Empfohlen
Strafen 6 Min. Lesezeit
BSI und CRA-Marktaufsicht in der Praxis
Das BSI ist Deutschlands federführende CRA-Marktaufsichtsbehörde. Welche Befugnisse es hat, was es zuerst anfordert und wie Unternehmen kooperieren sollten.
EU-Verordnung 2024/2847
CRA-Wissensdatenbank
Faktenbasierte Artikel für Hersteller digitaler Produkte — quellenbasiert, quellenangegeben, praxisnah. Alle 39 Artikel kostenlos.
35 Artikel Durchschnitt 7 Min. Lesezeit Basiert auf EU-Verordnung 2024/2847 Letzte Aktualisierung: Mai 2026
Suche: Tastenkürzel: Strg+K oder Cmd+K zum Öffnen der Suche
Empfohlener Artikel
Alle Artikel (39)
Konkrete Aufgaben 14 Min.
CRA Anhang I: 13 Sicherheitsanforderungen erklärt
CRA Anhang I: 13 Sicherheitsanforderungen aus Teil I und 6 Schwachstellenpflichten aus Teil II — mit Umsetzungshinweisen und harmonisierten Normen.
Grundverständnis 6 Min.
Bin ich vom CRA betroffen? Anwendungsbereich prüfen
Finden Sie heraus, ob Ihr Produkt unter den CRA fällt. Entscheidungsbaum, Ausnahmen, Grenzfälle SaaS/Open Source — mit Quellenangaben zur EU-Verordnung.
Strafen 9 Min.
CRA-Bußgelder: Was kostet Nichteinhaltung?
CRA Artikel 64 sieht Bußgelder bis 15 Mio. € oder 2,5 % des Jahresumsatzes vor. Drei Stufen erklärt, wer verhängt, und was KMUs jetzt tun sollten.
Branchen 7 Min.
CRA für Cloud-Anbieter: Bin ich ausgenommen?
Reine SaaS-Dienste sind vom CRA ausgenommen — aber Docker-Images, VM-Images und Self-Hosted-Optionen fallen hinein. Ein klarer Entscheidungsbaum.
Branchen 8 Min.
CRA für Embedded-Systeme: Besondere Pflichten
Embedded-Entwickler stehen vor den härtesten CRA-Herausforderungen: SBOM für Binaries, OTA-Updates auf ARM-Cortex, 5 Jahre Support für 15-jährige Hardware.
Grundverständnis 5 Min.
CRA-Fristen 2026 und 2027 — vollständige Übersicht
CRA-Fristen kompakt: Meldepflicht ab September 2026, volle Geltung ab Dezember 2027. Tabelle aller EU-Stichtage und Handlungshinweise für betroffene Hersteller.
Strafen 6 Min.
CRA-Haftung der Geschäftsführung
CRA-Bußgelder treffen das Unternehmen — doch §43 GmbHG macht die GF persönlich haftbar. Was Geschäftsführer jetzt konkret dokumentieren müssen.
Branchen 7 Min.
CRA für IoT-Hersteller: Pflichten und Risiken
IoT-Geräte stehen im CRA-Fokus: Firmware-Updates, Secure Boot, SBOM und CVE-Monitoring. Was IoT-Hersteller jetzt wissen und umsetzen müssen.
Grundverständnis 6 Min.
CRA und ISO 27001: Reicht das Zertifikat?
ISO 27001 ist eine gute Basis für CRA-Compliance, aber kein Ersatz. Was fehlt: SBOM, 24h-Meldepflicht, CE-Kennzeichnung. Mit Mapping-Tabelle.
Konkrete Aufgaben 9 Min.
CRA Konformitätserklärung: Aufbau und Pflichtinhalt
CRA Artikel 28: Pflichtinhalte der EU-Konformitätserklärung nach Anhang V erklärt — Risikoklassen-Unterschied, Aufbewahrungspflicht und Musteraufbau.
Fristen 9 Min.
CRA-Konformitätsbewertung: Alle Module erklärt
CRA Konformitätsbewertung Module A bis H: Welches Modul gilt für welche Risikoklasse, wie läuft die Notified-Body-Prüfung ab und was kostet sie?
Fristen 9 Min.
Was kostet CRA-Compliance? Realistische Zahlen für KMU
Konkrete Kostenschätzungen für CRA-Compliance: SBOM-Tooling, Notified Body, technische Dokumentation. Was KMU realistisch einplanen müssen — echte Zahlen.
Konkrete Aufgaben 8 Min.
CRA und Lieferketten: Pflichten mit Zulieferern
CRA Lieferkette: Hersteller haften für die gesamte Software-Lieferkette. SBOM, Vertragsgestaltung mit Zulieferern und Open-Source-Abhängigkeiten erklärt.
Strafen 6 Min.
CRA: Marktrücknahme — was Behörden wirklich können
BSI und nationale Behörden können CRA-Produkte per Anordnung vom Markt nehmen. Was das konkret bedeutet, was es kostet und wie Sie sich schützen.
Branchen 7 Min.
CRA für Maschinenbauer: Wer haftet, wer prüft?
CRA und Maschinenverordnung gelten oft gleichzeitig. Was Maschinenbauer mit vernetzten Steuerungen, SPS und Remote-Access jetzt wissen müssen.
Fristen 6 Min.
Den richtigen Notified Body für CRA finden
Welcher Notified Body prüft CRA-Produkte wirklich? NANDO-Datenbank nutzen, Auswahlkriterien kennen, Red Flags erkennen — und 2027 nicht zu spät anfangen.
Fristen 9 Min.
CRA und Open Source: Was gilt für Maintainer?
Art. 16 CRA schützt nicht-kommerzielle OSS-Entwicklung — aber die Ausnahme ist enger als gedacht. Was Maintainer und OSS-Stewards konkret wissen müssen.
Grundverständnis 8 Min.
CRA-Pflichten für Hersteller — Übersicht 2026
Was Hersteller vernetzter Produkte nach dem CRA tun müssen: Risikoanalyse, SBOM, Meldepflicht, technische Dokumentation. Konkrete Checkliste.
Fristen 5 Min.
CRA bei Produktänderungen: Wann neu bewerten?
Art. 23 CRA: Wesentliche Änderungen erzwingen neue Konformitätsbewertung. Was zählt, was nicht — und warum SaaS-Teams hier besonders aufpassen müssen.
Konkrete Aufgaben 9 Min.
CRA-Risikoanalyse: Schritt für Schritt
CRA Anhang I verlangt eine Risikoanalyse. STRIDE, TARA und PASTA erklärt — mit Schritt-für-Schritt-Anleitung und Vorlage für das Risiko-Register.
Grundverständnis 7 Min.
CRA Risikoklassen: Default, Important, Critical erklärt
Der CRA unterscheidet 4 Produktklassen mit unterschiedlichen Anforderungen. Welche Klasse gilt für Ihr Produkt? Mit Beispielen, Tabelle und Quellenangaben.
Branchen 6 Min.
CRA für SaaS-Anbieter: Bin ich betroffen?
Reine Cloud-Dienste sind vom CRA ausgenommen — aber es gibt Graubereiche. Wann SaaS-Anbieter doch unter den CRA fallen und wie Sie das prüfen.
Fristen 5 Min.
CRA-Schulungen für Entwicklerteams: Was ist Pflicht?
CRA schreibt keine Schulungspflicht vor — aber Secure-by-Default funktioniert nicht ohne Wissen. Was Teams können müssen und wie man es nachweist.
Konkrete Aufgaben 7 Min.
CRA: Self-Assessment oder Notified Body?
Wann Hersteller die CRA-Konformität selbst bewerten dürfen und wann ein Notified Body Pflicht ist — mit Kosten, Zeitrahmen und Kapazitätsrisiken.
Konkrete Aufgaben 6 Min.
CRA: Sicherheits-Updates über 5+ Jahre bereitstellen
Was der Cyber Resilience Act für Update-Pflichten, Unterstützungszeiträume und OTA-Mechanismen verlangt — und was das für Embedded-Hersteller bedeutet.
Branchen 6 Min.
CRA für Smart-Home-Hersteller
Smart-Home-Hubs fallen unter Important Class I des CRA. Was das für Zigbee-Gateways, Z-Wave-Bridges und HomeKit-Hubs bedeutet — und welche Pflichten entstehen.
Branchen 8 Min.
CRA für Software-Hersteller ohne Hardware
Desktop-Apps, CLI-Tools, Browser-Extensions und Server-Software fallen unter den CRA. Welche OSS-Ausnahmen gelten — und wann Freemium sie aufhebt.
Branchen 7 Min.
CRA für SPS, IPC und Industriesteuerungen
SPS, IPC und CNC-Steuerungen unter dem CRA: Wann gilt Default-Klasse, wann Important II? Bezug zu IEC 62443 und OPC-UA. Praxisnah für Maschinenbau-Hersteller.
Verfahren 6 Min.
CRA 2026: Was gilt, was kommt noch?
Mai 2026: Die CRA-Verordnung gilt — aber nicht alles. Ein faktenbasierter Überblick, was in Kraft ist und was erst kommt. Mit konkreten Handlungshinweisen.
Konkrete Aufgaben 8 Min.
CRA Technische Dokumentation: Was muss rein?
Alle 9 Pflichtbestandteile der CRA-Technischen Dokumentation nach Anhang VII erklärt — mit typischen Fehlern und Praxishinweisen für Hersteller.
Grundverständnis 7 Min.
Was ist der EU Cyber Resilience Act?
Was bedeutet der EU Cyber Resilience Act für Hersteller? Dieser Artikel erklärt Klassen, Pflichten und wichtige Fristen der EU-Verordnung 2024/2847 kompakt.
Grundverständnis 7 Min.
CRA vs. NIS2: Unterschiede und Überschneidungen
CRA reguliert Produkte, NIS2 reguliert Betreiber — beide gelten gleichzeitig. Vergleich: Anwendungsbereich, Pflichten, Sanktionen, Behörden, Fristen.
Grundverständnis 5 Min.
CRA: Hersteller, Importeur oder Händler?
Wer ist Wirtschaftsakteur nach dem Cyber Resilience Act? Definitionen, Beispiele und Pflichten für Hersteller, Bevollmächtigte, Importeure und Händler.
Grundverständnis 7 Min.
Was ist der Cyber Resilience Act? Übersicht 2026
Der EU Cyber Resilience Act verpflichtet Hersteller vernetzter Produkte zu Cybersicherheit. Was er regelt, wen er betrifft und welche Fristen gelten — kompakt.
Verfahren 7 Min.
Harmonisierte Normen zum CRA: Stand 2026
Welche harmonisierten Normen zum CRA gelten, was EN 18031, IEC 62443 und ISO 27001 leisten — und wo im Mai 2026 noch erhebliche Lücken bestehen.
Konkrete Aufgaben 11 Min.
SBOM erstellen: Anleitung für CRA-Pflicht
SBOM für den CRA erstellen: CycloneDX vs. SPDX, Tools Syft, Trivy, cdxgen im Vergleich und Schritt-für-Schritt-Anleitung mit allen Pflichtfeldern.
Konkrete Aufgaben 9 Min.
Schwachstellen-Meldepflicht ab September 2026
Ab September 2026 gilt CRA Art. 14: Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden. Fristen, Inhalte, Vorbereitung.
Konkrete Aufgaben 7 Min.
Vulnerability Disclosure Policy (VDP) nach CRA Art. 13
VDP ist Pflicht nach CRA Art. 13 Abs. 6. Pflichtinhalte, Vorlage-Struktur, security.txt nach RFC 9116 und koordinierte vs. vollständige Offenlegung erklärt.
Wissen in Klarheit umwandeln
Nachdem Sie die Grundlagen kennen: Prüfen Sie kostenlos, ob und wie der CRA Ihr konkretes Produkt betrifft.
Kostenloser CRA-Check