Ein klarer Überblick darüber, was der CRA für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen bedeutet.
Der Cyber Resilience Act (Verordnung des Europäischen Parlaments und des Rates EU 2024/2847) ist das erste europäische Gesetz, das verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen über deren gesamten Lebenszyklus festlegt.
Ziel ist, dass Hardware und Software auf dem EU-Markt bereits im Design sicherer sind, Sicherheitsupdates erhalten und Kunden genügend Informationen für die sichere Nutzung des Produkts haben.
Der CRA betrifft nahezu alle Produkte mit digitalen Elementen – physische, netzwerkfähige Geräte, IoT und eigenständige Software. Bereiche, die von anderem sektorspezifischem Recht abgedeckt sind, bleiben außerhalb seines Anwendungsbereichs, etwa bestimmte Medizinprodukte, die Luftfahrt oder Kraftfahrzeuge.
Die Pflichten treffen Hersteller, doch auch Importeure und Händler haben ihre Rollen. Ein Importeur muss prüfen, dass der Hersteller seine Pflichten erfüllt hat; ein Händler muss mit der gebotenen Sorgfalt handeln. Wer ein Produkt wesentlich verändert oder unter eigener Marke in Verkehr bringt, kann die Pflichten des Herstellers übernehmen.
CRA-Compliance ist keine einmalige Aufgabe. Sie erfordert ins Design eingebaute Sicherheit, eine Risikobewertung, Schwachstellenmanagement über den gesamten Supportzeitraum und eine vollständige Dokumentation. Das lässt sich nicht in letzter Minute bewältigen.
Hinzu kommt: Meldepflichten beginnen vor der vollständigen Compliance – bereits ab dem 11. September 2026. Die Vorbereitung sollte daher fortlaufend erfolgen, nicht als Endspurt vor der Frist.
Produkte so entwerfen, entwickeln und herstellen, dass sie ein angemessenes Maß an Cybersicherheit im Verhältnis zu den Risiken gewährleisten.
Eine Risikobewertung durchführen und dokumentieren und ihre Ergebnisse in allen Phasen des Produktlebenszyklus berücksichtigen.
Schwachstellen während des Supportzeitraums wirksam behandeln, Sicherheitsupdates bereitstellen und ein SBOM führen.
Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb festgelegter Fristen an ENISA melden (ab 11.09.2026).
Technische Dokumentation erstellen und pflegen, die die Einhaltung der CRA-Anforderungen nachweist.
Eine Konformitätsbewertung durchführen, die EU-Konformitätserklärung ausstellen und das CE-Kennzeichen anbringen.
Nutzern klare Informationen und Anleitungen für die sichere Nutzung des Produkts bereitstellen.
Einen Produkt-Supportzeitraum festlegen und einhalten – in der Regel mindestens fünf Jahre, je nach erwarteter Produktlebensdauer.
Der CRA stuft Produkte nach Risikograd ein. Die Kategorie bestimmt, ob eine interne Selbstbewertung genügt oder eine benannte Stelle einzubeziehen ist.
Die meisten Produkte. Die Konformitätsbewertung kann in der Regel intern als Selbstbewertung erfolgen.
Höheres Risiko (z. B. Passwortmanager, VPNs, Netzwerkelemente). Erfordert die Anwendung harmonisierter Normen oder die Einbeziehung einer benannten Stelle.
Noch höheres Risiko (z. B. Firewalls, Systeme zur Angriffserkennung). Eine Bewertung durch eine benannte Stelle ist in der Regel erforderlich.
Die sensibelste Kategorie mit den strengsten Anforderungen, bei der auch eine europäische Zertifizierung verlangt werden kann.
Eine kostenlose Beratung zeigt Ihnen schnell, wo Sie stehen und welcher Weg zur Compliance der kürzeste ist.
Beratung vereinbaren