Cluster A · Grundverständnis

CRA-Fristen 2026 und 2027 — vollständige Übersicht

Verfasst am
Lesezeit
5 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

CRA-Fristen kompakt: Meldepflicht ab September 2026, volle Geltung ab Dezember 2027. Tabelle aller EU-Stichtage und Handlungshinweise für betroffene Hersteller.

Inhaltsverzeichnis
  1. Alle CRA-Fristen auf einen Blick
  2. Was bedeutet jeder Stichtag konkret?
  3. 10. Dezember 2024: CRA ist geltendes Recht
  4. 11. Juni 2026: Notified Bodies werden sichtbar
  5. 11. September 2026: Meldepflicht tritt in Kraft
  6. 11. Dezember 2027: Volle Geltung aller Anforderungen
  7. Gab es Verschiebungen?
  8. Warum der Dezember 2027 eine harte Deadline ist
  9. Was zu tun ist — und wann
  10. Quellen

Alle CRA-Fristen auf einen Blick

Der Cyber Resilience Act (EU-Verordnung 2024/2847) tritt nicht an einem einzigen Tag vollständig in Kraft — er staffelt seine Anforderungen über mehrere Jahre. Das gibt Herstellern Zeit zur Anpassung. Und der Industrie Zeit, Bewertungsstellen und Standards aufzubauen.

Die folgende Tabelle zeigt alle vier verbindlichen Stichtage. Verbindlich bedeutet hier: keine Kulanzregelungen, keine Übergangsphasen, kein stillschweigendes Abwarten durch Behörden.

DatumStichtagWas konkret gilt
10. Dezember 2024InkrafttretenCRA ist EU-Recht. Keine unmittelbaren Pflichten für Hersteller, aber die Uhr läuft.
11. Juni 2026Notified BodiesKonformitätsbewertungsstellen (Notified Bodies) werden in der NANDO-Datenbank der EU-Kommission eingetragen und sind offiziell tätig.
11. September 2026MeldepflichtHersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an ENISA melden.
11. Dezember 2027Volle GeltungAlle CRA-Anforderungen sind verbindlich. Nur noch konforme Produkte dürfen neu in Verkehr gebracht werden.

Was bedeutet jeder Stichtag konkret?

10. Dezember 2024: CRA ist geltendes Recht

Mit der Veröffentlichung im Amtsblatt der Europäischen Union am 20. November 2024 und dem Inkrafttreten am 10. Dezember 2024 ist der CRA formell EU-Recht.¹ Konform sein müssen Hersteller noch nicht — aber die Uhr läuft. Schneller, als es sich gerade anfühlt.

Was jetzt zu tun ist:

  • Bestandsaufnahme: Welche Produkte fallen in den Anwendungsbereich?
  • Klassifizierung: Welche Risikoklasse trifft zu?
  • Ressourcenplanung: Wer im Unternehmen ist zuständig?

Mehr zur Frage, ob Ihr Produkt betroffen ist: Bin ich vom CRA betroffen?

11. Juni 2026: Notified Bodies werden sichtbar

Für Produkte der Kategorien Important Class I (ohne harmonisierte Standards), Important Class II und Critical müssen Hersteller eine Konformitätsbewertung durch eine notifizierte Stelle (Notified Body, NB) durchführen lassen. Ab dem 11. Juni 2026 trägt die Europäische Kommission diese Stellen in der NANDO-Datenbank ein — dann sind sie offiziell für CRA-Bewertungen akkreditiert.

Was viele CRA-Berater nicht sagen: Notified Bodies werden ein knappes Gut sein. In der europäischen Normungsgeschichte ist es keine Seltenheit, dass Akkreditierungsstellen nach dem Start monatelang Wartelisten aufbauen — besonders bei neuen Regelwerken ohne eingespielten Prozess. Wer als Hersteller von industriellen MQTT-Gateways oder embedded-Software für Heizungssteuerungen in Important Class I oder II fällt und erst im Herbst 2026 einen Notified Body kontaktiert, muss realistisch damit rechnen, den Dezember-2027-Stichtag zu verfehlen.

Hersteller von Default-Produkten benötigen keinen Notified Body. Dieser Stichtag betrifft sie nicht direkt.

11. September 2026: Meldepflicht tritt in Kraft

Ab dem 11. September 2026 gilt Artikel 14 der Verordnung vollumfänglich. Dieser Stichtag gilt für alle Hersteller CRA-pflichtiger Produkte — nicht nur für die höheren Risikoklassen. Hersteller müssen:¹

  1. Aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntnis an ENISA (Europäische Agentur für Cybersicherheit) melden — über die neu einzurichtende europäische Single-Entry-Point-Plattform.
  2. Schwerwiegende Sicherheitsvorfälle, die die Sicherheit des Produkts beeinträchtigen können, ebenfalls innerhalb von 24 Stunden an ENISA melden.
  3. Innerhalb von 72 Stunden einen detaillierteren Bericht nachliefern.
  4. Innerhalb von 14 Tagen einen abschließenden Bericht vorlegen.

24 Stunden ist eine kurze Frist. Sehr kurz. In der Praxis erleben wir: Wer intern noch nicht geklärt hat, wer meldet, was gemeldet wird und über welchen Kanal — der hält diese Frist nicht. Wer diese Prozesse erst aufbaut, wenn die Pflicht gilt, hat sie bereits gerissen.

Was Hersteller bis September 2026 aufgebaut haben müssen (Pflicht aus Verordnung 2024/2847, Art. 14):

  • Einen dokumentierten Vulnerability-Management-Prozess mit klaren Verantwortlichkeiten
  • Einen Single Point of Contact für Sicherheitsmeldungen (öffentlich zugängliche Kontaktadresse)
  • Eine öffentlich zugängliche Vulnerability-Disclosure-Policy
  • Technische Mittel zur Erkennung und Bewertung von Schwachstellen

11. Dezember 2027: Volle Geltung aller Anforderungen

Das ist der entscheidende Stichtag. Bis zum 11. Dezember 2027 müssen Hersteller in der EU vollständig konform sein — danach dürfen nur noch Produkte neu in Verkehr gebracht werden, die den vollständigen CRA-Anforderungen entsprechen. Konkret bedeutet das:

  • Alle Sicherheitsanforderungen aus Anhang I umgesetzt und dokumentiert
  • Konformitätsbewertung abgeschlossen (je nach Klasse: Selbstbewertung oder Notified Body)
  • CE-Kennzeichnung angebracht
  • EU-Konformitätserklärung ausgestellt
  • Technische Dokumentation gemäß Anhang VII vollständig

Produkte, die Hersteller rechtmäßig vor diesem Datum in Verkehr gebracht haben, genießen keinen dauerhaften Bestandsschutz. Wesentliche Produktänderungen nach Dezember 2027 erfordern eine neue Konformitätsbewertung.

Wer die Frist verpasst, darf sein Produkt nicht mehr verkaufen — nicht erst nach einer Abmahnung, sondern ab dem ersten Tag.

Gab es Verschiebungen?

Ja. Der CRA hatte eine längere Entstehungsgeschichte. Den ursprünglichen Entwurf legte die Europäische Kommission im September 2022 vor. Im Verlauf der Trilog-Verhandlungen zwischen Kommission, Parlament und Rat gab es zahlreiche inhaltliche Änderungen — insbesondere zu Open-Source-Software, Risikoklassen und der Meldepflicht.

Den finalen Text verabschiedete das Parlament am 23. Oktober 2024, veröffentlicht im Amtsblatt am 20. November 2024.² Seitdem wurden keine weiteren Verschiebungen angekündigt. Die Fristen sind verbindlich.

Warum der Dezember 2027 eine harte Deadline ist

Einige Hersteller rechnen damit, dass es wie bei anderen EU-Regelwerken zu einer Verlängerung kommt. Das ist eine gefährliche Wette.

Der CRA ist politisch stark priorisiert — er ist Teil der EU-Cybersicherheitsstrategie 2020 und überstand mehr als zwei Jahre Trilog-Verhandlung. Die Bereitschaft zu weiteren Verschiebungen ist gering. Ab Dezember 2027 wird die Bundesnetzagentur als koordinierende Marktaufsichtsbehörde aktiv prüfen. Bußgelder bis 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes stehen im Raum.¹

Das klingt nach fernem Risiko. Ist es nicht. Noch problematischer ist der wirtschaftliche Schaden jenseits der Bußgelder: Ein nicht-konformes Produkt — ob industrielles MQTT-Gateway oder Steuerungssoftware für smarte Gebäudetechnik — das Hersteller nicht mehr verkaufen dürfen, bedeutet sofortigen Umsatzausfall. Unabhängig davon, wie weit die Konformität bereits fortgeschritten ist.

Was zu tun ist — und wann

Die folgende Planung ist eine grobe Orientierung — keine Rechtsberatung:

ZeitraumPriorität
JetztBestandsaufnahme, Klassifizierung, interne Zuständigkeiten klären
Anfang 2026Risikoanalyse beginnen, SBOM-Tooling einführen, VDP aufsetzen
Bis Juni 2026Kontakt zu Notified Bodies aufnehmen (falls erforderlich), harmonisierte Standards prüfen
Bis September 2026Meldepflicht-Prozesse live (Vulnerability-Disclosure-Policy, ENISA-Meldung)
Bis Dezember 2027Vollständige Konformität, CE-Kennzeichnung, technische Dokumentation fertig

Das ist der Punkt, den viele übersehen: Technische Dokumentation nach Anhang VII braucht in der Praxis sechs bis zwölf Monate. Wer heute noch nicht begonnen hat, arbeitet bereits auf Kante.

Eine vollständige Übersicht aller Hersteller-Pflichten finden Sie unter CRA-Pflichten für Hersteller.

Starten Sie jetzt den kostenlosen CRA-Check und ermitteln Sie in wenigen Minuten, welche Fristenrelevanz für Ihr Produkt gilt.

Quellen

  1. EU-Verordnung 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 (Cyber Resilience Act), Artikel 14, Artikel 64, Artikel 71: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  2. Amtsblatt der Europäischen Union, L-Serie, 20. November 2024 — Veröffentlichung EU-Verordnung 2024/2847: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  3. BSI — Cyber Resilience Act, Zeitplan und Umsetzung: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
  4. EU-Kommission — Cyber Resilience Act FAQ: https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.