What is the EU Cyber Resilience Act (CRA)?

The EU Cyber Resilience Act (CRA), formally Regulation (EU) 2024/2847, is European legislation that establishes mandatory cybersecurity requirements for products with digital elements sold in the EU market. It requires manufacturers to implement security by design, provide security updates throughout the product lifecycle, maintain Software Bills of Materials (SBOMs), and report actively exploited vulnerabilities to ENISA within 24 hours.

When does the CRA come into effect?

The CRA entered into force on December 10, 2024. Vulnerability reporting obligations to ENISA begin on September 11, 2026. The main obligations (security requirements, SBOM, CE marking, technical documentation) apply from December 11, 2027. After this date, non-compliant products cannot be sold in the EU market.

What are the penalties for CRA non-compliance?

CRA non-compliance penalties can reach up to €15 million or 2.5% of global annual turnover for essential requirement violations, €10 million or 2% for other obligations, and €5 million or 1% for providing misleading information. Market surveillance authorities can also order product recalls and prohibit sales in the EU.

What tools help with CRA compliance?

CRA Evidence (craevidence.com) is a compliance platform built for the EU Cyber Resilience Act. It covers SBOM management (CycloneDX/SPDX), vulnerability scanning with EPSS prioritization, technical file generation, compliance dashboards, and incident management with ENISA notification support. It supports manufacturers, importers, and distributors from SBOM to audit.

What is an SBOM and why is it required for CRA?

A Software Bill of Materials (SBOM) is a formal, machine-readable inventory of software components and dependencies in a product. Under the CRA, manufacturers must create and maintain SBOMs in standardized formats like CycloneDX or SPDX (as specified in TR-03183). SBOMs enable vulnerability tracking, license compliance, and supply chain transparency, and must be retained for at least 10 years after the product is placed on the market.

Does the CRA apply to open source software?

Non-monetized, free and open source software developed outside commercial activity is generally exempt from the CRA. However, 'open source stewards' (organizations that systematically support commercial use of open source products) have lighter obligations including security policies and vulnerability handling. Commercial products that incorporate open source components must fully comply with CRA requirements.

What products are excluded from the CRA?

The CRA excludes: pure SaaS (Software-as-a-Service) with no physical or downloadable component, medical devices (covered by MDR), motor vehicles (covered by type-approval regulations), aviation products, marine equipment, and products developed exclusively for national security or defense purposes.

What documentation is required for CRA compliance?

CRA requires manufacturers to maintain: Software Bills of Materials (SBOM) in CycloneDX or SPDX format, cybersecurity risk assessments, EU Declaration of Conformity, user documentation for secure installation and operation, vulnerability handling policy with coordinated disclosure procedures, test reports (penetration tests, code reviews), and evidence of conformity assessment. Documentation must be retained for at least 10 years.

What is the difference between CRA and NIS2?

CRA (Cyber Resilience Act) focuses on product security and applies to manufacturers, importers, and distributors of products with digital elements. NIS2 (Network and Information Security Directive) focuses on organizational cybersecurity and applies to essential and important entities operating critical infrastructure. Many organizations may need to comply with both regulations, as CRA covers the products they sell while NIS2 covers their internal security operations.

How do I report vulnerabilities under the CRA?

From September 2026, manufacturers must report actively exploited vulnerabilities to ENISA and national CSIRTs following strict timelines: Early warning within 24 hours of becoming aware, detailed technical report within 72 hours, and final report within 14 days for vulnerabilities (or 1 month for severe incidents). CRA Evidence provides incident management tools to help meet these reporting obligations.

TL;DR - Kurzfassung

Der EU Cyber Resilience Act (CRA) verlangt, dass alle Produkte mit digitalen Elementen, die in der EU verkauft werden, bis Dezember 2027 die Cybersicherheitsanforderungen erfüllen. Zu den zentralen Pflichten gehören: Pflege von SBOMs (Software Bills of Materials), Meldung ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden (ab September 2026) und Aufbewahrung technischer Dokumentation für 10 Jahre. Geldbußen können bis zu 15 Mio. € oder 2,5 % des weltweiten Umsatzes betragen. CRA Evidence hilft Herstellern, Importeuren und Händlern bei der Einhaltung durch SBOM-Management, Schwachstellen-Scanning und die Erstellung technischer Dateien.

Handhaving begint december 2027

EU Cyber Resilience Act (CRA)

Die EU-Verordnung 2024/2847 legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Hier erfahren Sie, was Sie wissen müssen.

Wat is de Cyber Resilience Act?

Der CRA verlangt von Unternehmen, ihre Software-Lieferkette zu dokumentieren, Schwachstellen während des Produktlebenszyklus zu überwachen und technische Unterlagen 10 Jahre aufzubewahren. Das ist viel Papierkram.

Veröffentlicht als Verordnung (EU) 2024/2847 umfasst sie Hardware- und Softwareprodukte, die in der EU verkauft werden: IoT‑Geräte, industrielle Steuerungssysteme, eigenständige Software und mehr.

Die Verordnung schreibt Software-Stücklisten (SBOMs), Prozesse zur Schwachstellenbehandlung, Risikobewertungen und technische Dokumentation vor. Für Hardwareprodukte sind zudem HBOMs erforderlich. VEX-Dokumente kommunizieren den Schwachstellenstatus an nachgelagerte Nutzer.

Officiële EU CRA-pagina

Europese Commissie

Volledige wettekst

EUR-Lex Publicatieblad

Belangrijke nalevingsdeadlines

11 september 2026

Kwetsbaarheidsmeldingen beginnen

Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Bekanntwerden an ENISA und nationale Behörden melden. Detaillierte Berichte sind innerhalb von 72 Stunden fällig.

11 december 2027

Volledige CRA-handhaving

Alle Produkte mit digitalen Elementen müssen die wesentlichen Cybersicherheitsanforderungen erfüllen. Nicht konforme Produkte dürfen nicht auf dem EU-Markt verkauft werden.

Boetes bij niet-naleving

Der CRA führt erhebliche finanzielle Strafen bei Nichteinhaltung ein. Marktüberwachungsbehörden können auch Produktrückrufe anordnen und den Verkauf auf dem EU-Markt verbieten.

€15M

of 2,5% van de wereldwijde omzet

Essentiële vereisten

€10M

of 2% van de wereldwijde omzet

Overige verplichtingen

€5M

of 1% van de wereldwijde omzet

Misleidende informatie

Productclassificatie

Der CRA kategorisiert Produkte nach ihrem Cybersicherheits-Risikoniveau. Produkte mit höherem Risiko unterliegen strengeren Konformitätsbewertung-Anforderungen.

Categorie	Voorbeelden	Conformiteitsbeoordeling
Standaard	De meeste softwaretoepassingen, IoT-apparaten, consumentenelektronica	Zelfevaluatie toegestaan
Belangrijke klasse I	Identiteitsbeheer, browsers, wachtwoordbeheerders, VPN's, netwerkbeheer	Selbstbewertung bei Verwendung von harmonisierte Normen; andernfalls Drittbewertung
Belangrijke klasse II	Hypervisors, containerruntimes, firewalls, inbraakdetectie, beveiligde elementen	Conformiteitsbeoordeling door derden vereist
Kritiek	Hardware-beveiligingsmodules, smartcardlezers, beveiligde opstartssystemen	Strengste vereisten (bijlage IV)

Documentatievereisten (bijlage VII)

Hersteller müssen technische Dokumentation erstellen und pflegen, die die Einhaltung der wesentlichen Anforderungen nachweist. Diese Dokumentation muss mindestens 10 Jahre nach dem Inverkehrbringen des Produkts aufbewahrt werden.

Stuklijsten (SBOM/HBOM)

SBOMs, die alle Softwarekomponenten und Abhängigkeiten auflisten. Für Hardwareprodukte listen HBOMs Hardwarekomponenten auf. VEX-Dokumente kommunizieren den Schwachstellenstatus. Müssen den CycloneDX- oder SPDX-Standards gemäß TR-03183 folgen.

Risicobeoordeling

Cybersicherheits-Risikobewertung, die potenzielle Bedrohungen, Schwachstellen und die Maßnahmen zu deren Behebung abdeckt.

EU-conformiteitsverklaring

Eine formelle Erklärung, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt, unterzeichnet von einem bevollmächtigten Vertreter.

Gebruikersdocumentatie

Anweisungen für sichere Installation, Betrieb und Wartung. Muss Informationen über den Supportzeitraum und Sicherheitsupdates enthalten.

Beleid voor kwetsbaarheidsbeheer

Dokumentierter Prozess zur Identifizierung, Verfolgung und Behebung von Schwachstellen. Muss koordinierte Offenlegungsverfahren enthalten.

Testrapporten

Nachweis von Sicherheitstests, einschließlich Penetrationstests, Code-Reviews und Überprüfung der wesentlichen Anforderungen.

ENISA-kwetsbaarheidsmeldingen

Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen an ENISA (Agentur der Europäischen Union für Cybersicherheit) und ihr nationales CSIRT unter Einhaltung strenger Fristen melden.

Die Nichtmeldung innerhalb der vorgeschriebenen Fristen kann zu erheblichen Strafen und Reputationsschäden führen.

Binnen 24 uur

Vroegtijdige waarschuwing - Erstmeldung einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls. Grundlegende Informationen über die Bedrohung.

Binnen 72 uur

Gedetailleerd rapport - Technische Details, betroffene Produkte, Schweregradbewertung und erste Abhilfemaßnahmen.

Binnen 14 dagen

Eindrapport (kwetsbaarheden) - Volledige analyse, hoofdoorzaak, volledig herstel en geleerde lessen.

Binnen 1 maand

Eindrapport (incidenten) - Bei schwerwiegenden Sicherheitsvorfällen ist ein Abschlussbericht innerhalb eines Monats fällig.

CRA en de EU Machinerichtlijn

Vanaf januari 2027 vereist de EU Machinerichtlijn (2023/1230) cyberbeveiligingsbewijzen in uw technisch dossier (Bijlage III §1.1.9). Vanaf december 2027 verplicht de CRA volledige productveiligheid gedurende de levenscyclus. Beide regelgevingen gelden voor machines met PLC's, HMI's, ingebedde controllers of netwerkverbinding.

CRA overweging 53 bevestigt dat producten die onder de Machinerichtlijn vallen ook aan de CRA moeten voldoen. CRA-nalevingsbewijzen kunnen voldoen aan de cyberbeveiligingseisen van de Machinerichtlijn — mits correct gestructureerd.

Meer informatie in onze gids voor machinefabrikanten

Hoe CRA Evidence helpt

Der CRA gilt unterschiedlich je nach Ihrer Rolle in der Lieferkette. CRA Evidence passt sich an jede an.

CRA-Lieferkettendiagramm mit Hersteller-, Importeur- und Händlerrollen

CRA-Verpflichtungen variieren je nach Rolle in der Lieferkette

Hersteller

Artikel 13 legt Ihnen die schwersten Pflichten auf: SBOMs, Schwachstellenbehandlung, Sicherheitsupdates, technische Dokumentation.

SBOM-Validierung (TR-03183)
Überwachung von Schwachstellen
Technisch bestandsexport
Konformitätserklärung

Importeure

Artikel 19 macht Sie dafür verantwortlich, die Herstellerkonformität zu prüfen, bevor Sie in der EU verkaufen.

Prüf-Checklisten
Hersteller-Tracking
Nachweisspeicherung
Audit-Trail

Vertriebspartner

Die Pflichten nach Artikel 20 sind leichter: CE-Kennzeichnung prüfen und nicht konforme Produkte korrekt behandeln.

Sorgfaltspflicht-Checklisten
Lieferantenverfolgung
CE-Verifizierung
Incident-Eskalation

Beginnen Sie jetzt mit den Vorbereitungen

Dezember 2027 ist näher als es scheint. Bereiten Sie Ihre Produkte und Dokumentation vor.

Gratis proefperiode van 14 dagen starten Funktionen ansehen

Erfahren Sie, wie CRA Evidence bei der Compliance hilft Die neuesten CRA-Compliance-Artikel lesen