CRA-Normen verspäten sich: Was Hersteller jetzt tun sollten

Die harmonisierten Normen zum Cyber Resilience Act werden nicht rechtzeitig fertig. Die EU-Kommission reagiert mit einem Entwurf, der die Fristen für einen Teil der Normen um rund zwei Monate nach hinten verschiebt. Was nach Entlastung aussieht, bedeutet für Hersteller das Gegenteil: mehr Druck. Denn genau diese Normen beschreiben konkret, wie die CRA-Anforderungen zu erfüllen sind. Solange sie fehlen, müssen Sie den CRA trotzdem einhalten, ohne dass ein fertiges Regelwerk Ihnen sagt, was im Detail zu tun ist. Ihre eigene Frist verschiebt sich nämlich nicht mit. Dieser Beitrag ordnet ein, was die Kommission plant, welche Normen neue Fristen bekommen und warum Sie jetzt handeln sollten, statt auf die fertigen Normen zu warten.

Zur Einordnung: Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verlangt von Herstellern von Produkten mit digitalen Elementen grundlegende Cybersicherheitsanforderungen. Harmonisierte Normen sollen den Nachweis erleichtern, weil ihre Anwendung eine Konformitätsvermutung auslöst. Damit diese Vermutung greift, muss die jeweilige Norm rechtzeitig fertig sein und im Amtsblatt der EU gelistet werden. Genau an dieser Rechtzeitigkeit hakt es nun.

Die Kommission hat noch nichts endgültig entschieden. Sie hat einen Änderungsentwurf zum Standardisierungsauftrag in die Konsultation gegeben. Dieser Auftrag ging ursprünglich als Commission Implementing Decision C(2025)618 vom 3. Februar 2025 an die drei europäischen Normungsorganisationen CEN, CENELEC und ETSI. Er trägt die offizielle Mandatsbezeichnung M/606 und legt fest, welche Normen zum CRA erarbeitet werden und bis wann sie geliefert sein müssen.

Der Änderungsentwurf ändert an diesem Auftrag nur einen einzigen Punkt inhaltlich: Er ersetzt Anhang I des Standardisierungsauftrags, also die Liste der Normen mit ihren Lieferfristen. Anhang II, der die inhaltlichen Anforderungen an die Normen beschreibt, bleibt unverändert. Es geht also ausschließlich um den Zeitplan, nicht um die Substanz der Normen.

Auslöser ist ein gemeinsamer Halbjahresbericht von CEN/CENELEC und ETSI vom 3. Dezember 2025. Darin haben die Normungsorganisationen die Kommission über Entwicklungen informiert, die den Zeitplan einzelner Aktivitäten betreffen. Nach Prüfung des Berichts hält die Kommission eine begrenzte Anpassung des Zeitplans für angemessen, begründet mit verfahrensbedingten und technischen Schwierigkeiten.

Warum der Entwurf noch nicht gilt

Wichtig für die Praxis: Dieser Entwurf des Änderungsbeschlusses ist kein geltendes Recht. Das Dokument trägt den ausdrücklichen Hinweis, dass es von der Europäischen Kommission weder angenommen noch bestätigt wurde. Bindend bleibt bis zur Annahme die Fassung des Auftrags vom 3. Februar 2025 mit den ursprünglichen Fristen.

Das Verfahren sieht zudem eine Bedingung vor: Teilt CEN innerhalb eines Monats nach Erhalt mit, dass es die Änderung nicht akzeptiert, tritt der Änderungsbeschluss nicht in Kraft und die ursprüngliche Fassung vom 3. Februar 2025 gilt unverändert weiter. Solange also weder die Annahme durch die Kommission noch die Zustimmung der Normungsorganisationen feststeht, sollten Sie die neuen Fristen als geplant, nicht als gesichert behandeln.

Welche CRA-Normen verspäten sich konkret?

Der Standardisierungsauftrag gliedert die Normen in drei Blöcke: die horizontalen Normen für Sicherheitsanforderungen (Items 1 bis 14), eine eigene Kategorie für die Schwachstellenbehandlung (Item 15) und die vertikalen Normen für einzelne Produktkategorien (Items 16 bis 41). Der Entwurf verschiebt die Fristen nicht pauschal, sondern gezielt. Die verschobenen Fristen wandern jeweils auf den nächsten Monatsletzten, also um rund zwei Monate nach hinten. Eine große Gruppe bleibt dagegen unangetastet. Die folgende Tabelle stellt die ursprüngliche Lieferfrist der geplanten neuen Frist gegenüber.

NormengruppeUrsprüngliche FristGeplante neue Frist
Horizontale Secure-by-design-Norm (Item 1)30.08.202630.10.2026
Norm zur Schwachstellenbehandlung (Vulnerability Handling, Item 15)30.08.202630.10.2026
26 vertikale Normen für einzelne Produktkategorien (Items 16 bis 41)30.10.202631.12.2026
13 übrige horizontale Normen (Items 2 bis 14)30.10.2027unverändert

Zeitkritisch sind zwei Normen: die horizontale Secure-by-design-Norm und die Norm zur Schwachstellenbehandlung. Beide sollten ursprünglich bis Ende August 2026 vorliegen, künftig bis Ende Oktober 2026. Die 26 vertikalen Normen decken einzelne Produktkategorien wie Betriebssysteme, Router, Passwortmanager oder Smart-Home-Produkte ab.

Unverändert bleiben die 13 übrigen horizontalen Normen, die weitere Produkteigenschaften wie den Schutz vor unbefugtem Zugriff, die Vertraulichkeit von Daten oder die Verfügbarkeit von Funktionen betreffen. Diese Gruppe verschiebt sich also nicht, obwohl sie zeitlich ohnehin am knappsten liegt.

Reicht die Zeit bis zum 11. Dezember 2027 noch?

Der Cyber Resilience Act gilt vollständig ab dem 11. Dezember 2027. Ab diesem Datum müssen Produkte mit digitalen Elementen die grundlegenden Cybersicherheitsanforderungen erfüllen, wenn sie auf dem EU-Markt bereitgestellt werden. Die harmonisierten Normen sollen genau dabei helfen.

Damit die Konformitätsvermutung eintritt, reicht es aber nicht, dass eine Norm an die Kommission geliefert wird. Die Lieferfrist an die Kommission ist nicht dasselbe wie die Verfügbarkeit der Norm. Nach der Lieferung folgen die Bewertung durch die Kommission und die Listung im Amtsblatt der EU. Erst mit dieser Listung entfaltet eine Norm die Konformitätsvermutung.

Genau hier wird die unveränderte Frist der 13 horizontalen Normen kritisch. Ihre Lieferfrist steht weiter auf dem 30. Oktober 2027, also nur rund sechs Wochen vor der vollen Anwendbarkeit des CRA am 11. Dezember 2027. Zwischen Lieferung und Amtsblatt-Listung bleibt in diesem Fenster kaum Zeit. Es ist deshalb realistisch, dass ein Teil der harmonisierten Normen zum Stichtag noch nicht als gelistete Normen zur Verfügung steht.

Für Sie als Hersteller heißt das: Sie können sich nicht darauf verlassen, dass zum Stichtag ein vollständiger Satz harmonisierter Normen bereitliegt, an dem Sie sich abarbeiten. Wer seine CRA-Vorbereitung an die Fertigstellung der Normen koppelt, riskiert, bis kurz vor dem 11. Dezember 2027 in der Warteschleife zu stehen.

Zeitstrahl der CRA-Normfristen: Die geplante Verschiebung um zwei Monate betrifft nur einen Teil der Normen. Die 13 übrigen horizontalen Normen bleiben mit dem 30. Oktober 2027 gefährlich nah an der vollen CRA-Anwendbarkeit am 11. Dezember 2027.

Was Hersteller jetzt tun sollten, ohne auf die Normen zu warten

Die entscheidende Botschaft lautet: Die CRA-Pflichten gelten unabhängig davon, ob die harmonisierten Normen rechtzeitig fertig werden. Der CRA verpflichtet Sie zur Einhaltung der grundlegenden Cybersicherheitsanforderungen. Die Normen sind ein Weg, die Konformität nachzuweisen, aber nicht der einzige.

Die Konformitätsvermutung ist nur eine Beweiserleichterung. Fehlt die passende Norm oder wenden Sie sie nicht vollständig an, müssen Sie die Erfüllung der Anforderungen auf anderem Weg belegen. Für viele Standardprodukte führt der Weg dann über die interne Konformitätskontrolle, bei der Sie selbst dokumentieren, dass Ihr Produkt die Anforderungen erfüllt. Die Verspätung der Normen ist damit kein Grund, die Vorbereitung aufzuschieben, sondern ein Grund, sie unabhängig von den Normen aufzusetzen.

Konkret sollten Sie die Prozesse jetzt starten, die der CRA ohnehin verlangt:

  • Risikobewertung. Analysieren Sie systematisch die Cybersicherheitsrisiken Ihres Produkts über den gesamten Lebenszyklus. Sie ist die Grundlage für alle weiteren Anforderungen.
  • Secure by design. Verankern Sie Cybersicherheit in Entwurf, Entwicklung und Produktion, damit das Produkt ein risikoangemessenes Sicherheitsniveau erreicht.
  • Schwachstellenbehandlung. Bauen Sie Prozesse auf, um Schwachstellen zu identifizieren, zu dokumentieren und ohne unnötige Verzögerung zu beheben, einschließlich einer Software-Stückliste.
  • Technische Dokumentation. Halten Sie die Nachweise strukturiert fest, mit denen Sie die Konformität Ihres Produkts belegen.

Diese Prozesse aufzubauen, dauert Monate, nicht Wochen. Wer erst nach der Amtsblatt-Listung der Normen beginnt, gerät zeitlich unter Druck. Wer sie jetzt startet, kann die Normen später als Feinjustierung nutzen, statt bei null anzufangen.

Warum Sie die Normentwürfe schon heute nutzen können

Auch wenn die Normen offiziell noch nicht fertig sind, existieren die Normentwürfe bereits und durchlaufen die Abstimmung in den Normungsgremien. Diese Entwürfe zeigen schon heute, in welche Richtung die Anforderungen gehen und wie die künftigen Normen strukturiert sein werden.

Sie können Ihre Prozesse an diesen Entwürfen ausrichten, statt auf die finale Veröffentlichung zu warten. Der Aufwand ist nicht verloren: Die inhaltlichen Anforderungen an die Normen stehen im unveränderten Anhang II des Standardisierungsauftrags fest, nur der Zeitplan verschiebt sich. Wer die Entwürfe kennt, arbeitet also nicht ins Blaue hinein, sondern auf ein klar umrissenes Ziel hin.

Woran erkennen Sie einen Berater, der jetzt wirklich helfen kann?

Wenn die Normen sich verspäten, aber die CRA-Frist steht, entscheidet die Wahl der Unterstützung über Ihren Zeitvorsprung. Prüfen Sie einen Berater an einem sachlichen Kriterium: Arbeitet er in den Normungsgremien mit und liegen ihm die aktuellen Normentwürfe vor?

Der Grund ist einfach: Ein Berater, der selbst nur auf die finalen Normen wartet, weiß nicht mehr als Sie. Wer dagegen in den Gremien aktiv ist, kennt Entwürfe, Diskussionsstände und absehbare Anforderungen aus erster Hand und kann Ihre Prozesse schon vor der Veröffentlichung belastbar ausrichten.

Klären Sie das vor der Beauftragung mit drei konkreten Fragen: In welchen Gremien arbeitet der Berater mit? Welche Normentwürfe liegen ihm aktuell vor? Kann er die Anforderungen der kommenden Normen benennen, oder verweist er nur auf allgemeine CRA-Prinzipien?

Fazit

Die CRA-Normen verspäten sich, und die EU-Kommission reagiert mit einem Entwurf, der die Fristen für einen Teil der Normen um rund zwei Monate verschiebt. Dieser Entwurf des Änderungsbeschlusses ist bislang nur eine Konsultationsfassung; bindend bleibt die ursprüngliche Fassung des Standardisierungsauftrags. Die 13 übrigen horizontalen Normen behalten ihre Frist zum 30. Oktober 2027, gefährlich nah an der vollen CRA-Anwendbarkeit am 11. Dezember 2027.

Für Hersteller ändert die Verschiebung wenig am eigentlichen Auftrag. Die CRA-Pflichten gelten unabhängig von den Normen. Wer jetzt mit Risikobewertung, secure by design, Schwachstellenbehandlung und technischer Dokumentation beginnt und die vorhandenen Normentwürfe als Orientierung nutzt, ist am Stichtag vorbereitet, egal ob die finalen Normen rechtzeitig gelistet sind.

Kommentar hinzufügen

Jetzt Gespräch vereinbaren

Senden Sie uns Ihre Anfrage. Wir klären gemeinsam, wo Ihr Unternehmen steht, welche Fragen offen sind und welche nächsten Schritte sinnvoll sind.

Mit der Anfrage stimmen Sie unserer Datenschutzerklärung zu.