Cluster A · Grundverständnis

Was ist der Cyber Resilience Act? Übersicht 2026

Verfasst am
Lesezeit
7 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

Der EU Cyber Resilience Act verpflichtet Hersteller vernetzter Produkte zu Cybersicherheit. Was er regelt, wen er betrifft und welche Fristen gelten — kompakt.

Inhaltsverzeichnis
  1. Was ist der Cyber Resilience Act?
  2. Warum wurde der CRA eingeführt?
  3. Zeitstrahl: Die wichtigsten CRA-Fristen
  4. Wer ist betroffen?
  5. Anwendungsbereich
  6. Größe des Unternehmens ist irrelevant
  7. Ausnahmen
  8. Welche Anforderungen gelten?
  9. Die 10 Sicherheitsanforderungen (Anhang I)
  10. Drei Kategorien von Hersteller-Pflichten
  11. Risikoklassen: Welche Anforderungen gelten für mein Produkt?
  12. Was passiert bei Nichteinhaltung?
  13. Verhältnis zu anderen Regelungen
  14. Fazit: Warum jetzt handeln?
  15. Häufige Fragen (FAQ)
  16. Quellen

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die am 10. Dezember 2024 in Kraft getreten ist und Hersteller von Produkten mit digitalen Elementen erstmals verbindlich zu angemessener Cybersicherheit verpflichtet — über den gesamten Produktlebenszyklus hinweg.

Offiziell heißt er: EU-Verordnung 2024/2847 des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Das Kürzel „CRA” hat sich in der Praxis durchgesetzt.

Warum wurde der CRA eingeführt?

Konkrete Zahlen hat die Europäische Kommission in einer Folgenabschätzung aus dem Jahr 2022 geliefert: Cyberangriffe auf vernetzte Produkte kosteten die europäische Wirtschaft jährlich über 5,5 Billionen Euro. Unsichere Software und Hardware trugen erheblich zu diesen Schäden bei — und gleichzeitig fehlte in der EU ein einheitlicher Rechtsrahmen für Produktsicherheit im Bereich Cybersicherheit.

Bisher war Sicherheit für Hersteller weitgehend optional. Das ändert der CRA grundlegend: Wer ein vernetztes Produkt auf den EU-Markt bringt, muss künftig nachweisen, dass es einen Mindeststandard an Cybersicherheit erfüllt — dokumentiert, bewertet, CE-gekennzeichnet.

Was hier viele falsch verstehen: Es geht nicht darum, einmalig sicher zu sein. Hersteller müssen dauerhaft nachweisen, dass sie es sind — mit Dokumentation, Prozessen und messbaren Belegen.

Die Rechtsgrundlage findet sich in Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), der die Harmonisierung des Binnenmarkts ermöglicht.¹

Zeitstrahl: Die wichtigsten CRA-Fristen

DatumWas gilt
10. Dezember 2024CRA in Kraft getreten (Veröffentlichung im Amtsblatt)
11. Juni 2026Notified Bodies (Konformitätsbewertungsstellen) werden in der NANDO-Datenbank sichtbar
11. September 2026Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle beginnt (24-Stunden-Frist)
11. Dezember 2027Volle Geltung aller CRA-Anforderungen — nur noch konforme Produkte dürfen in Verkehr gebracht werden

Alle vier Termine sind verbindlich und wurden nicht verschoben. Eine detaillierte Erläuterung der einzelnen Fristen finden Sie unter CRA-Fristen 2026 und 2027 — vollständige Übersicht.

Wer ist betroffen?

Anwendungsbereich

Der CRA gilt für alle Wirtschaftsakteure, die Produkte mit digitalen Elementen in der EU in Verkehr bringen oder auf dem Markt bereitstellen — unabhängig davon, ob sie ihren Sitz in der EU haben oder nicht. Betroffen sind:

  • Hersteller (die umfangreichsten Pflichten)
  • Importeure (wenn der Hersteller außerhalb der EU sitzt)
  • Händler (mit eingeschränkten Pflichten)
  • Bevollmächtigte (EU-Vertreter von Nicht-EU-Herstellern)

Nach Artikel 3 Nummer 1 der Verordnung ist ein „Produkt mit digitalen Elementen” ein Software- oder Hardwareprodukt sowie seine Datenfernverarbeitungslösungen, dessen bestimmungsgemäße Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.¹

In der Praxis bedeutet das: nahezu jedes vernetzte Produkt — vom industriellen MQTT-Gateway über mobile Apps bis zu IoT-Sensoren für Fertigungsanlagen. Reine Software kann unter den CRA fallen, sofern Hersteller sie eigenständig in Verkehr bringen und sie bestimmungsgemäß eine Netzwerkverbindung nutzt.

Größe des Unternehmens ist irrelevant

Ein häufiges Missverständnis: Der CRA gilt unabhängig von der Unternehmensgröße. Keine Ausnahme für KMU, keine Bagatellgrenze, keine Sonderregelung für Startups. Kleinstunternehmen können jedoch von verkürzten Fristen bei der technischen Dokumentation profitieren (Artikel 13 Absatz 14).¹

Ein KMU mit 15 Mitarbeitenden, das einen vernetzten Luftqualitätssensor für Industriehallen verkauft, hat dieselben Grundpflichten wie ein Konzern — nur der Nachweis-Aufwand skaliert etwas anders.

Ausnahmen

Einige Produktkategorien hat der Gesetzgeber ausdrücklich aus dem Anwendungsbereich ausgenommen, weil sektorspezifische Regelungen bereits bestehen:

  • Medizinprodukte (EU-Verordnung 2017/745, MDR; EU-Verordnung 2017/746, IVDR)
  • Kraftfahrzeuge und Fahrzeugkomponenten (UN-R 155, UN-R 156)
  • Zivile Luftfahrt (EU-Verordnung 2018/1139)
  • Marine Equipment (Richtlinie 2014/90/EU)
  • Militär- und Verteidigungsprodukte
  • Reine Open-Source-Software ohne kommerzielle Tätigkeit

Zu Grenzfällen wie SaaS, reiner Software oder Open-Source-Projekten lesen Sie mehr unter Bin ich vom CRA betroffen?.

Welche Anforderungen gelten?

Die 10 Sicherheitsanforderungen (Anhang I)

Anhang I der Verordnung listet die grundlegenden Cybersicherheitsanforderungen für alle CRA-Produkte:¹

  1. Risikobasierte Schutzmaßnahmen nach dem Stand der Technik
  2. Secure by Default — sichere Standardkonfigurationen ab Werk
  3. Schutz vor unbefugtem Zugriff (Authentifizierung, Zugangskontrolle)
  4. Vertraulichkeit gespeicherter und übertragener Daten
  5. Integrität von Daten, Software und Konfigurationen
  6. Minimierung der Angriffsoberfläche und exponierter Schnittstellen
  7. Schutz vor Denial-of-Service-Angriffen
  8. Datenminimierung — nur notwendige Daten verarbeiten
  9. Schwachstellenmanagement und Sicherheitsupdates
  10. Transparenz über Komponenten (SBOM — Software Bill of Materials)

Was Hersteller oft unterschätzen: Anforderung 9 — „keine bekannten Schwachstellen zum Zeitpunkt des Inverkehrbringens” — ist im Nachweis aufwändiger als sie klingt. Intern nichts zu wissen reicht nicht. Gemeint ist ein aktiv betriebenes, dokumentiertes Schwachstellenmanagement mit Nachweis. Das ist ein echter Prozess, kein Formular.

Drei Kategorien von Hersteller-Pflichten

Neben den technischen Sicherheitsanforderungen treffen Hersteller umfangreiche Prozess- und Dokumentationspflichten, die sich in drei Phasen gliedern:

  1. Vor dem Inverkehrbringen (Pflicht aus Verordnung 2024/2847, Art. 13): Risikoanalyse, Konformitätsbewertung, technische Dokumentation (Anhang VII), SBOM, CE-Kennzeichnung
  2. Während der Supportzeit (Pflicht aus Art. 13 und Art. 14): Sicherheitsupdates (mindestens 5 Jahre), Schwachstellenmeldung ab September 2026, Nutzerinformation
  3. Bei wesentlichen Änderungen (Pflicht aus Art. 15): Erneute Risikoanalyse, aktualisierte Dokumentation, ggf. neue Konformitätsbewertung

Eine vollständige Auflistung aller Pflichten finden Sie unter CRA-Pflichten für Hersteller.

Risikoklassen: Welche Anforderungen gelten für mein Produkt?

Der CRA unterscheidet vier Produktkategorien mit unterschiedlichen Anforderungen an die Konformitätsbewertung:

KlasseBeschreibungKonformitätsbewertungAnteil Markt (geschätzt)
DefaultAlle sonstigen vernetzten ProdukteSelbstbewertung möglich (Modul A)ca. 80–90 %
Important Class ISicherheitsrelevante Produkte (Anhang III/I): VPN, Passwort-Manager, Browser, Smart-Home-HubSelbstbewertung oder Notified Body
Important Class IIBesonders kritische Produkte (Anhang III/II): Hypervisoren, Firewalls, PKINotified Body zwingend
CriticalHöchste Risikoklasse (Anhang IV): Smart Meter Gateways, HSMNotified Body + ggf. EUCCsehr klein

Mehr zur Klassifizierung unter CRA Risikoklassen: Default, Important, Critical erklärt.

Was passiert bei Nichteinhaltung?

Artikel 64 der Verordnung sieht empfindliche Sanktionen vor:¹

  • Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes (jeweils der höhere Wert) für Verstöße gegen die grundlegenden Sicherheitsanforderungen
  • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für andere Verstöße
  • Bis zu 5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes bei falschen Angaben gegenüber Behörden
  • Marktrücknahme und Vertriebsverbot durch nationale Marktaufsichtsbehörden

In Deutschland übernimmt die Bundesnetzagentur die Rolle der koordinierenden Marktaufsichtsbehörde.

Verhältnis zu anderen Regelungen

Der CRA ergänzt bestehende Regelungen, ersetzt sie aber nicht:

RegelungVerhältnis zum CRA
NIS2 (Richtlinie 2022/2555)NIS2 gilt für Betreiber kritischer Infrastrukturen und wichtige Dienste (organisationsbezogen). CRA gilt für Hersteller von Produkten (produktbezogen). Beides kann gleichzeitig gelten.
ISO 27001Deckt Governance und Informationssicherheitsmanagement — produktspezifische CRA-Anforderungen werden nicht abgedeckt.
IEC 62443Starke inhaltliche Überschneidung für Industrieprodukte (~70–80 %). Kann als Grundlage für CRA-Konformität dienen.
ETSI EN 303 645Harmonisierter Standard für Consumer-IoT — relevanter Referenzrahmen für CRA-Default-Klasse.
MDR / IVDRSchließt sich mit CRA gegenseitig aus (Medizinprodukte sind ausgenommen).
AI Act (Verordnung 2024/1689)Gilt parallel bei KI-Funktionen in CRA-Produkten. Keine gegenseitige Ausnahme.
DSGVO (Verordnung 2016/679)Gilt parallel — betrifft Datenschutz, CRA betrifft Produktsicherheit.

Fazit: Warum jetzt handeln?

Bis zum 11. Dezember 2027 sind es noch rund 18 Monate. Das klingt nach viel Zeit — ist es aber nicht.

Allein die technische Dokumentation nach Anhang VII braucht in der Praxis sechs bis zwölf Monate, wenn man sie ernsthaft aufbaut. Notified Bodies — für Important Class II und teils für Class I erforderlich — haben bereits jetzt volle Auftragsbücher. Wer erst im Sommer 2026 anfragt, riskiert, keinen Termin vor dem Stichtag zu bekommen. Dazu kommt: Wer Komponenten von Zulieferern bezieht, muss Verträge nachverhandeln. Der CRA verpflichtet Hersteller, Sicherheitsanforderungen an ihre Lieferkette weiterzugeben — in den wenigsten bestehenden Einkaufsverträgen ist das geregelt.

Wer heute noch keine SBOM erstellt, wird 2027 unter erheblichem Zeitdruck stehen.

Hinzu kommt: Die Meldepflicht für Schwachstellen gilt bereits ab 11. September 2026 — also in knapp 16 Monaten. Wer noch keinen Vulnerability-Management-Prozess hat, muss bereits jetzt beginnen. Dieser Stichtag wartet nicht auf die Konformitätsfrist.

Starten Sie jetzt den kostenlosen CRA-Check und erhalten Sie in wenigen Minuten eine indikative Einschätzung, welche Klasse für Ihr Produkt gilt und welche Pflichten auf Sie zukommen.

Häufige Fragen (FAQ)

Gilt der CRA auch für Software-as-a-Service (SaaS)?

Eine der meistgestellten Fragen — und die Antwort ist differenzierter als viele erwarten. Reine SaaS-Anwendungen, die ausschließlich remote genutzt werden und keine eigenständige Komponente auf dem Gerät des Nutzers installieren, können unter den CRA fallen, sofern eine Fernverarbeitungslösung vorliegt, die als Bestandteil eines Produkts mit digitalen Elementen einzustufen ist. Die genaue Abgrenzung ist in Grenzfällen komplex und wird durch die harmonisierten Normen erst konkretisiert werden. Mehr dazu unter Bin ich vom CRA betroffen?.

Muss ich als Hersteller außerhalb der EU auch den CRA einhalten?

Ja. Der CRA gilt für alle Produkte, die auf dem EU-Markt in Verkehr gebracht werden — unabhängig davon, wo der Hersteller sitzt. Nicht-EU-Hersteller müssen entweder einen EU-Bevollmächtigten benennen oder sicherstellen, dass der Importeur ihre Pflichten übernimmt (Artikel 19 ff.).¹

Reicht meine bisherige CE-Kennzeichnung?

Nein. Der CRA erweitert die CE-Kennzeichnung um spezifische Cybersicherheitsanforderungen. Eine bestehende CE-Konformität (etwa nach der Funkanlagenrichtlinie RED oder der Maschinenrichtlinie) deckt die CRA-Anforderungen nicht ab.

Was ist, wenn mein Produkt Dezember 2027 noch nicht konform ist?

Ab dem 11. Dezember 2027 dürfen nicht-konforme Produkte nicht mehr auf dem EU-Markt in Verkehr gebracht werden. Produkte, die vorher rechtmäßig in Verkehr gebracht wurden, genießen keinen Bestandsschutz für neue Lieferungen ab diesem Datum.

Quellen

  1. EU-Verordnung 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  2. BSI — Cyber Resilience Act: Überblick und Umsetzungshinweise: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
  3. EU-Kommission — Cyber Resilience Act (Digitale Strategie): https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act
  4. ENISA — Cyber Resilience Act: https://www.enisa.europa.eu/topics/cyber-resilience-act
  5. Europäisches Parlament — Legislative Observatory, Verfahren 2022/0272(COD): https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&reference=2022/0272(COD)

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.