EU Cyber Resilience Act: Vollständiger Implementierungszeitplan 2025-2027

Der EU Cyber Resilience Act (Verordnung 2024/2847) stellt die bedeutendste Cybersicherheitsgesetzgebung für Produkte mit digitalen Elementen (PDEs) in der Europäischen Union dar. Mit Beginn der Durchsetzung im Jahr 2025 und vollständiger Compliance-Pflicht bis Dezember 2027 müssen Hersteller den Zeitplan verstehen und sich entsprechend vorbereiten.

Was ändert sich im September 2026?

Die erste große Compliance-Frist kommt im September 2026, wenn die Meldepflichten für Schwachstellen wirksam werden. Das bedeutet:

• 24-Stunden-Meldung: Jede aktiv ausgenutzte Schwachstelle muss innerhalb von 24 Stunden nach Entdeckung an ENISA gemeldet werden
• 72-Stunden-Detailbericht: Ein umfassender Schwachstellenbericht mit technischen Details
• 14-Tage-Update: Fortschrittsbericht über Abhilfemaßnahmen
• Abschlussbericht: Vollständige Vorfallanalyse innerhalb von 30 Tagen

Vorbereitung Ihres Schwachstellen-Workflows

Um diese Fristen einzuhalten, sollten Hersteller etablieren:

1. Schwachstellenüberwachung für alle Softwarekomponenten in Ihren Produkten
2. Interne Eskalationsverfahren, die innerhalb von Stunden, nicht Tagen, ausgelöst werden können
3. ENISA-Meldevorlagen, die sofort einsatzbereit sind
4. SBOM (Software Bill of Materials), um betroffene Produkte schnell zu identifizieren

Dezember 2027: Vollständige Compliance

Bis Dezember 2027 müssen alle Produkte mit digitalen Elementen, die in der EU verkauft werden, die vollständigen CRA-Anforderungen erfüllen:

Wesentliche Cybersicherheitsanforderungen (Anhang I)

• Security by Design und Default
• Schutz vor unbefugtem Zugriff
• Vertraulichkeit und Integrität der Daten
• Minimale Angriffsfläche
• Sichere Update-Mechanismen

Technische Dokumentation (Anhang VII)

Jedes Produkt benötigt ein umfassendes technisches Dossier, einschließlich:

• Dokumentation der Risikobewertung
• Nachweis der Konformitätsbewertung
• SBOM mit Rückverfolgbarkeit auf Komponentenebene
• Verfahren zur Schwachstellenbehandlung
• Erklärung zum Unterstützungszeitraum (mindestens 5 Jahre)

Produktklassifizierung ist wichtig

Der CRA definiert drei Produktkategorien mit unterschiedlichen Anforderungen an die Konformitätsbewertung:

Jetzt mit der Vorbereitung beginnen

Auch wenn die vollständige Durchsetzung erst 2027 erfolgt, ist der erforderliche Arbeitsaufwand erheblich. Wir empfehlen Herstellern, jetzt zu beginnen mit:

1. Inventarisieren Sie Ihre Produkte - Welche PDEs verkaufen Sie in der EU?
2. Klassifizieren Sie Ihre Produkte - Standard, Wichtig oder Kritisch?
3. Implementieren Sie SBOM-Generierung - Automatisiert, genau und vollständig

1. Etablieren Sie Schwachstellenprozesse - Überwachen, erkennen, melden, beheben
2. Dokumentieren Sie alles - Technische Dossiers brauchen Zeit zur Vorbereitung

Wie CRA Evidence hilft

CRA Evidence bietet eine vollständige Plattform zur Verwaltung Ihrer CRA-Compliance-Reise:

• SBOM-Management: Hochladen, validieren und pflegen von SBOMs für alle Ihre Produkte
• Schwachstellenverfolgung: Automatisches Scannen mit ENISA-Fristenverfolgung
• Export technischer Dossiers: Generierung von Anhang VII-konformen Dokumentationspaketen
• Audit-Trail: Vollständige Rückverfolgbarkeit für Konformitätsbewertungen

Die Frist Dezember 2027 mag weit entfernt erscheinen, aber der Aufbau konformer Prozesse braucht Zeit. Starten Sie noch heute Ihre CRA-Bereitschaftsbewertung.

Klassifizierung: Bestimmen Sie Ihre Produktkategorie mit unserem Leitfaden zur Produktklassifizierung.

SBOM: Bauen Sie Ihre SBOM-Infrastruktur mit unserem Leitfaden zu SBOM-Anforderungen auf.

Meldung: Erfahren Sie mehr über die 24-Stunden-Regel in unserem Leitfaden zur ENISA-Schwachstellenmeldung.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie bitte qualifizierte Rechtsberater.