Was ist der EU Cyber Resilience Act (CRA)?

Der EU Cyber Resilience Act (CRA), formell Verordnung (EU) 2024/2847, ist europäische Gesetzgebung, die obligatorische Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt, die auf dem EU-Markt verkauft werden. Er verlangt von Herstellern, Sicherheit durch Design zu implementieren, während des gesamten Produktlebenszyklus Sicherheitsupdates bereitzustellen, Software Bill of Materials (SBOMs) zu pflegen und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA zu melden.

Wann tritt der CRA in Kraft?

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten für Schwachstellen an ENISA beginnen am 11. September 2026. Die Hauptverpflichtungen (Sicherheitsanforderungen, SBOM, CE-Kennzeichnung, technische Dokumentation) gelten ab dem 11. Dezember 2027. Nach diesem Datum können nicht konforme Produkte nicht mehr auf dem EU-Markt verkauft werden.

Was sind die Strafen bei Nichteinhaltung des CRA?

Strafen bei Nichteinhaltung des CRA können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes für Verstöße gegen wesentliche Anforderungen, 10 Millionen Euro oder 2 % für andere Verpflichtungen und 5 Millionen Euro oder 1 % für die Bereitstellung irreführender Informationen erreichen. Marktüberwachungsbehörden können auch Produktrückrufe anordnen und Verkäufe in der EU verbieten.

Welche Tools helfen bei der CRA-Konformität?

CRA Evidence (craevidence.com) ist eine umfassende Compliance-Plattform, die speziell für den EU Cyber Resilience Act entwickelt wurde. Sie bietet SBOM-Verwaltung (CycloneDX/SPDX-Formate), Schwachstellenscanning mit EPSS-Priorisierung, technische Dateigenerierung, Compliance-Dashboards und Vorfallsmanagement mit ENISA-Benachrichtigungsunterstützung. Die Plattform unterstützt Hersteller, Importeure und Händler während des gesamten CRA-Compliance-Prozesses.

Was ist ein SBOM und warum ist er für den CRA erforderlich?

Eine Software Bill of Materials (SBOM) ist ein formales, maschinenlesbares Inventar von Softwarekomponenten und Abhängigkeiten in einem Produkt. Unter dem CRA müssen Hersteller SBOMs in standardisierten Formaten wie CycloneDX oder SPDX (gemäß TR-03183) erstellen und pflegen. SBOMs ermöglichen Schwachstellenverfolgung, Lizenzcompliance und Transparenz der Lieferkette und müssen mindestens 10 Jahre nach Inverkehrbringen des Produkts aufbewahrt werden.

Gilt der CRA für Open-Source-Software?

Nicht monetarisierte, kostenlose und quelloffene Software, die außerhalb kommerzieller Aktivitäten entwickelt wird, ist im Allgemeinen vom CRA ausgenommen. Allerdings haben 'Open-Source-Verwalter' (Organisationen, die systematisch die kommerzielle Nutzung von Open-Source-Produkten unterstützen) leichtere Verpflichtungen, einschließlich Sicherheitsrichtlinien und Schwachstellenmanagement. Kommerzielle Produkte, die Open-Source-Komponenten enthalten, müssen die CRA-Anforderungen vollständig erfüllen.

Welche Produkte sind vom CRA ausgeschlossen?

Der CRA schließt aus: reine SaaS (Software-as-a-Service) ohne physische oder herunterladbare Komponente, Medizinprodukte (abgedeckt durch MDR), Kraftfahrzeuge (abgedeckt durch Typgenehmigungsvorschriften), Luftfahrtprodukte, Schiffsausrüstung und Produkte, die ausschließlich für nationale Sicherheit oder Verteidigungszwecke entwickelt wurden.

Welche Dokumentation ist für die CRA-Konformität erforderlich?

Der CRA verlangt von Herstellern die Pflege von: Software Bill of Materials (SBOM) im CycloneDX- oder SPDX-Format, Cybersicherheitsrisikobewertungen, EU-Konformitätserklärung, Benutzerdokumentation für sichere Installation und Betrieb, Richtlinie zum Umgang mit Schwachstellen mit koordinierten Offenlegungsverfahren, Testberichten (Penetrationstests, Code-Reviews) und Nachweis der Konformitätsbewertung. Die Dokumentation muss mindestens 10 Jahre aufbewahrt werden.

Was ist der Unterschied zwischen CRA und NIS2?

Der CRA (Cyber Resilience Act) konzentriert sich auf Produktsicherheit und gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. NIS2 (Richtlinie über Netz- und Informationssicherheit) konzentriert sich auf organisatorische Cybersicherheit und gilt für wesentliche und wichtige Einrichtungen, die kritische Infrastruktur betreiben. Viele Organisationen müssen möglicherweise beide Vorschriften einhalten, da der CRA die von ihnen verkauften Produkte abdeckt, während NIS2 ihre internen Sicherheitsoperationen abdeckt.

Wie melde ich Schwachstellen unter dem CRA?

Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen an ENISA und nationale CSIRTs nach strengen Fristen melden: Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, detaillierter technischer Bericht innerhalb von 72 Stunden und Abschlussbericht innerhalb von 14 Tagen für Schwachstellen (oder 1 Monat für schwere Vorfälle). CRA Evidence bietet Vorfallsmanagement-Tools, um diese Meldepflichten zu erfüllen.

TL;DR - Kurzfassung

Der EU Cyber Resilience Act (CRA) verlangt, dass alle Produkte mit digitalen Elementen, die in der EU verkauft werden, bis Dezember 2027 die Cybersicherheitsanforderungen erfüllen. Zu den zentralen Pflichten gehören: Pflege von SBOMs (Software Bills of Materials), Meldung ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden (ab September 2026) und Aufbewahrung technischer Dokumentation für 10 Jahre. Geldbußen können bis zu 15 Mio. € oder 2,5 % des weltweiten Umsatzes betragen. CRA Evidence hilft Herstellern, Importeuren und Händlern bei der Einhaltung durch SBOM-Management, Schwachstellen-Scanning und die Erstellung technischer Dateien.

Durchsetzung beginnt im Dezember 2027

EU-Cyber-Resilienz-Verordnung (CRA)

Die EU-Verordnung 2024/2847 legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Hier erfahren Sie, was Sie wissen müssen.

Was ist der Cyber Resilience Act?

Der CRA verlangt von Unternehmen, ihre Software-Lieferkette zu dokumentieren, Schwachstellen während des Produktlebenszyklus zu überwachen und technische Unterlagen 10 Jahre aufzubewahren. Das ist viel Papierkram.

Veröffentlicht als Verordnung (EU) 2024/2847 umfasst sie Hardware- und Softwareprodukte, die in der EU verkauft werden: IoT‑Geräte, industrielle Steuerungssysteme, eigenständige Software und mehr.

Die Verordnung schreibt Software-Stücklisten (SBOMs), Prozesse zur Schwachstellenbehandlung, Risikobewertungen und technische Dokumentation vor. Für Hardwareprodukte sind zudem HBOMs erforderlich. VEX-Dokumente kommunizieren den Schwachstellenstatus an nachgelagerte Nutzer.

Offizielle EU-CRA-Seite

Europäische Kommission

Vollständiger Verordnungstext

EUR-Lex Amtsblatt

Wichtige Compliance-Fristen

11. September 2026

Schwachstellen-Meldung beginnt

Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Bekanntwerden an ENISA und nationale Behörden melden. Detaillierte Berichte sind innerhalb von 72 Stunden fällig.

11. Dezember 2027

Volle CRA-Durchsetzung

Alle Produkte mit digitalen Elementen müssen die wesentlichen Cybersicherheitsanforderungen erfüllen. Nicht konforme Produkte dürfen nicht auf dem EU-Markt verkauft werden.

Strafen bei Nichteinhaltung

Der CRA führt erhebliche finanzielle Strafen bei Nichteinhaltung ein. Marktüberwachungsbehörden können auch Produktrückrufe anordnen und den Verkauf auf dem EU-Markt verbieten.

€15M

oder 2,5% des weltweiten Umsatzes

Wesentliche Anforderungen

€10M

oder 2% des weltweiten Umsatzes

Sonstige Pflichten

€5M

oder 1% des weltweiten Umsatzes

Irreführende Informationen

Produktklassifizierung

Der CRA kategorisiert Produkte nach ihrem Cybersicherheits-Risikoniveau. Produkte mit höherem Risiko unterliegen strengeren Konformitätsbewertung-Anforderungen.

Kategorie	Beispiele	Konformitätsbewertung
Standard	Die meisten Softwareanwendungen, IoT-Geräte, Unterhaltungselektronik	Selbstbewertung zulässig
Wichtige Klasse I	Identitätsmanagement, Browser, Passwort-Manager, VPNs, Netzwerkmanagement	Selbstbewertung bei Verwendung von harmonisierte Normen; andernfalls Drittbewertung
Wichtige Klasse II	Hypervisoren, Container-Laufzeiten, Firewalls, Einbruchserkennung, sichere Elemente	Konformitätsbewertung durch Dritte erforderlich
Kritisch	Hardware-Sicherheitsmodule, Smartcard-Leser, Secure-Boot-Systeme	Strengste Anforderungen (Anhang IV)

Dokumentationsanforderungen (Anhang VII)

Hersteller müssen technische Dokumentation erstellen und pflegen, die die Einhaltung der wesentlichen Anforderungen nachweist. Diese Dokumentation muss mindestens 10 Jahre nach dem Inverkehrbringen des Produkts aufbewahrt werden.

Stücklisten (SBOM/HBOM)

SBOMs, die alle Softwarekomponenten und Abhängigkeiten auflisten. Für Hardwareprodukte listen HBOMs Hardwarekomponenten auf. VEX-Dokumente kommunizieren den Schwachstellenstatus. Müssen den CycloneDX- oder SPDX-Standards gemäß TR-03183 folgen.

Risikobewertung

Cybersicherheits-Risikobewertung, die potenzielle Bedrohungen, Schwachstellen und die Maßnahmen zu deren Behebung abdeckt.

EU-Konformitätserklärung

Eine formelle Erklärung, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt, unterzeichnet von einem bevollmächtigten Vertreter.

Benutzerdokumentation

Anweisungen für sichere Installation, Betrieb und Wartung. Muss Informationen über den Supportzeitraum und Sicherheitsupdates enthalten.

Richtlinie zur Schwachstellenbehandlung

Dokumentierter Prozess zur Identifizierung, Verfolgung und Behebung von Schwachstellen. Muss koordinierte Offenlegungsverfahren enthalten.

Prüfberichte

Nachweis von Sicherheitstests, einschließlich Penetrationstests, Code-Reviews und Überprüfung der wesentlichen Anforderungen.

ENISA-Schwachstellenmeldung

Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen an ENISA (Agentur der Europäischen Union für Cybersicherheit) und ihr nationales CSIRT unter Einhaltung strenger Fristen melden.

Die Nichtmeldung innerhalb der vorgeschriebenen Fristen kann zu erheblichen Strafen und Reputationsschäden führen.

Innerhalb von 24 Stunden

Frühwarnung - Erstmeldung einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls. Grundlegende Informationen über die Bedrohung.

Innerhalb von 72 Stunden

Detaillierter Bericht - Technische Details, betroffene Produkte, Schweregradbewertung und erste Abhilfemaßnahmen.

Innerhalb von 14 Tagen

Abschlussbericht (Schwachstellen) - Vollständige Analyse, Ursachenforschung, vollständige Behebung und Lessons Learned.

Innerhalb von 1 Monat

Abschlussbericht (Vorfälle) - Bei schwerwiegenden Sicherheitsvorfällen ist ein Abschlussbericht innerhalb eines Monats fällig.

Wie CRA Evidence hilft

Der CRA gilt unterschiedlich je nach Ihrer Rolle in der Lieferkette. CRA Evidence passt sich an jede an.

CRA-Lieferkettendiagramm mit Hersteller-, Importeur- und Händlerrollen

CRA-Verpflichtungen variieren je nach Rolle in der Lieferkette

Hersteller

Artikel 13 legt Ihnen die schwersten Pflichten auf: SBOMs, Schwachstellenbehandlung, Sicherheitsupdates, technische Dokumentation.

SBOM-Validierung (TR-03183)
Überwachung von Schwachstellen
Technischer Datei-Export
Konformitätserklärung

Importeure

Artikel 19 macht Sie dafür verantwortlich, die Herstellerkonformität zu prüfen, bevor Sie in der EU verkaufen.

Prüf-Checklisten
Hersteller-Tracking
Nachweisspeicherung
Audit-Trail

Vertriebspartner

Die Pflichten nach Artikel 20 sind leichter: CE-Kennzeichnung prüfen und nicht konforme Produkte korrekt behandeln.

Sorgfaltspflicht-Checklisten
Lieferantenverfolgung
CE-Verifizierung
Incident-Eskalation

Beginnen Sie jetzt mit den Vorbereitungen

Dezember 2027 ist näher als es scheint. Bereiten Sie Ihre Produkte und Dokumentation vor.

14-tägige Testversion starten Funktionen ansehen

Erfahren Sie, wie CRA Evidence bei der Compliance hilft Die neuesten CRA-Compliance-Artikel lesen