Cluster A · Grundverständnis

Was ist der EU Cyber Resilience Act?

Verfasst am
Lesezeit
7 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Was bedeutet der EU Cyber Resilience Act für Hersteller? Dieser Artikel erklärt Klassen, Pflichten und wichtige Fristen der EU-Verordnung 2024/2847 kompakt.

Inhaltsverzeichnis
  1. Was ist der EU Cyber Resilience Act?
  2. Wer ist betroffen?
  3. Produktklassen
  4. Wichtige Fristen
  5. Wichtige Pflichten für Hersteller

Was ist der EU Cyber Resilience Act?

Der EU Cyber Resilience Act (CRA), verabschiedet als EU-Verordnung 2024/2847 am 20. November 2024, ist das erste europäische Gesetz, das verbindliche Cybersicherheitsanforderungen für Hersteller von Produkten mit digitalen Elementen einführt. Er gilt ab dem 11. Dezember 2027 vollumfänglich — und verändert damit grundlegend, was es bedeutet, ein vernetztes Produkt in der EU zu verkaufen.

Kurz gesagt: Wer ein vernetztes Produkt in der EU auf den Markt bringt — ob industrielles MQTT-Gateway, embedded Software für Heizungssteuerungen oder vernetzten Rauchmelder — muss ab Dezember 2027 nachweisen, dass es sicher ist. Dokumentiert, bewertet, CE-gekennzeichnet. Nicht als einmalige Geste, sondern als dauerhafter Prozess über den gesamten Produktlebenszyklus.

Eine ausführliche Einführung mit allen Hintergründen finden Sie unter Was ist der Cyber Resilience Act? Übersicht 2026.

Wer ist betroffen?

Der CRA betrifft Hersteller, Importeure und Händler, die Produkte mit digitalen Elementen in der EU in Verkehr bringen. Das umfasst Hardware mit eingebetteter Software (IoT, Industriesteuerungen) sowie reine Software-Produkte, sofern sie eigenständig in Verkehr gebracht werden und bestimmungsgemäß eine Netzwerkverbindung nutzen.

Die Unternehmensgröße spielt keine Rolle. Ein Startup mit fünf Mitarbeitenden, das einen vernetzten Sensor verkauft, unterliegt denselben Grundpflichten wie ein Konzern. Kleinstunternehmen können bei der technischen Dokumentation gewisse Vereinfachungen in Anspruch nehmen — das ändert aber nichts an den inhaltlichen Anforderungen.

Ausnahmen gelten unter anderem für:

  • Medizinprodukte (MDR/IVDR)
  • Kraftfahrzeuge (UN-R 155/156)
  • Reine nicht-kommerzielle Open-Source-Software

Das ist der Punkt, den viele übersehen: Diese Ausnahmen sind enger als oft angenommen. Wer Open Source kommerziell vertreibt, supported oder in Produkte integriert, ist nicht ausgenommen. In der Praxis erleben wir regelmäßig, dass Hersteller ihre Open-Source-Komponenten für unkritisch halten — und dann feststellen, dass genau diese Komponenten die Konformitätspflicht auslösen.

Mehr zur Abgrenzung: Bin ich vom CRA betroffen?

Produktklassen

Der CRA unterscheidet vier Kategorien — und zwar ausschließlich beim Konformitätsbewertungsverfahren. Die inhaltlichen Sicherheitsanforderungen (Risikoanalyse, SBOM, Schwachstellenmanagement) gelten für alle gleich.

KlasseBeispieleBewertungsverfahren
DefaultIoT-Sensoren, vernetzte Maschinen, B2B-Software mit lokalem ClientSelbstbewertung (Modul A)
Important Class IVPN, Passwort-Manager, Smart-Home-Hub, IAM-SystemeSelbstbewertung (mit harmonisierten Standards) oder Notified Body
Important Class IIHypervisoren, Firewalls, PKINotified Body Pflicht
CriticalSmart Meter Gateways, HSMsNotified Body + ggf. EUCC

Was viele CRA-Berater nicht sagen: Ein IAM-Modul, das als Teil einer B2B-Software ausgeliefert wird, kann die gesamte Produktlinie in Important Class I heben. Die Klassifizierung ist deutlich weniger trivial als sie auf den ersten Blick wirkt — und ein falsch eingestuftes Produkt ist ein Produkt ohne gültige CE-Kennzeichnung.

Mehr zu den Klassen: CRA Risikoklassen: Default, Important, Critical erklärt

Wichtige Fristen

  • 11. Juni 2026: Europäische Notified-Body-Datenbank (NANDO) wird für CRA-Bewertungsstellen geöffnet — wer in Class II fällt, sollte nicht bis dahin warten, um Kontakt aufzunehmen
  • 11. September 2026: Meldepflichten für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle beginnen (24-Stunden-Frist an ENISA) — gilt für alle CRA-Produkte
  • 11. Dezember 2027: Vollständige CRA-Konformität aller Produkte erforderlich

Dezember 2027 klingt weit. Ist es nicht.

Konkret bedeutet das: Technische Dokumentation nach Anhang VII braucht sechs bis zwölf Monate Vorlauf. Notified Bodies haben bereits heute volle Auftragsbücher. Wer jetzt noch nicht begonnen hat zu planen, arbeitet auf Kante — und riskiert, im Dezember 2027 ein Produkt zu haben, das nicht in Verkehr gebracht werden darf.

Alle Stichtage im Detail: CRA-Fristen 2026 und 2027 — vollständige Übersicht

Wichtige Pflichten für Hersteller

Die Pflichten gliedern sich in drei Phasen (Pflicht aus EU-Verordnung 2024/2847, Art. 13–15):

  1. Vor dem Inverkehrbringen: Risikoanalyse, 10 Sicherheitsanforderungen (Anhang I) umsetzen, SBOM erstellen, technische Dokumentation (Anhang VII) anfertigen, Konformitätsbewertung abschließen, CE-Kennzeichnung anbringen
  2. Während der Supportzeit: Sicherheitsupdates mindestens 5 Jahre lang, Schwachstellen melden (ab September 2026), Nutzer informieren
  3. Bei wesentlichen Änderungen: Erneute Risikoanalyse, aktualisierte Dokumentation, ggf. neue Konformitätsbewertung

Das klingt nach bürokratischem Aufwand. Ist es auch. Aber der größte Stolperstein liegt woanders: In der Praxis unterschätzen die meisten Hersteller — ob sie nun industrielle Feldgeräte oder embedded Software für Gebäudeautomation bauen — wie aufwändig der Nachweis zu „keine bekannten Schwachstellen zum Zeitpunkt des Inverkehrbringens” tatsächlich ist. Es reicht nicht, intern nichts zu wissen. Gemeint ist ein aktiv betriebenes, dokumentiertes Schwachstellenmanagement. Das ist ein Prozess, kein Zustand.

Vollständige Übersicht: CRA-Pflichten für Hersteller

Starten Sie jetzt den kostenlosen CRA-Check und erhalten Sie in wenigen Minuten eine indikative Einschätzung, welche Klasse für Ihr Produkt gilt und welche Pflichten auf Sie zukommen.

Quelle: EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.