CRA für deutsche Hersteller: BSI, CERT-Bund, CE-Kennzeichnung

Länderüberblick für deutsche Hersteller: BSI als Marktüberwachungs- und Notifizierungsbehörde unter dem Cyber Resilience Act, CERT-Bund, DAkkS.

CRA Evidence-Team Veröffentlicht 11. Juni 2026
CRA-Länderüberblick für deutsche Hersteller mit der nationalen Behördenkette: CERT-Bund für Schwachstellen- und Sicherheitsvorfallsmeldungen, BSI als kombinierte Marktüberwachungs- und Notifizierungsbehörde, DAkkS für die Akkreditierung
In diesem Artikel

Deutsche Hersteller unterliegen denselben CRA-Pflichten wie alle anderen EU-Hersteller. Was Deutschland auszeichnet, ist die institutionelle Zuständigkeitskette. Sie bündelt beide Rollen in einer Behörde. Das BSI soll sowohl Marktüberwachungsbehörde als auch Notifizierungsbehörde für den CRA werden. Eine Behörde, beide Rollen: Frankreich und Spanien trennen diese Aufgaben auf getrennte Stellen auf. Dieser Artikel ist ein Länderüberblick für Deutschland. Den vollständigen Pflichtenkatalog für Hersteller finden Sie im Hersteller-Cluster-Leitfaden.

Zusammenfassung

  • Der CRA ist eine EU-Verordnung mit unmittelbarer Wirkung. Es gibt keine deutschen Sonderregelungen für Produkthersteller.
  • Das BSI (Bundesamt für Sicherheit in der Informationstechnik) soll sowohl Marktüberwachungsbehörde als auch Notifizierungsbehörde für den CRA werden. Die Rechtsgrundlage bildet das Gesetz zur Durchführung der Cyberresilienz-Verordnung, das das BSI-Gesetz ändert. Es handelt sich um einen Gesetzentwurf der Bundesregierung, BT-Drs. 21/6134, der sich noch im Gesetzgebungsverfahren befindet und noch nicht verabschiedet wurde.
  • CERT-Bund, das nationale CERT innerhalb des BSI, ist der deutsche operative Ansprechpartner für CRA-Schwachstellen- und Sicherheitsvorfallsmeldungen, sofern Ihr Hauptsitz in Deutschland liegt.
  • DAkkS (Deutsche Akkreditierungsstelle) akkreditiert die Kandidaten für Konformitätsbewertungsstellen. Das BSI notifiziert diese anschließend bei der Europäischen Kommission. Der Gesetzentwurf erlaubt dem BSI, in definierten Fällen des öffentlichen Interesses eine Stelle auch ohne Akkreditierungsurkunde zu notifizieren.
  • Zum 11. Juni 2026, dem Datum, ab dem das CRA-Notifizierungsrahmenwerk Anwendung findet, zeigt die NANDO-Datenbank der Europäischen Kommission null nach dem CRA benannte notifizierte Stellen.
  • Deutsch ist für die an Nutzer gerichteten Produktinformationen vorgeschrieben, die auf dem deutschen Markt bereitgestellt werden. Die EU-Konformitätserklärung muss in der vom deutschen Recht verlangten Sprache vorliegen.
  • Deutschland bündelt die CRA-Marktüberwachung beim BSI. Die einzige Ausnahme bilden Hochrisiko-KI-Systeme, für die stattdessen die nach der KI-Verordnung zuständige Marktüberwachungsbehörde verantwortlich ist.
2
Rollen, eine Behörde
BSI überwacht und notifiziert
0
CRA-notifizierte Stellen
bisher in NANDO
Sep. 2026
Meldepflicht startet
über die ENISA-Plattform
€15M
Höchstbußgeld
oder 2,5 % des weltweiten Umsatzes

BSI: Marktüberwachung und Notifizierung in einer Hand

Das ist die deutsche Besonderheit. Der Gesetzentwurf zur Durchführung des CRA benennt das BSI im selben Gesetz als Marktüberwachungsbehörde und als notifizierende Behörde. Die Notifizierungsbehörde entscheidet, welche Konformitätsbewertungsstellen zu notifizierten Stellen werden. Die Marktüberwachungsbehörde überwacht Produkte, die bereits auf dem Markt sind. In Deutschland liegen beide Aufgaben beim BSI.

Einige Mitgliedstaaten handhaben das ebenso. Andere verteilen die beiden Rollen auf getrennte Stellen.

MitgliedstaatNotifizierungsbehördeMarktüberwachungMeldeempfänger CSIRT
Deutschland BSI BSI CERT-Bund
Italien ACN ACN CSIRT Italia
Niederlande RDI RDI NCSC-NL
Frankreich ANSSI ANFR CERT-FR
Spanien CCN SETID INCIBE-CERT

Benannte oder erwartete nationale Behörden. Für mehrere stehen die nationalen Umsetzungsakte noch aus.

Die Rechtsgrundlage ist das Gesetz zur Durchführung der Cyberresilienz-Verordnung, das das BSI-Gesetz (BSIG) ändert. Es handelt sich um einen Gesetzentwurf der Bundesregierung, veröffentlicht als Bundestags-Drucksache BT-Drs. 21/6134.

Noch Gesetzentwurf, noch kein Gesetz

Das Durchführungsgesetz, das dem BSI diese Rollen überträgt, ist ein Gesetzentwurf der Bundesregierung und befindet sich noch im Gesetzgebungsverfahren. Planen Sie auf Basis des BSI, prüfen Sie aber den verabschiedeten Gesetzestext, bevor Sie eine formelle Meldung einreichen.

Als designierte Marktüberwachungsbehörde würde das BSI die CRA-Durchsetzungsbefugnisse erhalten. Es kann Korrekturmaßnahmen anordnen, ein Produkt einschränken, zurückziehen oder einen Rückruf anordnen und bei den schwerwiegendsten Verstößen Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängen. Den vollständigen Stufenaufbau der Sanktionen erläutert der Leitfaden zu Strafen und Durchsetzung.

Wenn der Gesetzentwurf so verabschiedet wird, schreibt eine einzige Behörde die deutschen Auslegungshinweise, entscheidet über Ihre Zertifizierungsstelle und überwacht Sie anschließend. Diese Konzentration ist planerisch relevant. Das BSI ist Ihr Referenzpunkt in nahezu jedem Schritt. Es veröffentlicht CRA-Leitlinien, Herstellerflyer und einen KMU-Helpdesk auf seiner offiziellen Cyber-Resilience-Act-Seite.

CERT-Bund: der deutsche Meldeweg

CRA-Meldungen gehen an das CSIRT, das als Koordinator des Mitgliedstaats benannt ist, in dem der Hersteller seinen Hauptsitz hat, also den Ort, an dem Ihre Cybersicherheitsentscheidungen überwiegend getroffen werden, nicht nur eine Verkaufsniederlassung. Für einen in Deutschland ansässigen Hersteller ist CERT-Bund, das nationale CERT innerhalb des BSI, der operative Ansprechpartner. Die formelle Koordinatorbenenennung wird über ENISA veröffentlicht. Prüfen Sie diese daher vor Ihrer ersten Meldung, statt sie vorauszusetzen. Liegt Ihr Hauptsitz in einem anderen Mitgliedstaat und Sie liefern nur nach Deutschland, laufen Ihre Meldungen über das CSIRT dieses Mitgliedstaats, nicht über CERT-Bund. Die deutschen Sprachanforderungen unten gelten aber weiterhin für alles, was Sie auf dem deutschen Markt bereitstellen.

Der CRA trennt die Meldepflicht in zwei Ströme mit unterschiedlichen Fristen. Eine aktiv ausgenutzte Schwachstelle erfordert eine Frühwarnung binnen 24 Stunden, eine Schwachstellenmeldung binnen 72 Stunden und einen abschließenden Bericht spätestens 14 Tage nach Verfügbarkeit einer Korrektur- oder Abhilfemaßnahme. Ein schwerwiegender Sicherheitsvorfall erfordert eine Frühwarnung binnen 24 Stunden, eine Vorfallsmeldung binnen 72 Stunden und einen abschließenden Bericht innerhalb eines Monats nach der Vorfallsmeldung. Die 14-Tage-Frist und die Ein-Monats-Frist sind nicht austauschbar. Der Leitfaden zu Schwachstellenbehandlung und Meldepflicht arbeitet beide durch.

Sie melden über die ENISA-Single-Reporting-Plattform, die am 11. September 2026 in Betrieb geht, mit CERT-Bund als empfangendem Koordinator und gleichzeitigem Zugang über ENISA. Der ENISA-Plattform-Einrichtungsleitfaden erläutert die Registrierung. Aktuelle Meldekontakte finden Sie auf der CERT-Bund-Seite.

Notifizierte Stellen: DAkkS akkreditiert, BSI notifiziert

Eine notifizierte Stelle benötigen Sie nur für bestimmte Produkte, hauptsächlich die wichtigen und kritischen Produktklassen, und nur dann, wenn harmonisierte Normen oder ein Zertifizierungsschema Ihre Situation nicht bereits abdecken. Der Konformitätsbewertungsleitfaden ordnet Ihre Produktklasse dem jeweiligen Weg zu.

Die deutsche Kette hat zwei Stufen:

  • DAkkS (Deutsche Akkreditierungsstelle) ist die nationale Akkreditierungsstelle. Sie bewertet die fachliche Kompetenz einer Kandidaten-Konformitätsbewertungsstelle gemäß Verordnung (EG) Nr. 765/2008.
  • Das BSI notifiziert die akkreditierte Stelle anschließend bei der Europäischen Kommission. Danach erscheint sie in NANDO als CRA-notifizierte Stelle.

Es gibt eine bemerkenswerte deutsche Besonderheit. Der Gesetzentwurf, BT-Drs. 21/6134, erlaubt dem BSI, eine Stelle ohne Akkreditierungsurkunde zu notifizieren, wenn definierte Voraussetzungen des öffentlichen Interesses vorliegen. Der Entwurf knüpft das an das Ziel der Verordnung, wonach die Mitgliedstaaten bis zum 11. Dezember 2026 für eine ausreichende Anzahl notifizierter Stellen sorgen sollen, um Engpässe zu vermeiden. Die Ausnahme besteht, weil der normale Akkreditierungsweg bis dahin möglicherweise nicht genug Stellen hervorbringt. Das ist ein Signal: Deutschland erwartet knappe Kapazitäten bei notifizierten Stellen.

Das Kapazitätsproblem ist real und betrifft die gesamte EU. Das CRA-Notifizierungsrahmenwerk gilt ab dem 11. Juni 2026. Zu diesem Datum zeigt NANDO null nach dem CRA benannte notifizierte Stellen in der gesamten Union. Benennen Sie keine deutsche Stelle als CRA-designiert, bevor sie in NANDO erscheint. Ein deutscher Hersteller kann jede EU-notifizierte Stelle nutzen, sobald Benennungen vorliegen, nicht nur eine deutsche. Die Wahl einer deutschen Stelle ist eine Beschaffungspräferenz, keine CRA-Anforderung.

BSI TR-03183: warum Sie ihr in der deutschen Beschaffung begegnen werden

Das BSI veröffentlicht die technische Richtlinie BSI TR-03183 mit Teilen zu Hersteller- und Produktanforderungen, zur Software Bill of Materials und zu Schwachstellenmeldungen. Es handelt sich um vorläufige technische Orientierung, keine harmonisierte Norm. Sie gewährt daher nicht die Konformitätsvermutung, die eine harmonisierte Norm begründen würde.

Sie spielt in Deutschland trotzdem eine praktische Rolle. Das BSI soll Ihre Marktüberwachungsbehörde werden und ist bereits ein wichtiger Referenzpunkt in der deutschen öffentlichen und industriellen Beschaffung. Deutsche Käufer werden TR-03183 voraussichtlich zitieren, weil es die CRA-orientierte technische Richtlinie des BSI ist. Betrachten Sie sie als Maßstab, den deutsche Vertragspartner anlegen werden, und als sinnvolles internes Ziel, solange harmonisierte Normen noch erarbeitet werden. Der BSI TR-03183-Leitfaden erläutert die erforderlichen Datenfelder und Qualitätsstufen im Detail.

Deutschsprachige Anforderungen in der Praxis

Der CRA knüpft die Sprachanforderung an die Zielgruppe, nicht an eine pauschale Regel. Benutzergerichtete Informationen müssen in einer für Nutzer und die Marktüberwachungsbehörde leicht verständlichen Sprache vorliegen. Für Produkte, die auf dem deutschen Markt bereitgestellt werden, ist das Deutsch.

Muss auf Deutsch vorliegen:

  • Die dem Produkt beigefügten Informationen und Gebrauchsanweisungen für den Nutzer.
  • Die Herstellerkontaktdaten, wo immer sie erscheinen: auf dem Produkt, der Verpackung oder einem Begleitdokument.
  • Das am Verkaufsort angegebene Ende des Supportzeitraums.

Kann mehrsprachig sein:

  • Die CE-Kennzeichnung und das Produktetikett.
  • Verpackungstext und Online-Dokumentation, sofern eine deutsche Version erreichbar ist.

Englisch ist in der Regel zulässig für:

  • Interne technische Dokumentation. Auf begründeten Antrag kann das BSI verlangen, dass sie in einer für die Behörde leicht verständlichen Sprache vorliegt. Planen Sie das ein, auch wenn Sie nicht proaktiv übersetzen. Technische Dokumentation, die an ein Verfahren bei einer notifizierten Stelle gebunden ist, muss in einer Amtssprache des Mitgliedstaats vorliegen, in dem die Stelle ihren Sitz hat, oder in einer für sie akzeptablen Sprache.

Die EU-Konformitätserklärung muss in den Sprachen bereitgestellt werden, die der Mitgliedstaat vorschreibt, in dem das Produkt bereitgestellt oder in Verkehr gebracht wird. Für den deutschen Markt bereiten Sie eine deutsche Fassung vor, statt die Übersetzung als reine Inspektionsvorbereitung zu behandeln.

Die einzige Ausnahme: Hochrisiko-KI-Systeme

Deutschland bündelt die CRA-Marktüberwachung beim BSI. Der Gesetzentwurf trifft diese Entscheidung bewusst: Seine Begründung lehnt es ausdrücklich ab, die CRA-Überwachung auf eine Reihe von Sektorbehörden zu verteilen. Für die meisten Hersteller ist das BSI die Überwachungsbehörde.

Es gibt eine echte Ausnahme, die aus dem CRA selbst stammt, nicht aus deutschem Recht. Ist Ihr Produkt ein Hochrisiko-KI-System nach der KI-Verordnung, ist die nach der KI-Verordnung benannte Marktüberwachungsbehörde, nicht das BSI, für die CRA-Marktüberwachung dieses Produkts zuständig. In Deutschland wird diese Behörde durch das KI-Marktüberwachungsgesetz (KI-MIG) benannt. Beide Behörden kooperieren, aber die Seite der KI-Verordnung führt.

Wer überwacht Sie? Ist Ihr Produkt ein Hochrisiko-KI-System nach der KI-Verordnung?

Dies ist der einzige Fall, in dem eine andere Behörde die CRA-Marktüberwachung übernimmt. In Deutschland wird diese Behörde durch das KI-Marktüberwachungsgesetz (KI-MIG) benannt.

Ja: Die für die KI-Verordnung zuständige Marktüberwachungsbehörde ist für die CRA-Überwachung zuständig, in Zusammenarbeit mit dem BSI Nein: Das BSI ist Ihre CRA-Marktüberwachungsbehörde

Andere Regelwerke überschneiden sich mit dem CRA, ohne zu ändern, wer die Überwachung führt. Ein Produkt kann gleichzeitig unter die Maschinenverordnung und den CRA fallen: Das BSI bleibt für die CRA-Überwachung zuständig und kooperiert mit der zuständigen Sektorbehörde. Im Finanzbereich kooperiert das BSI mit den Aufsichtsbehörden nach der Verordnung (EU) 2022/2554 (DORA), anstatt die CRA-Überwachung an sie abzutreten. Die Änderungen im Energie- und Telekommunikationsrecht im selben Gesetzentwurf sind NIS2-Korrekturen, keine CRA-Neuzuweisung. Wenn Sie Maschinen oder industrielle Automatisierungslösungen herstellen, rechnen Sie mit parallelen Pflichten, nicht mit einer anderen CRA-Überwachungsbehörde.

Grenzüberschreitender Vertrieb aus Deutschland

Ein deutscher Hersteller, der nach Frankreich, Spanien, Italien oder in andere EU-Mitgliedstaaten liefert, befolgt dieselbe einheitliche Melderouting-Regel. Ihre Meldungen gehen weiterhin an CERT-Bund, denn das Routing folgt dem Hauptsitz, nicht dem Zielmarkt pro Lieferung. Sie melden nicht beim französischen, spanischen oder italienischen CSIRT.

Die Sprachpflicht weitet sich hingegen je nach Markt aus. Ein Produkt für den französischen Markt benötigt französischsprachige Nutzerinformationen, für den spanischen Markt spanische, und so weiter. Die deutsche Produktversion deckt diese Märkte nicht ab. Die Marktüberwachungsbehörde jedes Zielmitgliedstaats kann außerdem verlangen, dass Ihre technische Dokumentation in einer für sie leicht verständlichen Sprache vorliegt. Halten Sie daher die am häufigsten angeforderten Abschnitte in einer weit verbreiteten Arbeitssprache bereit.

Förderprogramme und Finanzierung: was Sie prüfen sollten

Es gibt keine CRA-spezifische deutsche Förderung. Das Bild ist allgemeine Digitalisierungs- und Sicherheitsfinanzierung, und einige Programme sind ausgelaufen.

  • go-digital ist beendet. Das Programm lief nur bis zum 31. Dezember 2024. Ältere Hinweise, die es noch aufführen, sind überholt.
  • Mittelstand-Digital bietet kostenlose Beratung und das Netzwerk der Mittelstand-Digital Zentren, keine direkten Mittel für einzelne KMU.
  • Der KfW ERP-Förderkredit Digitalisierung und Innovation (Programme 511/512) ist eine Finanzierungslinie für Digitalisierungs- und IT-Sicherheitsinvestitionen, kein CRA-Zuschuss.
  • Bundesforschungsförderprogramme können echte Cybersicherheits-Forschung und -Entwicklung unterstützen, aber prüfen Sie jeden Aufruf einzeln und behandeln Sie diese nicht als routinemäßige CRA-Compliance-Fördermittel.

Programmfenster und Förderbedingungen ändern sich häufig. Prüfen Sie den aktuellen Stand jeder Linie, bevor Sie ein Budget darauf stützen.

Häufig gestellte Fragen

Ist das BSI bereits meine CRA-Marktüberwachungsbehörde?

Noch nicht. Das BSI soll nach dem deutschen Durchführungsgesetz, dem Gesetz zur Durchführung der Cyberresilienz-Verordnung, sowohl Marktüberwachungsbehörde als auch Notifizierungsbehörde für den CRA werden. Dieses Gesetz ändert das BSI-Gesetz und ist ein Gesetzentwurf der Bundesregierung, BT-Drs. 21/6134, der sich noch im Gesetzgebungsverfahren befindet und noch nicht verabschiedet wurde. Planen Sie auf Basis des BSI, prüfen Sie aber den verabschiedeten Gesetzestext vor einer formellen Meldung. Die Bußgeldobergrenzen, die das BSI anwenden kann, setzt die Verordnung auf bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes für die schwerwiegendsten Verstöße.

Wo melde ich eine Schwachstelle oder einen Sicherheitsvorfall in Deutschland?

An CERT-Bund, das nationale CERT innerhalb des BSI, wenn Ihr Hauptsitz in Deutschland liegt. Sie melden ab dem 11. September 2026 über die ENISA-Single-Reporting-Plattform, mit CERT-Bund als empfangendem Koordinator und gleichzeitigem ENISA-Zugang. Die beiden Meldeströme haben unterschiedliche Fristen. Eine aktiv ausgenutzte Schwachstelle erfordert Meldungen nach 24 Stunden, 72 Stunden und einen abschließenden Bericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme. Ein schwerwiegender Sicherheitsvorfall erfordert Meldungen nach 24 Stunden, 72 Stunden und einen abschließenden Bericht innerhalb eines Monats nach der Vorfallsmeldung. Lesen Sie dazu den Leitfaden zu Schwachstellenbehandlung und Meldepflicht.

Gibt es deutsche notifizierte Stellen, die ich heute nutzen kann?

Zum 11. Juni 2026, dem Datum, ab dem das CRA-Notifizierungsrahmenwerk gilt, zeigt NANDO null nach dem CRA benannte notifizierte Stellen in der gesamten EU. Verlassen Sie sich nicht darauf, dass eine deutsche Stelle benannt ist, bevor sie in NANDO erscheint. In Deutschland akkreditiert DAkkS eine Kandidatenstelle, anschließend notifiziert das BSI sie. Der Gesetzentwurf erlaubt dem BSI, eine Stelle ohne Akkreditierungsurkunde zu notifizieren, genau um den EU-weiten Engpass zu vermeiden, vor dem die Verordnung selbst warnt. Ein deutscher Hersteller kann jede EU-notifizierte Stelle nutzen, nicht nur eine deutsche. Lesen Sie dazu den Konformitätsbewertungsleitfaden.

Müssen meine technische Dokumentation und die Konformitätserklärung auf Deutsch vorliegen?

Die Nutzerinformationen, Gebrauchsanweisungen und Kontaktdaten, die dem Produkt beigefügt sind, müssen in einer für Nutzer und die Marktüberwachungsbehörde leicht verständlichen Sprache vorliegen, für den deutschen Markt also auf Deutsch. Die EU-Konformitätserklärung muss in der vom deutschen Recht verlangten Sprache vorliegen: Bereiten Sie eine deutsche Fassung vor. Interne technische Dokumentation kann in der Regel auf Englisch bleiben, aber das BSI kann auf begründeten Antrag verlangen, dass sie in einer für die Behörde leicht verständlichen Sprache vorliegt. Dokumentation für ein Verfahren bei einer notifizierten Stelle muss in einer Amtssprache des Mitgliedstaats der Stelle oder einer für sie akzeptablen Sprache vorliegen.

Ersetzt BSI TR-03183 die harmonisierten Normen?

Nein. BSI TR-03183 ist vorläufige technische Orientierung des BSI, keine harmonisierte Norm. Sie begründet daher nicht die Konformitätsvermutung, die eine harmonisierte Norm gewähren würde. Dennoch lohnt es sich, ihr zu folgen: Das BSI soll Ihre Marktüberwachungsbehörde werden, und TR-03183 ist seine CRA-orientierte technische Richtlinie. Deutsche Käufer werden sie voraussichtlich zitieren. Betrachten Sie sie als praktischen Maßstab, solange harmonisierte Normen noch erarbeitet werden. Lesen Sie dazu den BSI TR-03183-Leitfaden.

Könnte eine andere Behörde die CRA-Überwachung für mein Produkt übernehmen?

In den meisten Fällen nein. Deutschland bündelt die CRA-Marktüberwachung beim BSI, und der Gesetzentwurf lehnt es ausdrücklich ab, sie auf Sektorbehörden zu verteilen. Die einzige echte Ausnahme kommt aus dem CRA selbst: Ist Ihr Produkt ein Hochrisiko-KI-System nach der KI-Verordnung, ist die nach der KI-Verordnung zuständige Marktüberwachungsbehörde auch für die CRA-Überwachung zuständig, in Zusammenarbeit mit dem BSI. In anderen regulierten Bereichen, etwa im Finanzsektor nach DORA, kooperiert das BSI mit dem Sektoraufseher, anstatt die Überwachung abzutreten. Den [Maschinenverordnungs-Leitfaden](/cra-compliance/machinery-regulation) finden Sie als Beispiel für ein Regelwerk, das parallel zum CRA gilt.

Was muss bis zum 11. Dezember 2027 in Kraft sein?

Der CRA gilt vollständig ab dem 11. Dezember 2027, aber zwei frühere Daten sind planerisch wichtiger. Das Notifizierungsrahmenwerk gilt bereits ab dem 11. Juni 2026, und die Meldepflichten gelten ab dem 11. September 2026, wenn die ENISA-Plattform in Betrieb geht. Schwachstellenmeldungen sind Infrastruktur, keine Aufgabe für die letzte Minute. Bauen Sie den CERT-Bund-Meldeweg und Ihren Nachweispfad jetzt auf. Der Hersteller-Cluster-Leitfaden zeigt den vollständigen Pflichtenkatalog, von dem aus Sie rückwärts planen.

Für deutsche Hersteller auf dem Weg zum 11. Dezember 2027

  1. Klären Sie Ihre Herstellerpflichten mit dem Hersteller-Cluster-Leitfaden.
  2. Bestätigen Sie, dass Ihr Hauptsitz in Deutschland liegt, und dokumentieren Sie die Begründung. Entscheidend ist, wo Ihre Cybersicherheitsentscheidungen getroffen werden, nicht der Sitz der eingetragenen Gesellschaft.
  3. Richten Sie Ihren CRA-Meldeweg zu CERT-Bund als empfangendem CSIRT ein und testen Sie eine Einreichung auf der ENISA-Single-Reporting-Plattform, sobald diese am 11. September 2026 live geht.
  4. Wenn Ihr Weg eine notifizierte Stelle erfordert, beobachten Sie NANDO im Hinblick auf CRA-Benennungen und prüfen Sie mindestens eine grenzüberschreitende Alternative zur Absicherung.
  5. Bereiten Sie deutsche Nutzerinformationen, eine deutsche Konformitätserklärung und technische Dokumentation vor, die Sie dem BSI auf begründeten Antrag vorlegen können.
  6. Prüfen Sie, ob Ihr Produkt ein Hochrisiko-KI-System ist. Wenn ja, übernimmt die nach der KI-Verordnung zuständige Marktüberwachungsbehörde, nicht das BSI, die CRA-Überwachung.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für spezifische CRA-Compliance-Fragen an qualifizierte Rechtsberater.

CRA Deutschland Schwachstellenmanagement
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter die EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
Vollständigen CRA-Compliance-Leitfaden ansehen