Was ist der CRA? Cyber Resilience Act 2024/2847

Veröffentlicht 6. Mai 2026 Aktualisiert 15. Juni 2026

Der Cyber Resilience Act (CRA) ist das erste EU-Gesetz für Cybersicherheit von Produkten. Ab dem 11. Dezember 2027 muss alles, was Sie auf dem EU-Markt verkaufen und Software ausführt oder einen Chip enthält, mit eingebauter Sicherheit ausgeliefert werden, mit einer SBOM, einer EU-Konformitätserklärung und einem Schwachstellenbehandlungsprozess, der über den gesamten Unterstützungszeitraum läuft. Diese Seite erklärt, was das Gesetz verlangt, ab wann es greift und was passiert, wenn Sie es ignorieren.

Zusammenfassung

  • Der CRA ist in Kraft, aber Sie haben Zeit. Die Verordnung (EU) 2024/2847 ist am 10. Dezember 2024 in Kraft getreten und gilt vollständig ab dem 11. Dezember 2027.
  • Die Meldepflicht beginnt 15 Monate früher. Ab dem 11. September 2026 müssen Hersteller schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen an ENISA und ihr CSIRT melden.
  • Die Konformität erzeugt vier Artefakte. Eine SBOM, eine EU-Konformitätserklärung, technische Dokumentation und einen dokumentierten Schwachstellenbehandlungsprozess. Dieses Bündel beschreibt, was „CRA-ready" bedeutet.
  • Die Bußgelder sind real. Bis zu 15 000 000 EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem was höher ist, für die schwersten Verstöße.
  • Es ist nicht GDPR und nicht NIS2. Der CRA reguliert die Cybersicherheit des Produkts selbst, nicht personenbezogene Daten und nicht die operative Sicherheit wesentlicher Einrichtungen.
  • Ihre Pflichten hängen von Ihrer Rolle und Produktklasse ab. Hersteller, Einführer, Händler oder Verwalter quelloffener Software; Standard, Wichtig Klasse I oder II oder Kritisch. Die Seite Wer muss den CRA einhalten ordnet das Schritt für Schritt.
11. Dez. 2027
Vollständige Anwendbarkeit
Verordnung 2024/2847
11. Sep. 2026
Meldung startet
Schwerwiegende Vorfälle und ausgenutzte Schwachstellen
€15M / 2,5%
Höchstbußgeld
Je nachdem was höher ist
5 J.
Mindest-Unterstützungszeitraum
Außer bei kürzerer erwarteter Nutzung

Die vier Zahlen, die den CRA definieren: ab wann er gilt, ab wann die Meldung beginnt, das Höchstbußgeld und der Mindest-Unterstützungszeitraum für Sicherheitsupdates.

Was der Cyber Resilience Act regelt

Der Cyber Resilience Act, kurz CRA, ist die Verordnung (EU) 2024/2847. Er führt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein, die auf dem EU-Markt bereitgestellt werden, und gilt für Hardware und Software gleichermaßen. Hersteller müssen nachweisen, dass ihre Produkte sicher konzipiert und gebaut sind, eine SBOM und eine EU-Konformitätserklärung mitliefern und über den gesamten Unterstützungszeitraum einen Schwachstellenbehandlungsprozess betreiben.

Der CRA ist außerdem horizontal: Er schneidet quer durch Produktkategorien, statt in einem einzelnen Sektor zu sitzen. Wo ein Produkt bereits unter ein sektorspezifisches Cybersicherheitsregime fällt (Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt, Schiffsausrüstung oder Verteidigung), schneidet die CRA die Überschneidung heraus, damit dasselbe Produkt nicht zweimal für dasselbe Risiko reguliert wird.

Praktisch regelt der CRA vier Dinge:

  • Regeln für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem EU-Markt
  • Wesentliche Cybersicherheitsanforderungen für Konzeption, Entwicklung und Herstellung
  • Schwachstellenbehandlung, solange das Produkt unterstützt wird
  • Marktüberwachung und Durchsetzung der Regeln

Ab wann der CRA gilt: die Stichtage

CRA-Umsetzungszeitplan 2024–2027 Cyber Resilience Act: Herstellerpflichten und Ökosystem-Meilensteine
10 Dez 2024 CRA tritt in Kraft
11 Jun 2026 NB-Notifizierung (Mitgliedstaat)
11 Sep 2026 Schwachstellenmeldung beginnt beginnt am 11.09.2026
!
11 Dez 2027 Vollständige Konformität erforderlich
Harmonisierte Normen (EN-40000-Reihe): noch nicht im ABl. zitiert (frühestens Q4 2026)
Öffentliche Befragung / Kommentierung
Q4 2026 Früheste ABl.-Zitierung (Vertikalen: voraussichtl. 2027)
  • Vergangener Meilenstein
  • Bevorstehende Durchsetzung
  • Endtermin
  • Ökosystem-Meilenstein
Meilensteine der CRA-Umsetzung. Die Verordnung ist am 10. Dezember 2024 in Kraft getreten; die Vorfalls- und Schwachstellenmeldung gilt ab dem 11. September 2026; das vollständige Regime gilt ab dem 11. Dezember 2027.
Datum Was gilt
10. Dezember 2024 Die Verordnung tritt in Kraft, 20 Tage nach Veröffentlichung im EU-Amtsblatt
11. Juni 2026 Die Vorschriften zur Notifizierung der Konformitätsbewertungsstellen gelten
11. September 2026 Die Meldepflicht startet. Hersteller müssen schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen melden, auch für bereits in Verkehr befindliche Produkte
11. Dezember 2027 Die Verordnung gilt vollständig für jedes Produkt mit digitalen Elementen, das auf dem EU-Markt in Verkehr gebracht wird

Produkte, die vor dem 11. Dezember 2027 auf dem EU-Markt in Verkehr gebracht wurden, fallen nicht unter die volle Verordnung, es sei denn, sie werden ab diesem Datum wesentlich verändert. Die Meldepflicht gilt jedoch ab dem 11. September 2026 für alle in den Anwendungsbereich fallenden Produkte auf dem Markt, unabhängig davon, wann sie in Verkehr gebracht wurden.

Wie CRA-Konformität aussieht

Vier Artefakte machen ein Produkt zusammen CRA-konform. Welche davon Sie schulden, hängt von Ihrer Rolle und der Konformitätsbewertungsklasse des Produkts ab; siehe Wer den CRA einhalten muss.

Artefakt Antwort in einfachen Worten
SBOM Eine Liste dessen, was in Ihrem Produkt steckt, in CycloneDX oder SPDX, während des Unterstützungszeitraums aktuell gehalten.
EU-Konformitätserklärung Ihre unterzeichnete Erklärung „dieses Produkt erfüllt die Regeln", unter Angabe des genutzten Konformitätsweges. Eine pro Produkt, mindestens zehn Jahre aufzubewahren, oder länger, falls der Supportzeitraum dies erfordert.
Technische Dokumentation Der Nachweisordner hinter der Erklärung: Risikobewertung, Konstruktions- und Entwicklungsinformationen, Schwachstellenbehandlungsprozess und Nachweis der Konformitätsbewertung.
Schwachstellenbehandlungsprozess Wie Sie Sicherheitsupdates über den gesamten Unterstützungszeitraum finden, beheben und ausliefern: Offenlegungsrichtlinie, Triage, Behebung und kostenlose Patches.

CRA-Bußgelder und Durchsetzung

Die CRA kennt drei Bußgeldstufen. Für Unternehmen gilt der umsatzbezogene Prozentsatz, wenn er höher ist als die feste EUR-Obergrenze.

Stufe Auslösender Verstoß Höchstbußgeld
Stufe 1 Nichteinhaltung der grundlegenden Cybersicherheitsanforderungen oder der Hersteller- und Meldepflichten 15 000 000 EUR oder 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem was höher ist
Stufe 2 Verstöße gegen weitere Pflichten von Wirtschaftsakteuren und zur Konformität: Prüfungen durch Einführer und Händler, CE- und Dokumentationspflichten, Zusammenarbeit mit Behörden und Regeln für notifizierte Stellen 10 000 000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem was höher ist
Stufe 3 Bereitstellung falscher, unvollständiger oder irreführender Angaben gegenüber notifizierten Stellen und Marktüberwachungsbehörden 5 000 000 EUR oder 1 % des gesamten weltweiten Jahresumsatzes, je nachdem was höher ist

Bei der Festsetzung des Bußgelds müssen Marktüberwachungsbehörden Art, Schwere und Dauer des Verstoßes, Wiederholungstaten sowie die Größe des Wirtschaftsakteurs berücksichtigen, einschließlich der Frage, ob es sich um ein Kleinstunternehmen, KMU oder Start-up handelt. Verwalter quelloffener Software sind von den Bußgeldern der Stufen 2 und 3 ausgenommen. Neben Bußgeldern können Marktüberwachungsbehörden auch Korrekturmaßnahmen anordnen, den Verkauf einschränken, nicht-konforme Produkte zurückrufen und die weitere Bereitstellung auf dem EU-Markt untersagen.

Die ausführliche Einordnung der Bußgeldstufen, Rückrufbefugnisse und Nachweise finden Sie im Leitfaden zu CRA-Bußgeldern und Durchsetzung.

Was der CRA nicht ist

Der CRA steht neben mehreren anderen EU-Gesetzen, die ebenfalls die Cybersicherheit berühren. Drei häufige Verwechslungen:

  • Der CRA ist nicht GDPR. GDPR (Verordnung 2016/679) schützt personenbezogene Daten. Der CRA schützt die Cybersicherheit des Produkts. Ein Produkt kann GDPR-relevant, CRA-relevant, beides oder keines sein.
  • Der CRA ist nicht NIS2. NIS2 (Richtlinie 2022/2555) reguliert die operative Cybersicherheit wesentlicher und wichtiger Einrichtungen. Der CRA reguliert die Cybersicherheit der Konzeption und des Lebenszyklus der Produkte, die diese Einrichtungen kaufen und nutzen.
  • Der CRA ersetzt keine Sektorgesetze. Medizinprodukte (MDR, IVDR), Kraftfahrzeuge (Verordnung 2019/2144), Luftfahrt (Verordnung 2018/1139) und Schiffsausrüstung (Richtlinie 2014/90/EU) behalten ihre Cybersicherheitsregime; der CRA schneidet sie heraus. Die Maschinenverordnung 2023/1230 und die Funkanlagen-Richtlinie überschneiden sich mit dem CRA in eng umrissenen Punkten, die im Leitfaden zur Überschneidung von CRA und Maschinenverordnung erläutert werden.

Häufig gestellte Fragen

Ab wann gilt der CRA tatsächlich für mein Produkt?

Es kommt darauf an, wann das Produkt auf dem EU-Markt in Verkehr gebracht wird. Die volle Verordnung gilt für jedes Produkt mit digitalen Elementen, das ab dem 11. Dezember 2027 auf dem Markt in Verkehr gebracht wird. Vor diesem Datum in Verkehr gebrachte Produkte fallen nicht rückwirkend in den Anwendungsbereich, es sei denn, sie werden nach dem 11. Dezember 2027 wesentlich verändert; in diesem Fall gelten sie als neues Produkt.

Was ändert sich am 11. September 2026, bevor das vollständige Regime gilt?

Die Meldepflicht beginnt. Ab diesem Datum müssen Hersteller in den Anwendungsbereich fallender Produkte schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen an ENISA und das zuständige CSIRT melden, auch für bereits auf dem Markt befindliche Produkte. Der Rest der Verordnung gilt noch nicht, die Meldepflicht aber schon.

Ist der CRA dasselbe wie GDPR oder NIS2?

Nein. GDPR schützt personenbezogene Daten. NIS2 reguliert die operative Sicherheit wesentlicher und wichtiger Einrichtungen (Energieversorger, Krankenhäuser, Cloud-Anbieter und so weiter). Der CRA reguliert die Cybersicherheit des Produkts selbst: wie es konzipiert ist, mit welchen Schwachstellen es ausgeliefert wird und wie der Hersteller Schwachstellen über den Unterstützungszeitraum behandelt. Dasselbe Unternehmen kann allen drei Regimen zugleich unterliegen, doch die Pflichten sitzen auf unterschiedlichen Gegenständen: Daten, Organisationen und Produkten.

Gilt der CRA für freie und quelloffene Software?

Nur, wenn sie im Rahmen einer gewerblichen Tätigkeit bereitgestellt wird. Rein nicht-gewerbliche Open-Source-Projekte fallen aus dem Anwendungsbereich. Wo ein Projekt monetarisiert wird (entgeltlicher Support, kommerzieller Vertrieb, eingebettet in ein in Verkehr gebrachtes Produkt), gilt der CRA. Für Verwalter quelloffener Software gilt ein leichteres Regime (Stiftungen und ähnliche Einrichtungen, die Open-Source-Projekte dauerhaft pflegen), das einige Governance-Pflichten enthält, aber nicht die vollen Herstellerpflichten, und nimmt Verwalter von den Bußgeldern der Stufen 2 und 3 aus.

Was geschieht mit Produkten, die am 11. Dezember 2027 bereits auf dem Markt sind?

Sie behalten ihren bestehenden Marktzugang und werden nicht rückwirkend durch die CRA-Konformitätsbewertung gezwungen. Ein vorbestehendes Produkt fällt nur dann in die volle Verordnung, wenn es nach dem 11. Dezember 2027 wesentlich verändert wird; in diesem Fall gilt es als neues, in Verkehr gebrachtes Produkt. Die Meldepflicht gilt für diese Bestandsprodukte ab dem 11. September 2026, und Sicherheitsupdates, die im Rahmen einer bestehenden Unterstützungszusage geschuldet sind, laufen weiter.

Wer setzt den CRA durch und woher kommen die Bußgelder?

Jeder Mitgliedstaat benennt eine oder mehrere Marktüberwachungsbehörden, die über die Administrative Cooperation Group (ADCO) koordiniert und von ENISA unterstützt werden. Behörden können technische Dokumentation anfordern, Korrekturmaßnahmen verlangen, nicht-konforme Produkte beschränken oder zurückrufen und Bußgelder verhängen. Die Kommission kann bei Produkten mit unionsweiter Wirkung handeln. ENISA betreibt die einheitliche Meldeplattform für schwerwiegende Vorfälle und ausgenutzte Schwachstellen.

Wo Sie ansetzen

  1. Führen Sie die Anwendbarkeitsprüfung durch: lesen Sie Wer muss den Cyber Resilience Act einhalten für die Geltungsbereichsprüfung und die Rollendefinitionen für Hersteller, Einführer und Händler.
  2. Bestimmen Sie Ihre Rolle und Produktklasse. Hersteller tragen die größte Last; Einführer und Händler tragen Verifizierungspflichten; Verwalter quelloffener Software haben ein leichteres Regime.
  3. Bauen Sie die vier Artefakte in dieser Reihenfolge auf: SBOM, technische Dokumentation, Schwachstellenbehandlungsprozess, EU-Konformitätserklärung.
  4. Wählen Sie den Konformitätsbewertungsweg danach, ob Ihr Produkt Standard, Wichtig Klasse I oder II oder Kritisch ist und ob harmonisierte Normen oder eine notifizierte Stelle nötig sind.
  5. Kehren Sie zum CRA-Konformitäts-Hub zurück und arbeiten Sie die vier Karten ab: SBOM, Konformität und Dokumentation, Schwachstellenbehandlung und Meldung sowie Unterstützungszeitraum.