sept. 2026 | VDP-Pflicht (Vulnerability Disclosure Policy) | Alle Hersteller | Art. 13 Abs. 6 CRA |
| 11. Dez. 2027 | Vollständige Geltung des CRA | Alle Hersteller | Art. 71 Abs. 3 CRA |
| 11. Dez. 2027 | CE-Kennzeichnung Pflicht | Hersteller betroffener Produkte | Art. 28 ff. CRA |
| 11. Dez. 2027 | Technische Dokumentation fertiggestellt | Alle Hersteller | Anhang VII CRA |
| 11. Dez. 2027 | Konformitätsbewertung abgeschlossen | Alle Hersteller | Art. 32 ff. CRA |
| 11. Dez. 2027 | SBOM-Pflicht | Alle Hersteller | Anhang I Nr. 1 CRA |
| Laufend | Security-Updates (mind. 5 Jahre) | Alle Hersteller | Anhang I Nr. 10 CRA |
| Laufend | CVE-Monitoring | Alle Hersteller | Anhang I Nr. 11 CRA |
Bereits eingetreten
Sept. 2026 — nächste kritische Frist
Dez. 2027 — vollständige Geltung
Laufende Pflicht
Was jetzt zu tun ist
Sechs Schritte, die Sie unabhängig von Ihrer Risikoklasse sofort angehen sollten:
- Produktinventar erstellenWelche Ihrer Produkte mit digitalen Elementen fallen unter den CRA?
- Risikoklasse bestimmenDefault, Important Class I/II oder Critical — mit dem RouteCheck-Tool prüfen.
- SBOM-Prozess aufbauenSoftware Bill of Materials für alle betroffenen Produkte — ab sofort beginnen.
- VDP-Seite erstellenVulnerability Disclosure Policy veröffentlichen — Pflicht ab September 2026.
- Meldeprozess intern definierenSchwachstellen innerhalb von 24 h an ENISA melden — Prozess muss vorab existieren.
- Technische Dokumentation beginnenDie vollständige Dokumentation nach Anhang VII benötigt 6–12 Monate — jetzt starten.
Risikoklasse noch nicht bekannt?
Der kostenlose RouteCheck ermittelt in 5 Minuten, welche CRA-Klasse für Ihr Produkt gilt — und welche Pflichten daraus folgen.
Quellen & Rechtsgrundlagen
- EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der EU, 20. November 2024
- Art. 14 CRA — Meldepflichten bei aktiv ausgenutzten Schwachstellen
- Art. 71 CRA — Inkrafttreten und Übergangsfristen
- Anhang I CRA — Wesentliche Cybersicherheitsanforderungen
- Anhang VII CRA — Technische Dokumentation
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der
EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich
bitte an einen spezialisierten Anwalt.