Cluster F · Verfahren

CRA 2026: Was gilt, was kommt noch?

Verfasst am
Lesezeit
6 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Mai 2026: Die CRA-Verordnung gilt — aber nicht alles. Ein faktenbasierter Überblick, was in Kraft ist und was erst kommt. Mit konkreten Handlungshinweisen.

Inhaltsverzeichnis
  1. Was im Mai 2026 gilt — und was nicht
  2. Was bereits in Kraft ist
  3. Die Verordnung selbst: seit 10. Dezember 2024
  4. Übergangsfristen laufen — die Uhr tickt
  5. Harmonisierte Normen: erste Veröffentlichungen 2025
  6. ENISA-Leitlinien zur Meldepflicht (2025)
  7. BSI: Umsetzungshinweise für deutsche Hersteller (2025)
  8. Was noch nicht in Kraft ist
  9. Meldepflicht: erst ab 11. September 2026
  10. CE-Kennzeichnung und vollständige Konformität: erst ab 11. Dezember 2027
  11. Notified Bodies: formal ab 11. Juni 2026 aktiv
  12. Stand der harmonisierten Normen: wo Lücken bleiben
  13. Was Hersteller heute konkret tun sollten
  14. Die erste harte Deadline: September 2026
  15. Quellen

Was im Mai 2026 gilt — und was nicht

Seit dem 10. Dezember 2024 ist der Cyber Resilience Act (EU-Verordnung 2024/2847) geltendes EU-Recht. Alle Anforderungen sofort? Nein. Die Verordnung staffelt ihre Pflichten bewusst — über drei zentrale Stichtage bis Ende 2027.

Wer heute wissen will, was verbindlich ist, bekommt eine klare Antwort: die wenigsten Pflichten. Aber das ändert sich in weniger als vier Monaten.

Was bereits in Kraft ist

Die Verordnung selbst: seit 10. Dezember 2024

Am 20. November 2024 erschien der CRA im Amtsblatt der Europäischen Union (L-Serie), zwanzig Tage später — am 10. Dezember 2024 — trat er in Kraft.¹ Damit sind Definitionen, Anwendungsbereich, Risikoklassen und der gesamte rechtliche Rahmen bindend.

Was das konkret bedeutet: Seit Dezember 2024 wissen Hersteller verbindlich, ob ihr Produkt in den Anwendungsbereich fällt, welcher Risikoklasse es angehört und welche Anforderungen bis wann erfüllt sein müssen. Unwissenheit ist seitdem kein mildernder Umstand.

Übergangsfristen laufen — die Uhr tickt

Mit dem Inkrafttreten haben die Übergangsfristen begonnen. Sie bieten Zeit zur Vorbereitung, aber keine Straffreiheit für Untätigkeit. Wer bis September 2026 keine Vulnerability-Disclosure-Policy für seine industriellen MQTT-Gateways oder seine embedded-Software für Heizungssteuerungen aufgebaut hat, verstößt ab diesem Datum gegen geltendes Recht — egal ob er die Zeit hatte oder nicht.

Harmonisierte Normen: erste Veröffentlichungen 2025

Im Jahr 2025 veröffentlichte die EU die ersten harmonisierten Normen für den CRA im Amtsblatt:

  • EN 18031-1: Sicherheitsanforderungen für internetverbundene Produkte — Allgemeiner Teil
  • EN 18031-2: Sicherheitsanforderungen für internetverbundene Produkte — Verarbeitung personenbezogener Daten
  • EN 18031-3: Sicherheitsanforderungen für internetverbundene Produkte — Kritische Infrastrukturen

Ein wichtiger Meilenstein. Hersteller, die diese Normen vollständig einhalten, können die sogenannte Konformitätsvermutung für sich geltend machen — sie müssen nicht mehr jeden einzelnen CRA-Aspekt separat nachweisen.²

Allerdings bestehen weiterhin Lücken — dazu weiter unten mehr.

ENISA-Leitlinien zur Meldepflicht (2025)

2025 veröffentlichte die Europäische Agentur für Cybersicherheit (ENISA) erste operative Leitlinien zur Umsetzung der Meldepflicht nach Artikel 14. Darin beschreibt sie, wie die zukünftige Single-Entry-Point-Plattform funktionieren wird, welche Informationen bei der 24-Stunden-Meldung erforderlich sind und wie ENISA mit nationalen Behörden koordiniert.³

Kein Luxus-Lesestoff. Wer erst im September 2026 versteht, wie Meldungen technisch eingereicht werden, hat schlicht zu spät angefangen.

BSI: Umsetzungshinweise für deutsche Hersteller (2025)

Ebenfalls 2025 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Umsetzungshinweise für deutsche Hersteller. Sie erläutern, wie Hersteller den CRA in der deutschen Rechtslandschaft anwenden, und geben Hinweise zur Interaktion mit deutschen Marktaufsichtsbehörden — die ab Dezember 2027 aktiv werden.⁴

Was noch nicht in Kraft ist

Meldepflicht: erst ab 11. September 2026

Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen Hersteller erst ab dem 11. September 2026 an ENISA melden (Art. 14 CRA). Vier Monate von heute.

Ab dann gilt:

  • 24 Stunden für die erste Meldung an ENISA nach Kenntnis einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls
  • 72 Stunden für einen ausführlicheren Folgebericht
  • 14 Tage für den abschließenden Bericht

24 Stunden ist wenig Zeit. Besonders für Unternehmen, die intern erst klären müssen, wer überhaupt zuständig ist — und was überhaupt gemeldet werden muss. Wer diese Prozesse bis September nicht aufgebaut hat, kann die Frist strukturell nicht einhalten.

CE-Kennzeichnung und vollständige Konformität: erst ab 11. Dezember 2027

Alle produktbezogenen Anforderungen — CE-Kennzeichnung, vollständige technische Dokumentation, Konformitätserklärung, abgeschlossene Konformitätsbewertung — gelten erst ab dem 11. Dezember 2027.

Das klingt weit entfernt. Ist es nicht. Technische Dokumentation nach Anhang VII braucht in der Praxis sechs bis zwölf Monate. Wer heute noch keine Risikoanalyse begonnen hat, startet bereits mit Verspätung.

Notified Bodies: formal ab 11. Juni 2026 aktiv

Ab dem 11. Juni 2026 trägt die EU-Kommission Konformitätsbewertungsstellen (Notified Bodies) offiziell in der NANDO-Datenbank ein — damit sind sie formal für CRA-Bewertungen akkreditiert.⁵

Stand Mai 2026: Erst wenige Stellen haben CRA-Akkreditierungen abgeschlossen. Kapazitäten entstehen — bleiben aber knapp. Hersteller, die einen Notified Body benötigen (Klasse Important I ohne harmonisierte Normen, Important II, Critical), sollten jetzt Kontakt aufnehmen. Nicht erst im Herbst.

Stand der harmonisierten Normen: wo Lücken bleiben

Die EN 18031-Reihe adressiert primär internetverbundene Hardware-Produkte. Für reine Softwareprodukte ohne Hardware-Anteil gibt es im Mai 2026 noch keine vollständig harmonisierte CRA-Norm im Amtsblatt.

Ein relevantes Problem — besonders für Hersteller von:

  • Desktop- und Server-Anwendungen
  • Embedded-Software-Komponenten ohne eigenes Gerät
  • Mobilen Apps, die eigenständig als Produkt vertrieben werden

Was hier viele falsch verstehen: Diese Hersteller können den vereinfachten “Konformitätsvermutungs-Weg” über harmonisierte Normen aktuell nicht vollständig nutzen. Sie müssen alternative Nachweise erbringen — mehr Dokumentationsaufwand — oder auf kommende Normen warten, mit dem Risiko, den Dezember-2027-Stichtag zu verfehlen.

IEC 62443 (für industrielle Steuerungen) und ISO/IEC 27001 sind relevant, ersetzen aber keine vollständige CRA-Konformität — mehr dazu im Artikel Harmonisierte Normen zum CRA.

Was Hersteller heute konkret tun sollten

Die folgende Liste ist keine Rechtsberatung, sondern eine strukturierte Übersicht der Maßnahmen, die aus den Anforderungen der Verordnung 2024/2847 abgeleitet sind:

Sofort (Mai 2026):

  1. Produktinventar erstellen: Welche Produkte sind “Produkte mit digitalen Elementen” im Sinne von Art. 3 CRA? Welche fallen unter Ausnahmen (reine Cloud-Dienste ohne lokale Komponente, Open-Source-Software ohne kommerziellen Kontext)?
  2. Risikoklasse bestimmen: Default, Important Class I, Important Class II oder Critical? Die Klasse bestimmt den Konformitätsbewertungsweg.
  3. SBOM-Prozess starten: Eine Software Bill of Materials ist nach Anhang I Pflicht. Tooling auszuwählen und in den Build-Prozess zu integrieren braucht Zeit.
  4. VDP-Seite aufbauen: Eine öffentlich zugängliche Vulnerability Disclosure Policy ist ab September 2026 Pflicht. Aufbau und interne Abnahme dauern in der Praxis zwei bis drei Monate.

Bis August 2026:

  1. Meldeprozesse dokumentieren: Wer meldet an ENISA? In welchem Format? Wer im Unternehmen entscheidet, ob ein Vorfall “schwerwiegend” ist?
  2. Kontakt zu Notified Bodies: Falls die Produktklasse einen NB erfordert — jetzt anfragen, nicht nach Juni.
  3. Harmonisierte Normen prüfen: Welche Normen sind für das jeweilige Produkt anwendbar? Wo bestehen Lücken?

Die erste harte Deadline: September 2026

Wer noch nichts getan hat, hat keine Zeit mehr zu verlieren. September 2026 ist die erste harte Deadline. Vier Monate sind für einen funktionierenden Vulnerability-Management-Prozess, eine VDP und die internen Abstimmungen, die damit einhergehen, knapp. Sehr knapp.

Das BSI schätzt den Vorbereitungsaufwand für mittelständische Hersteller auf sechs bis zwölf Monate für die vollständige CRA-Konformität — je nach Produktkomplexität und vorhandenem Sicherheits-Reifegrad.⁴ Wer im Mai 2026 startet, hat bis Dezember 2027 gerade noch ausreichend Zeit — wenn er konsequent arbeitet.

Eine detaillierte Übersicht aller Fristen finden Sie unter CRA-Fristen 2026 und 2027. Zur Meldepflicht im Detail: Schwachstellen-Meldepflicht nach CRA.

Quellen

  1. EU-Verordnung 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 (Cyber Resilience Act): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  2. Europäische Kommission — Harmonisierte Normen für den Cyber Resilience Act: https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act
  3. ENISA — Leitlinien zur Meldepflicht nach dem Cyber Resilience Act: https://www.enisa.europa.eu/topics/cybersecurity-policy/cyber-resilience-act
  4. BSI — Cyber Resilience Act, Umsetzungshinweise für Hersteller: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
  5. NANDO-Datenbank der Europäischen Kommission — Notified Bodies: https://ec.europa.eu/growth/tools-databases/nando/

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.