Der Cyber Resilience Act (CRA) ist das erste EU-Gesetz für Cybersicherheit von Produkten. Ab dem 11. Dezember 2027 muss alles, was Sie auf dem EU-Markt verkaufen und Software ausführt oder einen Chip enthält, mit eingebauter Sicherheit ausgeliefert werden, mit einer SBOM, einer EU-Konformitätserklärung und einem Schwachstellenbehandlungsprozess, der über den gesamten Unterstützungszeitraum läuft. Diese Seite erklärt, was das Gesetz verlangt, ab wann es greift und was passiert, wenn Sie es ignorieren.
Zusammenfassung
- Der CRA ist in Kraft, aber Sie haben Zeit. Die Verordnung (EU) 2024/2847 ist am 10. Dezember 2024 in Kraft getreten und gilt vollständig ab dem 11. Dezember 2027 (Artikel 71(2)).
- Die Meldepflicht beginnt 15 Monate früher. Ab dem 11. September 2026 müssen Hersteller schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen an ENISA und ihr CSIRT melden (Artikel 14).
- Die Konformität erzeugt vier Artefakte. Eine SBOM, eine EU-Konformitätserklärung, eine technische Dokumentation nach Anhang VII und einen dokumentierten Schwachstellenbehandlungsprozess. Dieses Bündel beschreibt, was "CRA-ready" bedeutet.
- Die Bußgelder sind real. Bis zu 15 000 000 EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem was höher ist, für die schwersten Verstöße (Artikel 64(2)).
- Es ist nicht GDPR und nicht NIS2. Der CRA reguliert die Cybersicherheit des Produkts selbst, nicht personenbezogene Daten und nicht die operative Sicherheit wesentlicher Einrichtungen.
- Ihre Pflichten hängen von Ihrer Rolle und Produktklasse ab. Hersteller, Einführer, Händler oder Verwalter quelloffener Software; Standard, Wichtig Klasse I oder II oder Kritisch. Die nächste Seite ordnet das.
Die vier Zahlen, die den CRA definieren: ab wann er gilt, ab wann die Meldung beginnt, das Höchstbußgeld und der Mindest-Unterstützungszeitraum für Sicherheitsupdates.
Was der Cyber Resilience Act regelt
Der CRA ist die Verordnung (EU) 2024/2847. Artikel 1 umfasst vier Bereiche:
| Was der CRA abdeckt | Wo es in der Verordnung steht |
|---|---|
| Regeln für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem EU-Markt | Kapitel I, Artikel 1 bis 7 |
| Wesentliche Cybersicherheitsanforderungen für Konzeption, Entwicklung und Herstellung | Anhang I Teil I, mit Herstellerpflichten in Artikel 13 |
| Schwachstellenbehandlung, solange das Produkt unterstützt wird | Anhang I Teil II, Artikel 13(8) und Artikel 14 |
| Marktüberwachung und Durchsetzung der Regeln | Kapitel VII, Artikel 52 bis 66 |
In der Praxis führt der CRA ein CE-Kennzeichnungsregime für Cybersicherheit ein. Ein Produkt mit digitalen Elementen (Hardware, Software oder eine vom Hersteller bereitgestellte Lösung zur Datenfernverarbeitung) darf nicht auf dem EU-Markt in Verkehr gebracht werden, sofern der Hersteller nicht nachweisen kann, dass es Anhang I erfüllt und einen Schwachstellenbehandlungsprozess über den gesamten Unterstützungszeitraum betreibt.
Der CRA ist horizontal: Er schneidet quer durch Produktkategorien, statt in einem einzelnen Sektor zu sitzen. Wo ein Produkt bereits unter ein sektorspezifisches Cybersicherheitsregime fällt (Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt, Schiffsausrüstung oder Verteidigung), schneidet Artikel 2 die Überschneidung heraus, damit dasselbe Produkt nicht zweimal für dasselbe Risiko reguliert wird.
Ab wann der CRA gilt: die Stichtage
| Datum | Was gilt | Quelle |
|---|---|---|
| 10. Dezember 2024 | Verordnung tritt in Kraft (zwanzigster Tag nach Veröffentlichung im ABl.) | Artikel 71(1) |
| 11. Juni 2026 | Kapitel IV (Artikel 35 bis 51) zur Notifizierung der Konformitätsbewertungsstellen gilt | Artikel 71(2) |
| 11. September 2026 | Meldepflichten nach Artikel 14 gelten für schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen, auch für bereits in Verkehr befindliche Produkte | Artikel 71(2) und 69(3) |
| 11. Dezember 2027 | Verordnung gilt vollständig für alle Produkte mit digitalen Elementen, die ab diesem Datum auf dem EU-Markt in Verkehr gebracht werden | Artikel 71(2) |
Produkte, die vor dem 11. Dezember 2027 auf dem EU-Markt in Verkehr gebracht wurden, fallen nicht unter die volle Verordnung, es sei denn, sie werden ab diesem Datum wesentlich verändert (Artikel 69(2)). Die Meldepflicht nach Artikel 14 gilt jedoch ab dem 11. September 2026 für alle in den Anwendungsbereich fallenden Produkte auf dem Markt, unabhängig davon, wann sie in Verkehr gebracht wurden (Artikel 69(3)).
Wie CRA-Konformität aussieht
Vier Artefakte machen ein Produkt zusammen CRA-konform. Welche davon Sie schulden, hängt von Ihrer Rolle und der Konformitätsbewertungsklasse des Produkts ab; siehe Wer den CRA einhalten muss.
| Artefakt | Antwort in einfachen Worten | Wo es vorgeschrieben ist |
|---|---|---|
| SBOM (Details) | Eine Liste dessen, was in Ihrem Produkt steckt, in CycloneDX oder SPDX, während des Unterstützungszeitraums aktuell gehalten. | Anhang I Teil I |
| EU-Konformitätserklärung (Details) | Ihre unterzeichnete Erklärung „dieses Produkt erfüllt die Regeln", unter Angabe des genutzten Konformitätsweges. Eine pro Produkt, zehn Jahre aufzubewahren. | Artikel 28, Anhang V |
| Technische Unterlagen nach Anhang VII (Details) | Der Nachweisordner hinter der Erklärung: Risikobewertung, Konstruktions- und Entwicklungsinformationen, Schwachstellenbehandlungsprozess und Nachweis der Konformitätsbewertung. | Anhang VII |
| Schwachstellenbehandlungsprozess (Details) | Wie Sie Sicherheitsupdates über den gesamten Unterstützungszeitraum finden, beheben und ausliefern: Offenlegungsrichtlinie, Triage, Behebung und kostenlose Patches. | Anhang I Teil II |
Bußgelder nach Artikel 64
Artikel 64 legt drei Bußgeldstufen fest. Der jeweils höhere Betrag aus absoluter Obergrenze oder Prozentsatz des weltweiten Umsatzes gilt.
| Stufe | Auslösender Verstoß | Höchstbußgeld |
|---|---|---|
| Stufe 1 | Nichteinhaltung der wesentlichen Cybersicherheitsanforderungen aus Anhang I oder der Pflichten aus Artikel 13 und 14 | 15 000 000 EUR oder 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem was höher ist |
| Stufe 2 | Nichteinhaltung der Pflichten aus Artikel 18 bis 23, 28, 30(1) bis (4), 31(1) bis (4), 32(1) bis (3), 33(5), 39, 41, 47, 49 und 53 | 10 000 000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem was höher ist |
| Stufe 3 | Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen an notifizierte Stellen und Marktüberwachungsbehörden | 5 000 000 EUR oder 1 % des gesamten weltweiten Jahresumsatzes, je nachdem was höher ist |
Marktüberwachungsbehörden berücksichtigen Art, Schwere und Dauer des Verstoßes, Wiederholungstaten sowie die Größe des Verursachers, und prüfen Kleinstunternehmen, Kleinunternehmen und Start-ups weniger streng (Artikel 64(5) und 64(10)). Verwalter quelloffener Software sind von den Bußgeldern der Stufen 2 und 3 ausgenommen (Artikel 64(10)(b)). Neben Bußgeldern können Marktüberwachungsbehörden auch Korrekturmaßnahmen anordnen, den Verkauf einschränken, nicht-konforme Produkte zurückrufen und die weitere Bereitstellung auf dem EU-Markt untersagen (Artikel 54).
Was der CRA nicht ist
Der CRA steht neben mehreren anderen EU-Gesetzen, die ebenfalls die Cybersicherheit berühren. Drei häufige Verwechslungen:
- Der CRA ist nicht GDPR. GDPR (Verordnung 2016/679) schützt personenbezogene Daten. Der CRA schützt die Cybersicherheit des Produkts. Ein Produkt kann GDPR-relevant, CRA-relevant, beides oder keines sein.
- Der CRA ist nicht NIS2. NIS2 (Richtlinie 2022/2555) reguliert die operative Cybersicherheit wesentlicher und wichtiger Einrichtungen. Der CRA reguliert die Cybersicherheit der Konzeption und des Lebenszyklus der Produkte, die diese Einrichtungen kaufen und nutzen.
- Der CRA ersetzt keine Sektorgesetze. Medizinprodukte (MDR, IVDR), Kraftfahrzeuge (Verordnung 2018/858), Luftfahrt (Verordnung 2018/1139) und Schiffsausrüstung (Richtlinie 2014/90/EU) behalten ihre Cybersicherheitsregime; der CRA schneidet sie in Artikel 2 heraus. Die Maschinenverordnung 2023/1230 und die Funkanlagen-Richtlinie überschneiden sich mit dem CRA in eng umrissenen Punkten, die im Leitfaden zur Überschneidung von CRA und Maschinenverordnung erläutert werden.
Häufig gestellte Fragen
Ab wann gilt der CRA tatsächlich für mein Produkt?
Es kommt darauf an, wann das Produkt auf dem EU-Markt in Verkehr gebracht wird. Die volle Verordnung gilt für jedes Produkt mit digitalen Elementen, das ab dem 11. Dezember 2027 auf dem Markt in Verkehr gebracht wird. Vor diesem Datum in Verkehr gebrachte Produkte fallen nicht rückwirkend in den Anwendungsbereich, es sei denn, sie werden nach dem 11. Dezember 2027 wesentlich verändert; in diesem Fall gelten sie als neues Produkt (Artikel 71(2) und 69(2)).
Was ändert sich am 11. September 2026, bevor das vollständige Regime gilt?
Die Meldepflicht nach Artikel 14 beginnt. Ab diesem Datum müssen Hersteller in den Anwendungsbereich fallender Produkte schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen an ENISA und das zuständige CSIRT melden, auch für bereits auf dem Markt befindliche Produkte. Der Rest der Verordnung gilt noch nicht, die Meldepflicht aber schon (Artikel 69(3)).
Ist der CRA dasselbe wie GDPR oder NIS2?
Nein. GDPR schützt personenbezogene Daten. NIS2 reguliert die operative Sicherheit wesentlicher und wichtiger Einrichtungen (Energieversorger, Krankenhäuser, Cloud-Anbieter und so weiter). Der CRA reguliert die Cybersicherheit des Produkts selbst: wie es konzipiert ist, mit welchen Schwachstellen es ausgeliefert wird und wie der Hersteller Schwachstellen über den Unterstützungszeitraum behandelt. Dasselbe Unternehmen kann allen drei Regimen zugleich unterliegen, doch die Pflichten sitzen auf unterschiedlichen Gegenständen: Daten, Organisationen und Produkten.
Gilt der CRA für freie und quelloffene Software?
Nur, wenn sie im Rahmen einer gewerblichen Tätigkeit bereitgestellt wird. Rein nicht-gewerbliche Open-Source-Projekte fallen aus dem Anwendungsbereich. Wo ein Projekt monetarisiert wird (entgeltlicher Support, kommerzieller Vertrieb, eingebettet in ein in Verkehr gebrachtes Produkt), gilt der CRA. Artikel 24 schafft ein leichteres Regime für Verwalter quelloffener Software (Stiftungen und ähnliche Einrichtungen, die Open-Source-Projekte dauerhaft pflegen), das einige Governance-Pflichten enthält, aber nicht die vollen Herstellerpflichten, und nimmt Verwalter von den Bußgeldern der Stufen 2 und 3 aus (Artikel 2(2) und 24; Bußgeldausnahme nach Artikel 64(10)(b)).
Was geschieht mit Produkten, die am 11. Dezember 2027 bereits auf dem Markt sind?
Sie behalten ihren bestehenden Marktzugang und werden nicht rückwirkend durch die CRA-Konformitätsbewertung gezwungen. Ein vorbestehendes Produkt fällt nur dann in die volle Verordnung, wenn es nach dem 11. Dezember 2027 wesentlich verändert wird; in diesem Fall gilt es als neues, in Verkehr gebrachtes Produkt. Die Meldepflicht gilt für diese Bestandsprodukte ab dem 11. September 2026, und Sicherheitsupdates, die im Rahmen einer bestehenden Unterstützungszusage geschuldet sind, laufen weiter (Artikel 69(2); Meldepflicht nach Artikel 69(3)).
Wer setzt den CRA durch und woher kommen die Bußgelder?
Jeder Mitgliedstaat benennt eine oder mehrere Marktüberwachungsbehörden, die über die Administrative Cooperation Group (ADCO) koordiniert und von ENISA unterstützt werden. Behörden können technische Dokumentation anfordern, Korrekturmaßnahmen verlangen, nicht-konforme Produkte beschränken oder zurückrufen und die Bußgelder nach Artikel 64 verhängen. Die Kommission kann bei Produkten mit unionsweiter Wirkung handeln. ENISA betreibt die einheitliche Meldeplattform für Vorfälle und Schwachstellen nach Artikel 14.