Cybersecurity Act 2: Was CRA-Hersteller wissen müssen

CSA2 ist noch ein Vorschlag. COM(2026) 11 final würde Zertifizierung, IKT-Lieferketten und ENISA-Mandat neu ordnen.

CRA Evidence-Team Veröffentlicht 19. Februar 2026 Aktualisiert 8. Mai 2026
Vorschaukarte zur Cybersecurity-Act-2-Erläuterung: Titel links, illustratives Motiv rechts, indigofarbener Regulatorik-Akzent.
In diesem Artikel

Der Cybersecurity Act 2 (CSA2) ist nicht der Cyber Resilience Act. Es handelt sich um einen eigenständigen Kommissionsvorschlag, COM(2026) 11 final, veröffentlicht am 20. Januar 2026, der die Verordnung (EU) 2019/881 aufhebt und drei operative Blöcke einführt: einen überarbeiteten europäischen Rahmen für die Cybersicherheitszertifizierung (Titel III), einen neuen horizontalen Rahmen für IKT-Lieferketten mit Befugnissen zur Drittlandsbenennung (Titel IV) und ein gestärktes ENISA-Mandat (Titel II). Drei Monate nach der Veröffentlichung befindet sich das Dossier in der frühen Prüfung durch Parlament und Rat, nicht im Trilog.

Warum auch ein CRA-pflichtiger Hersteller dies lesen sollte. Die Zertifizierung nach dem überarbeiteten Rahmen ist der von der Kommission vorgeschlagene Weg, um die Konformität mit dem CRA, der NIS2 und weiteren Unionsrechtsakten nachzuweisen, sobald ein einschlägiges Schema existiert. Der Lieferkettenrahmen überschneidet sich mit den CRA-Pflichten nach Artikel 13 zu Komponenten Dritter. Und Artikel 100 des CSA2 schließt Stellen aus benannten Drittländern davon aus, als Konformitätsbewertungsstellen tätig zu werden, was sich unmittelbar darauf auswirkt, welche KBS Sie für die CRA-Konformität nutzen können.

Das gesamte Zusammenspiel zwischen der Frage, wie Sie das künftige Cyber-Posture-Schema nutzen können, um die Konformität mit der NIS2 nachzuweisen, wird ein wichtiger Diskussionspunkt mit den Mitgliedstaaten sein.

Maika Fohrenbach, DG CONNECT · ENISA Certification Conference, 15 April 2026 (Notizen vor Ort)

Zusammenfassung

  • Der CSA2 ist ein Kommissionsvorschlag, kein geltendes Recht. COM(2026) 11 final, 122 Artikel, 270 Seiten, Aufhebung der Verordnung (EU) 2019/881 (Cybersecurity Act von 2019). Derzeit in früher Prüfung durch Parlament und Rat.
  • Drei operative Blöcke: überarbeiteter europäischer Rahmen für die Cybersicherheitszertifizierung (Titel III), Rahmen für die Sicherheit von IKT-Lieferketten (Titel IV), gestärktes ENISA-Mandat (Titel II).
  • Der Anwendungsbereich des ECCF wird erweitert auf verwaltete Sicherheitsdienste und auf die Cyber-Posture von Stellen, nicht nur auf IKT-Produkte, -Dienste und -Prozesse (Artikel 81; Erwägungsgrund 92).
  • ENISA muss Kandidatenschemata innerhalb von 12 Monaten nach einem Kommissionsersuchen vorlegen (Artikel 73).
  • Drei Vertrauensstufen bleiben bestehen: basic, substantial, high (Erwägungsgrund 101). Die EU-Konformitätserklärung nutzt nur basic.
  • Der Lieferkettenrahmen erlaubt es der Kommission, Drittländer zu benennen, die „erhebliche und strukturelle nichttechnische Risiken" darstellen (Artikel 100). Stellen aus benannten Ländern sind von der Lieferung wesentlicher IKT-Vermögenswerte, von der öffentlichen Beschaffung dieser Vermögenswerte, von EU-Förderung sowie von Zertifizierungs- und Konformitätsbewertungstätigkeiten ausgeschlossen.
  • Der Telekom-Phaseout von Komponenten von Hochrisikolieferanten in Mobilfunknetzen ist auf 36 Monate ab Inkrafttreten begrenzt (Artikel 110). Phaseouts für Festnetz und Satellit werden später durch Durchführungsrechtsakte der Kommission festgelegt.
  • Sanktionen nach Artikel 115 gelten für Verstöße gegen Titel IV (Lieferkette): 1 %, 2 % oder 7 % des weltweiten Jahresumsatzes, je nach verletzter Bestimmung. Es gibt keine pauschale EUR-Obergrenze. Sanktionen für Titel III (Zertifizierung) werden von den Mitgliedstaaten festgelegt, ohne EU-weite Obergrenze (Artikel 97).
  • Geschätzte Compliance-Einsparungen für Unternehmen: EUR 14.6 Mrd. über fünf Jahre unter der bevorzugten Option C.2 (Folgenabschätzung §4390).
  • Geschätzte Telekom-Ersatzkosten: EUR 3.4 bis 4.3 Mrd. pro Jahr über drei Jahre für nicht aufrüstbare Geräte von Hochrisikolieferanten (Folgenabschätzung §4577, §4.4.1).
122
Artikel
in COM(2026) 11 final
36 Mon.
Telekom-Phaseout-Obergrenze
Mobilfunknetze, Artikel 110
EUR 14.6 Mrd.
Compliance-Einsparungen
über 5 Jahre, Option C.2
EUR 3.4–4.3 Mrd.
Telekom-Ersatzkosten
pro Jahr über 3 Jahre

Quellen: COM(2026) 11 final (Artikel- und Seitenzahl); begleitende Folgenabschätzung SWD(2026) 11 final, Abschnitte 4.3.3 und 4.4.1.

Was der CSA2 tatsächlich vorschlägt

Die Kommission stützt den Vorschlag auf vier Ziele. Drei sind Reformen bestehender Instrumente, eines ist neu.

ThemaWas sich ändertWarum CRA-Teams das betrifftFundstelle
ZertifizierungsrahmenTitel III Der Anwendungsbereich würde über IKT-Produkte, -Dienste und -Prozesse hinaus auf verwaltete Sicherheitsdienste und die Cyber-Posture von Stellen ausgeweitet. Künftige Schemata könnten Teil des Nachweises der CRA-Konformität werden. Artikel 73; 12 Monate für ENISA.
IKT-LieferketteTitel IV Risikobewertungen könnten zu Drittlandsbenennungen und Ausschlüssen bei IKT-Vermögenswerten, Beschaffung und EU-Förderung führen. KBS, Lieferanten oder Komponentenquellen können für regulierte Kunden wegfallen. Artikel 99-100.
Cyber-PostureNIS2-Vereinfachung Ein Cyber-Posture-Schema könnte eine Zertifizierung über mehrere Unionsrechtsakte hinweg ermöglichen. Für Planung nützlich, aber die NIS2-Verknüpfung bleibt verhandlungsabhängig. Politische Stoßrichtung, kein festes Recht.
ENISA-MandatTitel II ENISA würde klarere Rollen bei Schemata, Meldungen, Reservekapazität, Schwachstellen und Attestierung erhalten. EU-Melde- und Schwachstelleninfrastruktur würde stärker zentralisiert. Single Entry Point; EU-Cybersicherheitsreserve; EUVD.

Schemalandschaft: Wo die vier Stränge stehen

CSA2 ist nur ein Teil des EU-Zertifizierungsbildes. Diese Übersicht trennt Schemata, die bereits live oder in Konsultation sind, vom Cyber-Posture-Schema, das noch CSA2-Vorschlag ist und weiter von Verhandlungen mit den Mitgliedstaaten abhängt.

EUCCLive
Produkte

29 Zertifikate, 28 KBS, alle auf CC-1.

EUDI WalletKonsultation
Dienste + eID

Gestartet am 3. Apr. 2026. Finaler Text Sep.-Okt. erwartet.

EU MSSEntwurf v4
Managed Security Services

v4 veröffentlicht am 9. Apr. 2026. Öffentliche Konsultation startet im Juli.

Cyber-PostureVerhandlung
Stellen · CSA2-Vorschlag

Die Verknüpfung Zertifizierung-NIS2 ist mit den Mitgliedstaaten noch offen.

Der Lieferkettenrahmen, Schritt für Schritt

Dies ist der politisch heikelste Teil des Vorschlags. Der Mechanismus läuft sequentiell ab, wobei jeder Schritt auf einem konkreten Artikel beruht. Die nachfolgenden Artikelnummern beziehen sich auf COM(2026) 11 final.

  1. Risikobewertung (Artikel 99). Die Kommission oder mindestens drei Mitgliedstaaten können eine koordinierte Risikobewertung einer IKT-Lieferkette anfordern. Die Bewertung ist innerhalb von sechs Monaten abzuschließen. Ein Notfallverfahren ist für Fälle vorgesehen, in denen ein sofortiges Eingreifen gerechtfertigt ist.
  2. Drittlandsbenennung (Artikel 100). Stellt ein Drittland „erhebliche und strukturelle nichttechnische Risiken" für IKT-Lieferketten dar, kann die Kommission es benennen. In diesem Land niedergelassene oder von ihm kontrollierte Stellen sind von der Lieferung von IKT-Komponenten für wesentliche IKT-Vermögenswerte, von zugehöriger öffentlicher Beschaffung, von EU-Förderprogrammen und von der Tätigkeit als Konformitätsbewertungsstelle ausgeschlossen.
  3. Minderungsmaßnahmen (Artikel 101 bis 103). Die Kommission kann durch Durchführungsrechtsakt verlangen, dass Stellen in Sektoren mit hoher Kritikalität bestimmte Minderungsmaßnahmen umsetzen, einschließlich Verboten der Verwendung von Komponenten gelisteter Hochrisikolieferanten.
  4. Identifikation wesentlicher IKT-Vermögenswerte (Artikel 102 und 103). Die Kommission legt durch Durchführungsrechtsakt fest, welche IKT-Vermögenswerte je Sektor als „wesentlich" gelten. Anhang II definiert bereits vorab wesentliche IKT-Vermögenswerte für mobile, feste und satellitengestützte elektronische Kommunikationsnetze.
  5. Listen von Hochrisikolieferanten (Artikel 104). Die Kommission veröffentlicht Listen von Hochrisikolieferanten auf Grundlage von Bewertungen zu Niederlassung, Eigentum und Kontrolle, nach Anhörung der betroffenen Lieferanten und der zuständigen Behörden. Die Artikel 105 bis 107 regeln ein Befreiungsverfahren und ein öffentliches Register der Befreiungsentscheidungen.
Telekom ist der erste betroffene Sektor

Anhang II definiert vorab die wesentlichen IKT-Vermögenswerte für mobile, feste und satellitengestützte elektronische Kommunikationsnetze. Der Phaseout von Komponenten von Hochrisikolieferanten in Mobilfunknetzen ist auf 36 Monate ab Inkrafttreten begrenzt (Artikel 110). Phaseout-Fristen für Fest- und Satellitennetze bleiben Durchführungsrechtsakten der Kommission vorbehalten. Die Folgenabschätzung schätzt einmalige Ersatzkosten von EUR 3.4 bis 4.3 Mrd. pro Jahr über drei Jahre für nicht aufrüstbare Geräte, abgeleitet aus den EU-5G-Investitionen seit 2019 und einem Hochrisiko-Anteil von 32 bis 40 % (Folgenabschätzung §4577, §4.4.1).

Sanktionen: prozentuale Obergrenzen, kein pauschaler EUR-Betrag

Die Sanktionsstruktur ist eine Stelle, an der Lesarten des CSA2 häufig fehlgehen. Artikel 115 legt die Höchstsanktionen für Verstöße gegen Titel IV (den Lieferkettenrahmen) fest. Die Obergrenze ist ausschließlich ein Prozentsatz des weltweiten Jahresumsatzes, eine pauschale EUR-Obergrenze gibt es nicht.

Verletzte BestimmungHöchstsanktionQuelle
Artikel 103 Absatz 2 Buchstabe a · Zusammenarbeit mit der Kommission1 % des weltweiten JahresumsatzesArtikel 115 Absatz 5
Artikel 103 Absatz 2 Buchstaben b–g · Pflichten zu Minderungsmaßnahmen2 % des weltweiten JahresumsatzesArtikel 115 Absatz 6
Artikel 103 Absatz 1 · primäre Minderungspflichten; Artikel 111 · Telekom-Verbote7 % des weltweiten JahresumsatzesArtikel 115 Absatz 7
Titel III · Verstöße gegen den ZertifizierungsrahmenVon den Mitgliedstaaten festgelegt; „wirksam, verhältnismäßig und abschreckend"; keine EU-weite ObergrenzeArtikel 97

Die 7-%-Stufe trifft am unmittelbarsten Telekom-Betreiber, denn sie deckt Artikel 111 ab (das telekom-spezifische Verbot des Einbaus oder der Integration von IKT-Komponenten von Hochrisikolieferanten).

Wo dies mit dem CRA verzahnt ist

Der CSA2 ändert den CRA nicht. Er verändert jedoch drei Dinge in dessen Umfeld.

Komponenten-Sorgfaltspflicht nach Artikel 13

CRA-Artikel 13 verlangt von Herstellern bereits Sorgfaltspflicht bei Komponenten Dritter. Der CSA2 erhöht den Preis für Versäumnisse. Enthält Ihr Produkt Komponenten eines später als Hochrisiko-Lieferant benannten Anbieters, und ist Ihr Kunde in einem Sektor tätig, der von den Anhängen I oder II der Richtlinie (EU) 2022/2555 (NIS2) erfasst wird, kann Ihr Kunde durch Durchführungsrechtsakt verpflichtet werden, diese Komponenten zu ersetzen. Das wirkt sich auf Ihre Roadmap aus. Zur praktischen Lesart der CRA-Komponenten-Sorgfaltspflicht siehe den Leitfaden zur Einführer-Verifikation.

Konformitätsbewertungsstellen dürfen nicht aus benannten Ländern stammen

Artikel 100 Absatz 2 schließt Stellen aus benannten Drittländern von der Durchführung der Konformitätsbewertung aus. Wenn Sie planen, eine KBS zu nutzen, deren Eigentümer- oder Kontrollstruktur sie bei einer künftigen Benennungsentscheidung in eine ungünstige Lage bringen könnte, ist die KBS-Wahl selbst nun Teil Ihres Lieferkettenrisikos. Zur Modulwahl, solange CSA-verankerte Schemata noch im Entwurf sind, siehe den Leitfaden zur Konformitätsbewertung.

Single Entry Point für die Vorfallmeldung

Der Kommissionsvorschlag beauftragt ENISA, die bestehende Single Reporting Platform (die Plattform, die im Rahmen von CRA-Artikel 16 Absatz 1 der Verordnung (EU) 2024/2847 eingerichtet wurde) zu pflegen und zu einem Single Entry Point auszubauen, der die Vorfallmeldung über NIS2, CRA, DORA und weitere Unionsrechtsakte hinweg konsolidiert. Dies ist eine Erweiterung eines bestehenden CRA-Werkzeugs, keine neue CSA2-Erfindung. Hersteller, die ihren CRA-Meldefluss bereits gestalten, sollten ihn von Anfang an regulierungsneutral aufbauen.

Cyber-Posture und CRA-Konformität, ehrlich betrachtet

Das Cyber-Posture-Schema ist der Leitmechanismus, mit dem die Kommission argumentiert, dass „eine Zertifizierung, mehrere Verordnungen" erreichbar sei. Es ist politische Stoßrichtung, keine festgeschriebene Bestimmung. Zwei Punkte sind noch nicht geklärt: ob die Mitgliedstaaten die Verknüpfung Zertifikat–NIS2 in der Verhandlung akzeptieren, und wie die Durchführungsverordnung zur maximalen Harmonisierung über den nationalen NIS2-Umsetzungen sitzen wird. Dieselbe Frage betrifft, ob ein künftiges CRA-verankertes CSA-Schema Hersteller von gesonderten Anhang-VIII-Modulbewertungen entlasten würde oder lediglich neben sie tritt. Wir verfolgen dies in den Notizen vor Ort der ENISA-Konferenz.

Was offen ist, nicht der Zeitplan

Wird der CSA2 vor der vollständigen Anwendung des CRA verabschiedet?

Die vollständige Anwendung des CRA ist auf den 11. Dezember 2027 festgelegt. Der CSA2 wurde am 20. Januar 2026 im ordentlichen Gesetzgebungsverfahren veröffentlicht (2026/0011 (COD)). Drei Monate später befindet sich das Dossier im Ausschuss- und Ratsarbeitsgruppenstadium. Der Trilog ist Monate entfernt. Eine Verabschiedung vor der vollständigen CRA-Anwendung ist möglich, aber nicht gesichert, und die Folgenabschätzung legt sich auf kein Datum fest.

Häufig gestellte Fragen

Ist der CSA2 dasselbe wie der Cyber Resilience Act?

Nein. Der CRA (Verordnung (EU) 2024/2847) regelt Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Der CSA2 (COM(2026) 11 final) überarbeitet den Cybersicherheitszertifizierungsrahmen der Union, schafft einen horizontalen Rahmen für IKT-Lieferketten und stärkt das ENISA-Mandat. Es sind eigenständige Instrumente. Der CSA2 ändert weder CRA-Pflichten noch CRA-Fristen. Er ändert jedoch die Zertifizierungswege und Lieferantenregeln, die ein CRA-Hersteller nutzen kann oder muss. Zum CRA-Umsetzungszeitplan siehe unseren CRA-Umsetzungszeitplan 2025–2027.

Wann tritt der CSA2 in Kraft?

Der Vorschlag wurde am 20. Januar 2026 im ordentlichen Gesetzgebungsverfahren veröffentlicht. Drei Monate später befindet sich das Dossier in der frühen Prüfung durch Parlament und Rat. Der Trilog ist frühestens in einigen Monaten zu erwarten, und die Verabschiedung hängt vom Verhandlungsergebnis ab. Die Kommission hat sich auf kein Datum festgelegt. Verfolgen Sie den Fortschritt über den EUR-Lex-Verfahrensverfolger zu 2026/0011 (COD) und über unseren Bericht zur ENISA Certification Conference 2026.

Ändert der CSA2 meine CRA-Pflichten oder -Fristen?

Nein. Die CRA-Meldepflichten beginnen im September 2026, und die vollständige Anwendung bleibt der 11. Dezember 2027. Der CSA2 würde, falls verabschiedet, zusätzliche Zertifizierungswege einführen, die später zur Demonstration der CRA-Konformität genutzt werden könnten. Er würde außerdem Lieferkettenregeln einführen, die beeinflussen, welche KBS und welche Lieferanten ein Hersteller rechtmäßig nutzen kann. Bis zur Verabschiedung des CSA2 planen Sie gegen den CRA in seiner derzeitigen Fassung. Siehe den Leitfaden zur Konformitätsbewertung.

Wird eine einzige europäische Cybersicherheitszertifizierung CRA, NIS2 und DORA gleichzeitig abdecken?

Dies ist die erklärte politische Stoßrichtung der Kommission. Es ist keine festgeschriebene Bestimmung. Fohrenbach (DG CONNECT) bezeichnete auf der ENISA-Konferenz am 15. April 2026 die Verknüpfung zwischen Cyber-Posture-Zertifizierung und NIS2-Konformität als „verhandlungsabhängig" mit den Mitgliedstaaten. Bei künftigen CSA-Schemata soll die Abstimmung mit bestehender Gesetzgebung bereits ab dem Antragsstadium mitkonzipiert werden; beim EUCC erfolgt diese Arbeit nachträglich. Behandeln Sie es als politische Stoßrichtung, nicht als Tatsache, auf die sich heute ein Compliance-Plan stützen lässt.

Was ist das Cyber-Posture-Schema?

Ein vorgeschlagenes CSA2-Schema, das es Stellen (nicht Produkten) erlaubt, ihre gesamten Cybersicherheits-Risikomanagementmaßnahmen zu zertifizieren (Erwägungsgründe 92 bis 94 von COM(2026) 11 final). Es ist der Vorzeige-Anwendungsfall für die ECCF-Anwendungsbereichserweiterung auf Stellen. Die Kommission rahmt es als Weg für NIS2-pflichtige Stellen, die Einhaltung der Risikomanagementpflichten nachzuweisen, mit maximaler Harmonisierung über eine Durchführungsverordnung, die über den nationalen NIS2-Umsetzungen sitzt. Die Mechanik, die dies über 27 Mitgliedstaaten hinweg belastbar machen würde, ist offener Verhandlungspunkt.

Mein Produkt nutzt Komponenten eines Nicht-EU-Lieferanten. Sollte ich jetzt auf den Lieferkettenrahmen reagieren?

Ja, in zwei konkreten Punkten, die beide nicht von einer CSA2-Verabschiedung abhängen. Erstens: Erfassen Sie das Ursprungsland der Komponenten in Ihren SBOMs. Der CRA erwartet dies bereits nach Artikel 13; der CSA2 erhöht die Folgen, falls Sie es nicht können. Zweitens: Wenn Sie in Telekom oder einen unter NIS2-Anhänge I oder II fallenden Sektor verkaufen, identifizieren Sie jede Exposition gegenüber Lieferanten, die plausibel benannt werden könnten, und starten Sie einen Plan für alternative Bezugsquellen. Stellen Sie Ihre CRA-Konformitätsstrategie nicht auf den CSA2 um, bevor er verabschiedet ist. Siehe den SBOM-Erstellungsleitfaden und den Leitfaden zur Einführer-Verifikation.

Berührt der CSA2 das EUCC, und hilft das EUCC beim CRA?

Der CSA2 belässt das EUCC und die anderen verabschiedeten Schemata in Kraft. Davon getrennt hat die Kommission ihre Absicht erklärt, bis Ende 2026 zu spezifizieren, wie das EUCC zur Demonstration der CRA-Konformität genutzt werden kann. ENISA betreibt 18 Pilotprojekte zur EUCC-zu-CRA-Konformitätsvermutung (Fohrenbach, DG CONNECT, ENISA-Konferenz am 15. April 2026). Zur produktrelevantesten CRA-nahen Schemaarbeit bisher siehe unsere Analyse zum EUDI-Wallet-Schema.

Welche Sanktionen sieht der CSA2 vor?

Artikel 115 legt Sanktionsobergrenzen für Verstöße gegen Titel IV (Lieferkette) als Prozentsatz des weltweiten Jahresumsatzes fest, ohne pauschale EUR-Obergrenze: 1 % bei Verstößen gegen die Zusammenarbeitspflicht nach Artikel 103 Absatz 2 Buchstabe a, 2 % bei den übrigen Verstößen gegen Minderungsmaßnahmen nach Artikel 103 Absatz 2 und 7 % bei Verstößen gegen die primären Minderungspflichten nach Artikel 103 Absatz 1 sowie gegen die telekom-spezifischen Verbote nach Artikel 111. Verstöße gegen Titel III (Zertifizierungsrahmen) werden von den Mitgliedstaaten sanktioniert, ohne EU-weite Obergrenze; Artikel 97 verlangt lediglich, dass die Sanktionen „wirksam, verhältnismäßig und abschreckend" sind.

Nächste Schritte

Was in diesem Quartal zu tun ist

  1. Lesen Sie die Vorschlagsseite der Kommission zu COM(2026) 11 final und die begleitende Folgenabschätzung.
  2. Wenn Sie in Telekom verkaufen (Mobilfunk-, Festnetz- oder Satellitennetze), identifizieren Sie jede Exposition gegenüber Komponenten von Hochrisikolieferanten nach Anhang II und starten Sie jetzt einen 36-Monats-Ersatzplan, vorbehaltlich der Verabschiedung.
  3. Erfassen Sie das Komponenten-Ursprungsland in Ihren SBOMs. Der CRA erwartet dies bereits nach Artikel 13; der CSA2 erhöht den Preis für Versäumnisse. SBOM-Erstellungsleitfaden.
  4. Stellen Sie Ihre CRA-Konformitätsstrategie noch nicht auf ein künftiges Cyber-Posture- oder EUCC-zu-CRA-Schema um. Bleiben Sie auf dem Modulpfad nach Anhang VIII. Leitfaden zur Konformitätsbewertung.
  5. Verfolgen Sie den Trilog und den Meilenstein EUCC-zu-CRA Ende 2026 über unseren Bericht zur ENISA Certification Conference 2026.

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Für konkrete Compliance-Fragen wenden Sie sich an qualifizierten Rechtsbeistand. Primärquellen: COM(2026) 11 final und seine Anhänge, begleitende Folgenabschätzung SWD(2026) 11 final, abrufbar in der Digital-Strategy-Bibliothek der Europäischen Kommission.

CRA Compliance Lieferkette Certification
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyber Resilience Act fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
Produktklassifizierung

Wie der CRA Produkte nach Risikoklassen einteilt und was jede Kategorie für die Pflichten bedeutet.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
View full CRA compliance guide