CRA Umsetzungszeitplan: Was Sie vor dem 11. September 2026 brauchen

Null notifizierte Stellen sind unter dem CRA designiert. Keine harmonisierte Norm wurde im Amtsblatt der EU veröffentlicht. Die ENISA Single Reporting Platform existiert noch nicht. Fünf Monate bleiben bis zur Anwendung von Art. 14 am 11. September 2026.

Wenn Sie Produkte mit digitalen Elementen für den EU-Markt herstellen, ist das die tatsächliche Lage. Was Sie vor September 2026 aufbauen müssen. Was derzeit blockiert ist. Und warum die Selbstbewertung für Wichtige Klasse I heute nicht funktioniert.

Fristen, die jetzt laufen

Der 11. Juni 2026 ist keine Hersteller-Frist. Er aktiviert den Mechanismus, mit dem Mitgliedstaaten notifizierte Stellen formal bei der Kommission notifizieren können. Aktuell (April 2026) sind keine CRA-designierten notifizierten Stellen im Single Market Compliance Space aufgeführt. Deshalb können Sie heute keine Bewertung durch eine notifizierte Stelle beginnen, auch wenn Sie es wollten.

Drei Hindernisse, die Sie nicht umgehen können

Drei Voraussetzungen der CRA-Konformität existieren noch nicht. Rechnen Sie damit, bevor Sie Ihren Zeitplan festlegen.

Keine harmonisierten Normen

Art. 32(2) der Verordnung (EU) 2024/2847 bietet Herstellern der Wichtigen Klasse I drei Konformitätswege: Selbstbewertung, Drittbewertung anhand harmonisierter Normen oder gemeinsamer Spezifikationen, oder Bewertung durch eine notifizierte Stelle. Der mittlere Weg setzt CRA-harmonisierte Normen voraus. Keine wurde im Amtsblatt veröffentlicht. Nach aktuellem Kenntnisstand (April 2026):

• Die Seite der Kommission zu harmonisierten Normen enthält keinen Eintrag für Verordnung (EU) 2024/2847.
• Keine gemeinsamen Spezifikationen gemäß Art. 27(2) wurden verabschiedet.
• Kein delegierter Rechtsakt nach Art. 27(9) benennt ein europäisches Cybersicherheitszertifizierungsschema als Konformitätsvermutungsweg.

Fehlen die Normen, schreibt Art. 32(2) Modul B+C (EU-Baumusterprüfung) oder Modul H (umfassende Qualitätssicherung) vor. Beide erfordern eine notifizierte Stelle.

Sie stellen ein Produkt der Wichtigen Klasse I her? Selbstbewertung funktioniert heute nicht. Bewertung durch eine notifizierte Stelle ist der einzige konforme Weg.

CEN-CLC/JTC 13/WG 9 entwickelt die EN-40000-Reihe:

• prEN 40000-1-1 (Begriffe): Öffentliche Befragung abgeschlossen, noch kein formaler Abstimmungsbeschluss.
• prEN 40000-1-2 (Grundsätze): Öffentliche Befragung abgeschlossen, noch kein formaler Abstimmungsbeschluss.
• prEN 40000-1-3 (Schwachstellenbehandlung): Öffentliche Befragung lief Dezember 2025 bis Februar 2026, derzeit in Kommentierungsauflösung.
• prEN 40000-1-4 (Generische Sicherheitsanforderungen): noch in Ausarbeitung.
• Typ-C-Vertikalen (Browser, VPNs, SIEM und andere): reifes Entwurfsstadium, noch nicht in öffentlicher Befragung.

Realistisch früheste Amtsblatt-Zitierung: Q4 2026. Mehrere vertikale Normen werden voraussichtlich bis 2027 verschoben.

Keine notifizierten Stellen

Kapitel IV gilt ab dem 11. Juni 2026. Das Ziel der Kommission ist ausreichende NB-Kapazität bis 11. Dezember 2026 (Art. 35(2), Bemühenspflicht). Nach aktuellem Kenntnisstand (April 2026) sind keine CRA-designierten notifizierten Stellen im Single Market Compliance Space aufgeführt.

Müssen Sie eine Bewertung der Wichtigen Klasse I vor Dezember 2027 abschließen, planen Sie Folgendes ein:

• Vorbereitung der technischen Dokumentation: 3 bis 6 Monate.
• Modul-B+C-Bewertung: 2 bis 4 Monate je Produkt.
• NB-Verfügbarkeit: ungewiss bis zur formalen Benennung nach Juni 2026.

Kontaktieren Sie potenzielle Konformitätsbewertungsstellen jetzt. Der formale Mechanismus öffnet frühestens Mitte 2026. Wer bis dahin wartet, schafft die Bewertung vor Dezember 2027 nicht.

Keine ENISA-Meldeplattform

Die Single Reporting Platform gemäß Art. 16 ist aktuell nicht verfügbar. ENISA hat einen Anbieter beauftragt. Die Plattform soll vor dem 11. September 2026 in Betrieb gehen. Eine Registrierungs-URL existiert nicht. Leitlinien für Hersteller wurden nicht veröffentlicht.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat bis April 2026 keine CRA-spezifischen Leitlinien für Hersteller veröffentlicht. Verfolgen Sie die BSI-Website für Aktualisierungen.

Was Sie jetzt vorbereiten können:

• Erstellen Sie Meldevorlagen nach den Art. 14(2)-Anforderungen: 24-Stunden-, 72-Stunden-, 14-Tage- und 30-Tage-Format.
• Ermitteln Sie den zuständigen CSIRT-Koordinator Ihres Mitgliedstaats.
• Legen Sie intern fest, wer befugt ist, eine 24-Stunden-Meldung am Wochenende oder an einem Feiertag auszulösen.

ENISA SRP-Seite: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Was vor dem 11. September 2026 in Betrieb sein muss

Fünf Monate bleiben. Fehlen die folgenden Punkte, sind Sie nicht mit Aufgaben in Rückstand. Sie sind mit Infrastruktur in Rückstand. Und Infrastruktur braucht Monate.

Produktbestandsaufnahme und Klassifizierung

Sie brauchen eine vollständige Liste aller Produkte mit digitalen Elementen (PDEs), die Sie auf dem EU-Markt in Verkehr bringen, mit bestätigter CRA-Klassifizierung für jedes Produkt:

• Standardklasse: Selbstbewertungsweg verfügbar.
• Wichtige Klasse I: Bewertung durch eine notifizierte Stelle heute erforderlich (siehe oben).
• Wichtige Klasse II: Bewertung durch eine notifizierte Stelle erforderlich. Modul B+C oder Modul H.
• Kritisch: Modul B+C oder umfassende Qualitätssicherung. Europäische Cybersicherheitszertifizierung kann gelten.

Klassifizierungsreferenz: Die Durchführungsverordnung (EU) 2025/2392 (ABl. 1. Dezember 2025, in Kraft 21. Dezember 2025) liefert technische Beschreibungen der Produktkategorien aus Anhang III und IV. Nutzen Sie sie zur Klärung von Grenzfällen.

SBOM-Infrastruktur

Sie können eine aktiv ausgenutzte Schwachstelle nicht innerhalb von 24 Stunden melden, wenn Sie nicht wissen, welche Komponenten Ihr Produkt enthält. Die SBOM-Generierung muss vor September 2026 betriebsbereit sein.

• Format: CycloneDX oder SPDX. Beide sind unter dem CRA akzeptiert. Wählen Sie eines und standardisieren Sie es produktübergreifend.
• Umfang: Transitive Abhängigkeiten, nicht nur direkte. Vollständige Komponenten-Sichtbarkeit ist für die Risikobewertung nach Anhang VII erforderlich.
• Speicherung: Versionskontrolliert, an Produktveröffentlichungen gebunden. Jede SBOM muss einem konkreten Build zugeordnet sein.
• Integration: CI/CD-Pipeline. Ein einmaliger Export erfüllt die laufende Pflicht nicht.

Schwachstellenüberwachung

Die 24-Stunden-Meldefrist beginnt bei Kenntnis: angemessener Gewissheit auf Basis einer ersten Bewertung. Eine forensische Bestätigung ist nicht erforderlich, um die Frist auszulösen. Sie brauchen eine Überwachung, die diese erste Bewertung vor Ablauf der Frist liefert.

• Abonnieren Sie NVD, OSV und relevante Herstellerhinweise für Ihren Komponentenbestand.
• Richten Sie automatisiertes Scanning gegen Ihre SBOM-Komponenten ein.
• Dokumentieren Sie Ihren internen Eskalationsweg und testen Sie ihn von Anfang bis Ende.
• Erstellen Sie Meldevorlagen jetzt, bevor die ENISA-Plattform in Betrieb geht.

Statusprüfliste

PRODUKTBESTANDSAUFNAHME (beginnen Sie hier, die Klassifizierung bestimmt Ihren Konformitätsweg):
[ ] Vollständige Liste der in der EU verkauften PDEs mit bestätigter CRA-Klassifizierung je Produkt
[ ] Wichtige Klasse I: Konformitätsbewertungsstelle jetzt kontaktiert. Die NB-Designation
    öffnet nicht vor Juni 2026. Wer wartet, schafft die Bewertung vor Dezember 2027 nicht.
[ ] Supportzeitraum gemäß erwarteter Lebensdauer erklärt (Art. 13(8))

SBOM (beginnen Sie hier, versorgt Überwachung, technische Dokumentation und 24-Stunden-Meldung):
[ ] SBOM-Generierung in CI/CD-Pipeline integriert. Ein einmaliger Export reicht nicht.
[ ] Format standardisiert: CycloneDX oder SPDX
[ ] Abdeckung transitiver Abhängigkeiten verifiziert. Direkte Abhängigkeiten allein reichen nicht.
[ ] SBOMs versionskontrolliert und an konkrete Produktveröffentlichungen gebunden

SCHWACHSTELLENÜBERWACHUNG (muss vor dem 11. September live sein):
[ ] Überwachung für alle Produkte aktiv: NVD, OSV, Herstellerhinweise
[ ] Automatisiertes Scanning gegen SBOM läuft
[ ] Interner Eskalationsweg dokumentiert und von Anfang bis Ende getestet
[ ] 24/7-Abdeckung bestätigt, einschließlich Feiertage und Wochenenden

MELDEVORBEREITUNG (ENISA-Plattform noch nicht live, alles andere jetzt vorbereiten):
[ ] 24-Stunden-, 72-Stunden-, 14-Tage- und 30-Tage-Meldevorlagen gemäß Art. 14(2) erstellt
[ ] CSIRT-Koordinator des Mitgliedstaats ermittelt
[ ] Person benannt, die eine 24-Stunden-Meldung rund um die Uhr autorisieren kann

DOKUMENTATION:
[ ] Technische Dokumentation gegen Anhang VII geprüft
[ ] Lückenanalyse abgeschlossen
[ ] Risikobewertung in Bearbeitung

Art. 14: Was ab dem 11. September 2026 gilt

Ab dem 11. September 2026 müssen Sie aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gleichzeitig an zwei Stellen melden: an den zuständigen CSIRT-Koordinator Ihres Mitgliedstaats und an ENISA über die Single Reporting Platform (Art. 16).

KMU-Ausnahme: Art. 64(10)(a) der Verordnung (EU) 2024/2847 befreit Kleinstunternehmen und Kleinunternehmen von Bußgeldern speziell für das Versäumen der Fristen in Art. 14(2)(a) und 14(4)(a). Die Ausnahme gilt nur für die Fristen, nicht für die Meldepflicht selbst.

Was „aktiv ausgenutzt“ bedeutet

Art. 14(2)(a) gilt, wenn glaubwürdige Hinweise vorliegen, dass ein Bedrohungsakteur die Schwachstelle in einem System ohne Genehmigung des Eigentümers ausgenutzt hat. Glaubwürdige Hinweise liegen vor bei:

• Bestätigten Angriffen in freier Wildbahn.
• Ausnutzung, die in Threat-Intelligence-Feeds oder von Sicherheitsforschern gemeldet wurde.
• Erkennung in Honeypots mit Hinweisen auf aktiven Einsatz.

Der Kommissionsleitfaden-Entwurf (Ares(2026)2319816, 3. März 2026) verwendet den Standard „glaubwürdige Hinweise auf aktive Ausnutzung“. Dieser Standard liegt niedriger als das Erfordernis einer forensischen Bestätigung.

Bereitschaftsprüfliste

MELDEINFRASTRUKTUR (vor dem 11. September 2026):
[ ] Meldevorlagen vorbereitet: 24-Stunden-, 72-Stunden-, 14-Tage- und 30-Tage-Format
[ ] CSIRT-Koordinator des Mitgliedstaats ermittelt. Das ist Ihr primärer Einreichungspunkt
    neben ENISA
[ ] 24/7-Eskalationsweg bestätigt, einschließlich Feiertagsabdeckung und Ersatzkontakte
[ ] Rechtliche Prüfung der Art. 14-Pflichten abgeschlossen

SCHWACHSTELLENMANAGEMENT:
[ ] Aktive Überwachung für alle Produkte in Betrieb
[ ] CVE/NVD-Integration live
[ ] Kundenmeldevorlagen bereit

TEAM:
[ ] Sicherheitsteam zu Art. 14-Pflichten und dem vierstufigen Zeitplan geschult
[ ] Management-Eskalation dokumentiert
[ ] Rechtsteam über Meldepflichten informiert
[ ] Kommunikationsteam für öffentliche Bekanntmachungen vorbereitet

Vollständige Konformität bis 11. Dezember 2027

Wesentliche Cybersicherheitsanforderungen (Anhang I)

Jedes konforme PDE muss diese Anforderungen aus Anhang I der Verordnung (EU) 2024/2847 erfüllen:

Security by Design

• Dem Risiko angemessenes Sicherheitsniveau (Anhang I, Teil I, §1).
• Schutz vor unbefugtem Zugriff.
• Vertraulichkeit, Integrität und Verfügbarkeit von Daten und wesentlichen Funktionen.
• Minimale Angriffsfläche, sichere Standardeinstellungen, keine fest codierten Anmeldedaten.

Schwachstellenmanagementprozess

• Dokumentierter Prozess zur Identifizierung und Behebung von Schwachstellen.
• Zeitnahe, kostenlose Sicherheitsupdates während des Supportzeitraums.
• Koordinierte Richtlinie zur Offenlegung von Schwachstellen (Art. 13(6)).

Update-Fähigkeit

• Sicherer, zuverlässiger Update-Mechanismus.
• Möglichkeit, Sicherheitsupdates von Funktionsupdates zu trennen.

Technische Dokumentation (Anhang VII)

Supportzeitraum: zwei getrennte Pflichten

Der CRA legt zwei gesonderte Pflichten für Sicherheitsupdates fest.

Art. 13(8): Sie müssen Sicherheitsupdates für mindestens fünf Jahre ab dem Zeitpunkt des Inverkehrbringens bereitstellen, oder für die erwartete Lebensdauer des Produkts, wenn diese kürzer ist. Fünf Jahre ist die Untergrenze, kein Standard. Ein Produkt mit zehn Jahren erwarteter Lebensdauer erfordert einen zehnjährigen Supportzeitraum.

Art. 13(9): Jedes bereitgestellte Sicherheitsupdate muss mindestens zehn Jahre ab dem Datum der Veröffentlichung zum Download verfügbar bleiben, oder für den Rest des Supportzeitraums, je nachdem, welcher Zeitraum länger ist.

Diese Pflichten sind voneinander unabhängig. Ein Update, das im vierten Jahr eines fünfjährigen Supportzeitraums veröffentlicht wurde, muss bis Jahr 14 ab Veröffentlichung herunterladbar bleiben. Löschen Sie alte Update-Pakete oder lassen Sie die Distributionsinfrastruktur ablaufen, verstoßen Sie gegen Art. 13(9), auch wenn Sie planmäßig neue Updates veröffentlichen. Planen Sie Speicher- und Distributionsinfrastruktur für die lange Laufzeit, bevor Sie Ihr erstes Update unter dem CRA veröffentlichen.

Prüfliste Dezember 2027

PRODUKTKONFORMITÄT:
[ ] Alle Produkte erfüllen Anhang-I-Anforderungen: Security by Design,
    Schwachstellenmanagement und Update-Fähigkeit
[ ] Konformitätsbewertungen abgeschlossen: NB-Verfahren für Wichtige Klasse I und Klasse II
[ ] CE-Kennzeichnung angebracht
[ ] EU-Konformitätserklärung gemäß Art. 28 erstellt

TECHNISCHE DOKUMENTATION (Anhang VII):
[ ] Risikobewertung vollständig und dokumentiert
[ ] SBOM aktuell und validiert
[ ] Konformitätsnachweise geordnet und zugänglich
[ ] Supportzeitraum gemäß Art. 13(8) erwarteter Lebensdauer erklärt

INVERKEHRBRINGEN:
[ ] Import- und Händlerkette über ihre CRA-Pflichten informiert
[ ] Kundenseitige Dokumentation aktualisiert

LAUFENDE PFLICHTEN:
[ ] Art. 13(8): Sicherheits-Update-Prozess für die Dauer des Supportzeitraums aktiv
[ ] Art. 13(9): Update-Verfügbarkeitsinfrastruktur eingerichtet, zehn Jahre je Veröffentlichungsdatum
[ ] Schwachstellenüberwachung aktiv und getestet
[ ] Vorfallreaktion mindestens quartalsweise geprobt

Kommissionsleitfaden: Entwurf März 2026

Die Kommission veröffentlichte am 3. März 2026 einen rund 70-seitigen Entwurf einer Mitteilung (Ares(2026)2319816). Die öffentliche Konsultation endete am 31. März 2026. Das Dokument ist noch nicht abgeschlossen. Die endgültige Fassung steht in allen EU-Sprachversionen aus. Eine vollständige Aufschlüsselung findet sich in unserem Leitfaden zum CRA-Kommissionsleitfaden.

Wesentliche Entscheidungen für Ihren Zeitplan:

RDPS-Test für SaaS-Geltungsbereich: Fernverarbeitungssoftware fällt nur dann in den CRA-Anwendungsbereich, wenn sie einen dreiteiligen Test besteht. Die Software führt Fernverarbeitung durch. Die Fernverarbeitung ist für die Kernfunktion des Produkts notwendig. Und der Hersteller kontrolliert die Fernverarbeitung. SaaS, das diesen Test nicht besteht, liegt außerhalb des Geltungsbereichs.

Altprodukte: Eine historische Dokumentationsrekonstruktion ist nicht erforderlich. Sie brauchen eine aktuelle Risikobewertung. Produktfamilien können für Risikobewertungszwecke zusammengefasst werden.

Software-Updates: Ein Update stellt keine „wesentliche Änderung“ dar, die eine neue Konformitätsbewertung auslöst, es sei denn, es führt neue Angriffsvektoren ein oder ändert den bestimmungsgemäßen Zweck des Produkts. Der Leitfaden bietet einen Vier-Fragen-Test.

24-Stunden-Frist: Beginnt bei Kenntnis, d.h. angemessener Gewissheit auf Basis einer ersten Bewertung. Forensische Bestätigung ist nicht erforderlich.

Supportzeitraum-Untergrenze: Fünf Jahre ist ein Minimum, kein Standard. Der Supportzeitraum muss die erwartete Lebensdauer des Produkts widerspiegeln.

Open Source: Die Veröffentlichung von Quellcode gilt nicht als Inverkehrbringen eines Produkts. Mitwirkende, die über die Veröffentlichung eines fertigen Produkts nicht bestimmen, sind keine Hersteller im Sinne des CRA.

Offizielle Ankündigung: https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act

Bußgelder

Art. 64(2) der Verordnung (EU) 2024/2847 legt die höchste Bußgeldstufe auf 15 Millionen Euro oder 2,5 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, fest für:

• Nichteinhaltung der wesentlichen Cybersicherheitsanforderungen in Anhang I und der Pflichten aus Art. 13.
• Nichterfüllung der Pflichten gemäß Art. 14 (Schwachstellen- und Vorfallmeldung).

Beide Verstöße liegen in derselben Bußgeldstufe. Keine niedrigere Stufe für Meldeversäumnisse.

Art. 64(3) (10 Millionen Euro oder 2 %) betrifft einen gesonderten Satz von Pflichten: Art. 18-23, 28, 30-33, 39, 41, 47, 49, 53, hauptsächlich Importeur-, Händler- und notifizierte-Stellen-Pflichten. Art. 14 ist in dieser Liste nicht enthalten.

KMU-Ausnahme: Art. 64(10)(a) befreit Kleinstunternehmen und Kleinunternehmen von Bußgeldern für das Versäumen spezifischer Fristen in Art. 14(2)(a) und 14(4)(a). Die Ausnahme gilt für die Fristen, nicht für den Inhalt der Meldepflicht.

Branchenspezifische Hinweise

Unterhaltungselektronik

Die SBOM-Automatisierung ist die frühzeitig wertvollste Investition. Sie fließt direkt in die Schwachstellenüberwachung und die Erstellung der technischen Dokumentation nach Anhang VII ein. Verbraucherprodukte haben typischerweise komplexe Lieferketten mit mehreren Komponentenlieferanten.

Verwalten Sie Firmware-Updates in großen Gerätepopulationen, brauchen Sie OTA-Infrastruktur. Ein Update, das im dritten Jahr der Produktlebensdauer veröffentlicht wird, muss zehn Jahre ab diesem Veröffentlichungsdatum herunterladbar bleiben (Art. 13(9)). Planen Sie Ihre Distributionsinfrastruktur jetzt, nicht zum Zeitpunkt der Veröffentlichung.

Software-Hersteller

Schwachstellenmeldeprozesse sind die operativ anspruchsvollsten Pflichten für Softwareprodukte. Entdeckungsraten sind höher, und Abhängigkeitsverfolgung auf transitiver Tiefe in modernen Stacks ist nicht trivial. Integrieren Sie die SBOM-Generierung in Ihre bestehenden CI/CD-Pipelines. Sie fließt direkt in den Überwachungs- und Reaktionsworkflow ein.

Industrieanlagen

Lange Produktlebenszyklen (10 bis 20 Jahre) interagieren direkt mit der Fünfjahres-Mindestsupportpflicht aus Art. 13(8) und der zehnjährigen Update-Verfügbarkeitspflicht je Veröffentlichung aus Art. 13(9). Ein Produkt mit 20 Jahren erwarteter Lebensdauer kann eine 20-jährige Supportverpflichtung erfordern.

Industrieprodukte fallen häufig in die Wichtige Klasse I oder II, was derzeit eine Bewertung durch eine notifizierte Stelle bedeutet. Kontaktieren Sie Konformitätsbewertungsstellen jetzt. Der formale NB-Benennungsprozess öffnet nach Juni 2026, und die Kapazität wird bis mindestens Dezember 2026 begrenzt sein.

IoT-Geräte

Die Abschaffung von Standard-Anmeldedaten ist eine verbindliche Anforderung (Anhang I, Teil I, §2(e)). Gehen Sie dieses Problem zuerst an. Es ist ein eindeutiger Anhang-I-Verstoß und im Vergleich zu Architekturänderungen klar abgegrenzt zu beheben. Sichere Update-Mechanismen für ressourcenbeschränkte Geräte erfordern mehr Arbeit. Beginnen Sie mit den Anmeldedaten, dann gehen Sie die Updates an.

Nächste Schritte

Sie verwalten CRA-Konformität über mehrere Produkte hinweg? CRA Evidence verfolgt Art. 14-Bereitschaft, SBOM-Abdeckung und den Stand der Konformitätsbewertung über Ihr gesamtes Produktportfolio.

Sobald Ihre Produktklassifizierungen stehen, bauen Sie Ihre SBOM-Infrastruktur mit unserem SBOM-Anforderungsleitfaden auf. Für den 24-Stunden-Meldeprozess, den Sie vor dem 11. September 2026 betriebsbereit brauchen, lesen Sie unseren ENISA-Schwachstellenmeldungsleitfaden.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsanwälte.