Was ist der CRA? Pflichten für digitale Produkte
Was ist der Cyber Resilience Act? Der Cyber Resilience Act (CRA), Verordnung (EU) 2024/2847, ist eine EU-Verordnung für Produkte mit digitalen Elementen. Sie verpflichtet Hersteller von Hardware und Software zu Security-by-Design, zu Sicherheitsupdates über den Produktlebenszyklus und zur Meldung ausgenutzter Schwachstellen. Die Meldepflichten gelten ab dem 11. September 2026, die Hauptpflichten ab dem 11. Dezember 2027.
Das Wichtigste in Kürze
- Rechtsnatur: EU-Verordnung, gilt unmittelbar in allen Mitgliedstaaten. Eine nationale Umsetzung wie bei einer Richtlinie entfällt.
- Geltungsbereich: Produkte mit digitalen Elementen, also Hardware und Software mit direkter oder indirekter Datenverbindung zu einem Gerät oder Netzwerk.
- Kernpflichten: Security-by-Design, kostenlose Sicherheitsupdates über den Support-Zeitraum, CE-Kennzeichnung nach Konformitätsbewertung.
- Fristen: In Kraft seit dem 10. Dezember 2024. Meldepflichten ab dem 11. September 2026, volle Anwendung ab dem 11. Dezember 2027.
- Merksatz: Der CRA regelt das Produkt, NIS2 den Betreiber, DORA den Finanzsektor.
Was der Cyber Resilience Act konkret bedeutet
Der CRA setzt am Inverkehrbringen an. Ein Produkt mit digitalen Elementen darf in der EU nur noch bereitgestellt werden, wenn es die wesentlichen Cybersicherheitsanforderungen der Verordnung erfüllt. Damit verschiebt sich die Verantwortung an den Anfang der Lieferkette: Der Hersteller muss Sicherheit ins Produkt bauen, bevor es beim Kunden ankommt.
Die Pflichten enden nicht mit dem Verkauf. Hersteller müssen Schwachstellen über den Support-Zeitraum behandeln, der sich an der erwarteten Nutzungsdauer orientiert und im Regelfall mindestens fünf Jahre beträgt. Sicherheitsupdates sind kostenlos bereitzustellen. Vor dem Marktzugang steht eine Konformitätsbewertung mit CE-Kennzeichnung, für bestimmte kritische Produktklassen mit strengeren Verfahren.
Produkte mit eigenem sektoralem Sicherheitsregime, etwa Medizinprodukte, Kraftfahrzeuge oder zertifizierte Luftfahrttechnik, können ausgenommen sein, soweit die dortigen EU-Vorschriften greifen.
Für wen der CRA relevant ist
Adressat sind zuerst die Hersteller, unabhängig vom Firmensitz. Wer von außerhalb der EU in den Binnenmarkt liefert, braucht einen Bevollmächtigten in der EU. Importeure und Händler tragen eigene Sorgfaltspflichten. Für Open-Source-Software gilt eine wichtige Klarstellung: Das reine Bereitstellen von Code auf Repositories zählt für sich genommen nicht als Inverkehrbringen. Entscheidend ist, ob die Software im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird.
Indirekt trifft der CRA jeden Einkauf: Für CISOs und IT-Entscheider wird CRA-Konformität damit absehbar zum Beschaffungskriterium. Bei Verstößen gegen Kernpflichten drohen Herstellern Bußgelder bis 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.
Was Unternehmen jetzt prüfen müssen
Herstellende Unternehmen sollten mit einer Portfolio-Inventur beginnen: Jedes Produkt mit Datenverbindung fällt potenziell unter die Verordnung. Daran schließen Support-Zusagen, Meldeprozesse und die Vorbereitung der Konformitätsbewertung an.
Jetzt prüfen
- ✓Produkt-Inventur: alle eigenen und vertriebenen Produkte mit Datenverbindung erfassen
- ✓Support-Zusage je Produkt schriftlich definieren, Update-Pfad kostenlos hinterlegen
- ✓Meldeprozess mit 24- und 72-Stunden-Fristen aufsetzen, Verantwortliche benennen
- ✓Konformitätsbewertung vorbereiten, bei kritischen Produktklassen Prüfstelle sichern
- ✓Einkaufsrichtlinie ergänzen: CRA-Konformität als Beschaffungskriterium ab 2026
Abgrenzung zu verwandten Begriffen
Der CRA wird ständig mit NIS2 und DORA verwechselt. Die drei Rechtsakte ergänzen sich und ersetzen einander nicht. Die Übersicht zeigt die Arbeitsteilung.
| Rechtsakt | Reguliert | Adressat |
|---|---|---|
| CRA (Verordnung (EU) 2024/2847) | Produkte mit digitalen Elementen | Hersteller, Importeure, Händler |
| NIS2 (Richtlinie (EU) 2022/2555) | Betrieb wichtiger und wesentlicher Einrichtungen | Betreiber und Organisationen |
| DORA (Verordnung (EU) 2022/2554) | Digitale operationale Resilienz im Finanzsektor | Finanzunternehmen und IKT-Dienstleister |
Die beiden Nachbar-Rechtsakte erklären unsere Lexikon-Einträge Was ist NIS2? und Was ist DORA?. Was der CRA für bereits verkaufte Produkte bedeutet, analysiert unser Beitrag Der Cyber Resilience Act trifft auch Ihren Bestand.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Ab wann greift der Cyber Resilience Act?
Die Verordnung ist seit dem 10. Dezember 2024 in Kraft. Die Meldepflichten für Hersteller gelten ab dem 11. September 2026, die vollständigen Hauptpflichten ab dem 11. Dezember 2027.
Ist der CRA ein Gesetz nur für Hersteller?
Hersteller tragen die Hauptverantwortung. Importeure und Händler haben eigene Sorgfaltspflichten. Hersteller außerhalb der EU müssen zusätzlich einen Bevollmächtigten in der EU benennen.
Wann muss ein Hersteller eine Schwachstelle melden?
Bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Vorfällen gilt eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis. Die ausführliche Meldung folgt innerhalb von 72 Stunden über die zentrale Meldeplattform an das koordinierende CSIRT und ENISA. Ein Abschlussbericht schließt die Meldung ab.
Betrifft der CRA auch Open-Source-Software?
Das reine Bereitstellen von Software auf Repositories oder Plattformen gilt für sich genommen nicht als Inverkehrbringen. CRA-Pflichten greifen, sobald eine Organisation die Software im Rahmen einer kommerziellen Tätigkeit bereitstellt und damit als Hersteller auftritt.
Was unterscheidet CRA, NIS2 und DORA?
Der CRA reguliert Produkte mit digitalen Elementen und deren Hersteller. NIS2 reguliert den Betrieb wichtiger und wesentlicher Einrichtungen. DORA reguliert die digitale Resilienz des Finanzsektors. Zusammen decken sie Produkt, Betreiber und Finanzbranche ab.
Lesetipps der Redaktion
LesetippDer Cyber Resilience Act trifft auch Ihren BestandLesetippWas ist NIS2? Definition, Pflichten und HaftungLesetippWas ist DORA? Definition, Pflichten und Fristen
Mehr aus dem MBF Media Netzwerk
cloudmagazinShadow AI verbieten ist der teuerste Reflex in der IT-SicherheitMyBusinessFutureStrompreisentlastung 2026: Was produzierende Betriebe prüfen müssenDigital ChiefsDer Chief AI Officer ist da. Das Problem bleibt
Bildquelle: KI-generiert (Juli 2026)





