Fristen

Cyber Resilience Act: alle Fristen und Phasen, die Sie bis 2027 einhalten müssen

Veröffentlicht 22. April 20267 Min. Lesezeit

Der Cyber Resilience Act (Verordnung EU 2024/2847) wird nicht an einem einzigen Datum eingeführt. Er wird in Phasen wirksam, und jede bedeutet für Hersteller, Importeure und Händler eine andere Art von Pflicht. Wer seine Vorbereitung nur auf die letzte Frist ausrichtet, riskiert, von den früheren Pflichten unvorbereitet getroffen zu werden.

10. Dezember 2024 – der CRA ist in Kraft getreten

Die Verordnung ist in Kraft getreten und die Übergangsfrist hat begonnen. Rechtlich ist der CRA in Kraft – nur seine wesentlichen Pflichten gelten später. Für Unternehmen bedeutet das eines: Die Uhr läuft bereits, und dies ist die offizielle Startlinie für die Vorbereitung.

11. September 2026 – die ersten scharfen Pflichten

Dieses Datum wird in Diskussionen über den CRA oft unterschätzt. Meldepflichten beginnen vor der vollständigen Compliance. Hersteller müssen innerhalb kurzer Fristen melden:

aktiv ausgenutzte Schwachstellen ihrer Produkte,
schwerwiegende Cybersicherheitsvorfälle, die die Sicherheit des Produkts betreffen.

Die Meldungen gehen über eine zentrale Plattform an ENISA und erfolgen mehrstufig – von einer Frühwarnung bis zu einem detaillierten Bericht. Um diese Fristen einzuhalten, braucht ein Unternehmen Prozesse und Vorlagen im Voraus, nicht erst im Moment eines Vorfalls.

11. Dezember 2027 – vollständige CRA-Compliance

Ab diesem Datum müssen alle Produkte mit digitalen Elementen auf dem EU-Markt die CRA-Anforderungen erfüllen, eine vollständige technische Dokumentation, eine durchgeführte Konformitätsbewertung, die EU-Konformitätserklärung und das CE-Kennzeichen haben. Ein Produkt, das diese Bedingungen nicht erfüllt, darf nicht rechtmäßig in Verkehr gebracht werden.

Warum 'wir haben Zeit bis 2027' eine Falle ist

CRA-Compliance ist kein Dokument, das in letzter Minute geschrieben wird. Sie ist das Ergebnis von Prozessen, die Monate im Voraus laufen müssen:

Security by Design bedeutet Entscheidungen früh in der Entwicklung – bei einem fertigen Produkt schwer zu ändern.
Die Risikobewertung und die Bedrohungsmodellierung sind der Input für alles Weitere und müssen daher zuerst erfolgen.
Prozesse für Schwachstellenmanagement und Vorfallsmeldung müssen ab September 2026 funktionieren – mehr als ein Jahr vor der vollständigen Compliance.
Produkte der wichtigen und kritischen Klassen erfordern eine benannte Stelle, was zusätzliche Zeit kostet.

Die wichtigsten Punkte

Der CRA gilt seit dem 10.12.2024; die wesentlichen Pflichten ab dem 11.12.2027.
Meldepflichten für Schwachstellen und Vorfälle beginnen früher – am 11.09.2026.
Die Vorbereitung dauert Monate; Security by Design und Risikobewertung müssen zuerst erfolgen.
Der erste Schritt ist eine CRA-Wirkungsanalyse für Ihre Produkte.

Verwandte Leistung

CRA-Beratung

Zurück zum Blog

Alle Artikel

Schwachstellen7 Min. Lesezeit

SBOM und Schwachstellenmanagement: die praktische Grundlage der CRA-Compliance

Ohne Überblick über die Komponenten eines Produkts lassen sich Schwachstellen nicht managen. Warum ein SBOM im Kern der CRA-Compliance steht.

18. Mai 2026Artikel lesen

Rollen & Pflichten8 Min. Lesezeit

Hersteller, Importeur, Händler: wer nach dem CRA welche Pflichten hat

Der CRA teilt die Pflichten nach Rolle auf. Finden Sie heraus, in welcher Sie sich befinden – und wann sich die Rolle unerwartet ändert.

6. Mai 2026Artikel lesen

Beginnen Sie mit dem CRA, bevor die Frist Sie einholt

Eine kostenlose Beratung zeigt Ihnen schnell, wo Sie stehen und welcher Weg zur Compliance der kürzeste ist.

Beratung vereinbaren