Wer ist vom Cyber Resilience Act betroffen?

Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der EU auf den Markt gebracht werden. Erfasst sind Hardware (z. B. IoT-Geräte, vernetzte Sensoren, Smart-Home-Produkte), Software (Betriebssysteme, Anwendungen, Firmware) sowie Komponenten, die selbst kein Endprodukt sind, aber in Endprodukte integriert werden. Open-Source-Software ist nur dann erfasst, wenn sie kommerziell vertrieben oder im Rahmen einer Geschäftstätigkeit bereitgestellt wird.

Seit wann gilt der CRA?

Der Cyber Resilience Act (Verordnung EU 2024/2847) ist am 10. Dezember 2024 in Kraft getreten. Die Hauptpflichten gelten ab dem 11. Dezember 2027 — Hersteller haben damit eine dreijährige Übergangsfrist. Bereits ab dem 11. September 2026 gelten allerdings die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.

Was sind die Kern-Pflichten des CRA?

Hersteller müssen Cybersicherheit Security-by-Design integrieren, ein dokumentiertes Schwachstellen-Management einrichten, kostenlose Sicherheitsupdates über die erwartete Produktlebensdauer (mindestens fünf Jahre) bereitstellen, technische Dokumentation und eine EU-Konformitätserklärung erstellen sowie ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb von 24 Stunden an die ENISA und die nationale Behörde melden.

Wie unterscheidet sich der CRA von NIS2?

Der CRA richtet sich an Hersteller von Produkten mit digitalen Elementen und reguliert das Produkt selbst, während NIS2 sich an Betreiber von Diensten in 18 Sektoren richtet und deren organisatorische Cybersicherheit reguliert. Ein Unternehmen kann gleichzeitig von beiden erfasst sein — z. B. ein Industriebetrieb, der NIS2-pflichtig ist und gleichzeitig vernetzte Sensoren in den Markt bringt, die unter den CRA fallen.

Welche Strafen drohen bei Verstößen?

Bei wesentlichen Verstößen drohen Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes des Vorjahres. Für andere Verstöße gelten Höchstgrenzen von 10 Mio. € bzw. 2 %. Daneben kann die Marktaufsicht das Inverkehrbringen, die Bereitstellung oder die Nutzung eines Produkts untersagen und einen Rückruf anordnen.

GlossarDefinition

Was ist der Cyber Resilience Act (CRA)?

Zuletzt aktualisiert: 20. Mai 2026

Kurz erklärt: Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die Hersteller von Produkten mit digitalen Elementen verpflichtet, Cybersicherheit bereits in der Entwicklung zu berücksichtigen, regelmäßig Sicherheitsupdates bereitzustellen und ausgenutzte Schwachstellen sowie schwerwiegende Vorfälle binnen 24 Stunden an die ENISA und die nationale Behörde zu melden. Die Verordnung gilt für nahezu alle vernetzten Produkte — von Smart-Home-Geräten und Industrie-4.0-Sensoren bis zu Software, SaaS-Komponenten und Open-Source-Bibliotheken im kommerziellen Einsatz. Bei Verstößen drohen Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.

Der Cyber Resilience Act (CRA, formell Verordnung (EU) 2024/2847) ist die zentrale EU-Verordnung zur Cybersicherheit von Produkten mit digitalen Elementen. Sie schließt eine entscheidende Lücke im EU-Recht: NIS2 reguliert Organisationen, der CRA reguliert die Produkte, die diese Organisationen herstellen oder einsetzen.

Foundational Facts

EU-Rechtsakt: Verordnung (EU) 2024/2847, in Kraft seit 10. Dezember 2024
Hauptpflichten anwendbar ab: 11. Dezember 2027 (dreijährige Übergangsfrist)
Meldepflichten anwendbar ab: 11. September 2026
Rechtscharakter: EU-Verordnung (direkt anwendbar, keine nationale Umsetzung erforderlich)
Anwendungsbereich: alle Produkte mit digitalen Elementen, die in der EU auf den Markt gebracht werden

Was sind „Produkte mit digitalen Elementen”?

Der CRA definiert den Begriff sehr weit:

Hardware mit digitalen Komponenten — IoT-Geräte, Smart-Home, vernetzte Sensoren, Industrie-4.0-Geräte, Router, Webcams, Drucker
Software — Betriebssysteme, Anwendungen, Firmware, mobile Apps
Komponenten und Software-Bibliotheken, die in Endprodukte integriert werden (auch SDKs und Frameworks)

Open Source ist nur erfasst, wenn die Software kommerziell vertrieben oder im Rahmen einer Geschäftstätigkeit bereitgestellt wird. Reine Hobby-/Community-Projekte sind ausgenommen.

Produkt-Kategorien nach Risiko

Der CRA unterscheidet drei Risiko-Kategorien:

Standard-Produkte (~90 % aller Produkte) — Selbstbewertung der Konformität durch den Hersteller reicht
Wichtige Produkte (Klasse I + II) — z. B. Passwort-Manager, VPNs, Firewalls, EDR, Smart-Home-Hubs, smarte Industrie-Komponenten. Strengere Konformitätsbewertung notwendig
Kritische Produkte — z. B. Hardware-Sicherheitsmodule (HSM), Smartcards mit Sicherheitsfunktionen, Hardware-Sicherheits-Chips. Verpflichtende europäische Zertifizierung

Kern-Pflichten der Hersteller

Security-by-Design

Cybersicherheit muss bereits in der Produktentwicklung berücksichtigt werden. Konkret:

Risikobewertung bei jedem neuen Produkt
Sichere Default-Konfiguration (z. B. keine Standard-Passwörter)
Minimierung der Angriffsfläche
Schutz vor unautorisiertem Zugriff
Datenintegrität und Vertraulichkeit by design

Schwachstellen-Management

Dokumentiertes Schwachstellen-Handling-Verfahren
Software Bill of Materials (SBOM) — Auflistung aller verwendeten Komponenten und Bibliotheken
Verpflichtende Coordinated Vulnerability Disclosure-Strategie
Kostenlose Sicherheitsupdates über die erwartete Produktlebensdauer, mindestens 5 Jahre

Meldepflichten

Ab dem 11. September 2026 gilt ein gestaffelter Meldeprozess für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle:

24 Stunden: Frühwarnung an ENISA und nationale Behörde
72 Stunden: detaillierte Vorfallsmeldung
14 Tage (bei Schwachstellen): umfassender Bericht inkl. Abhilfemaßnahmen

Konformitätsbewertung und CE-Kennzeichnung

Vor Inverkehrbringen muss ein Produkt eine Konformitätsbewertung durchlaufen — bei Standard-Produkten durch Selbstbewertung, bei wichtigen Produkten teils durch benannte Stellen. Das Produkt wird mit einer CE-Kennzeichnung versehen, ergänzt um die CRA-Konformitätserklärung.

CRA vs. NIS2 — Abgrenzung

Dimension	CRA	NIS2
Reguliert wird	das Produkt	die Organisation
Adressat	Hersteller, Importeur, Händler	Betreiber wesentlicher/wichtiger Dienste
Anwendungsbereich	alle Produkte mit digitalen Elementen	18 Sektoren
Rechtsform	EU-Verordnung	EU-Richtlinie (national umzusetzen)
Volle Anwendbarkeit	11. Dezember 2027	18. Oktober 2024 (national 2025/2026)
Bußgeld-Obergrenze	15 Mio. € / 2,5 %	10 Mio. € / 2 %

Bedeutung für KMU

Auch für mittelständische Unternehmen ist der CRA relevant — auf zwei Ebenen:

Als Hersteller: Wer Software, Apps oder vernetzte Hardware in den Markt bringt (auch in Nischen, B2B oder Embedded), wird ab 2027 voll erfasst. Die Übergangsfrist ist knapp — drei Jahre vergehen schnell, wenn ein Produkt seinen kompletten Entwicklungszyklus auf neue Anforderungen umstellen muss.

Als Käufer: Auch wer „nur” einkauft, profitiert. Ab 2027 müssen alle Produkte mit digitalen Elementen in der EU CRA-konform sein. Das hebt das Mindestniveau der Cybersicherheit über die gesamte Lieferkette an — von der Smart-Home-Komponente bis zum Industrie-Sensor.

Weiterführende Links

Häufige Fragen

Wer ist vom Cyber Resilience Act betroffen?: Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der EU auf den Markt gebracht werden. Erfasst sind Hardware (z. B. IoT-Geräte, vernetzte Sensoren, Smart-Home-Produkte), Software (Betriebssysteme, Anwendungen, Firmware) sowie Komponenten, die selbst kein Endprodukt sind, aber in Endprodukte integriert werden. Open-Source-Software ist nur dann erfasst, wenn sie kommerziell vertrieben oder im Rahmen einer Geschäftstätigkeit bereitgestellt wird.
Seit wann gilt der CRA?: Der Cyber Resilience Act (Verordnung EU 2024/2847) ist am 10. Dezember 2024 in Kraft getreten. Die Hauptpflichten gelten ab dem 11. Dezember 2027 — Hersteller haben damit eine dreijährige Übergangsfrist. Bereits ab dem 11. September 2026 gelten allerdings die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.
Was sind die Kern-Pflichten des CRA?: Hersteller müssen Cybersicherheit Security-by-Design integrieren, ein dokumentiertes Schwachstellen-Management einrichten, kostenlose Sicherheitsupdates über die erwartete Produktlebensdauer (mindestens fünf Jahre) bereitstellen, technische Dokumentation und eine EU-Konformitätserklärung erstellen sowie ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb von 24 Stunden an die ENISA und die nationale Behörde melden.
Wie unterscheidet sich der CRA von NIS2?: Der CRA richtet sich an Hersteller von Produkten mit digitalen Elementen und reguliert das Produkt selbst, während NIS2 sich an Betreiber von Diensten in 18 Sektoren richtet und deren organisatorische Cybersicherheit reguliert. Ein Unternehmen kann gleichzeitig von beiden erfasst sein — z. B. ein Industriebetrieb, der NIS2-pflichtig ist und gleichzeitig vernetzte Sensoren in den Markt bringt, die unter den CRA fallen.
Welche Strafen drohen bei Verstößen?: Bei wesentlichen Verstößen drohen Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes des Vorjahres. Für andere Verstöße gelten Höchstgrenzen von 10 Mio. € bzw. 2 %. Daneben kann die Marktaufsicht das Inverkehrbringen, die Bereitstellung oder die Nutzung eines Produkts untersagen und einen Rückruf anordnen.