Cyber Resilience Act (CRA): EU-Verordnung 2024/2847 im Überblick

Mit dem Cyber Resilience Act (CRA), auf Deutsch Cyberresilienz-Verordnung, gelten ab dem 11. Dezember 2027 verbindliche Anforderungen an die Cybersicherheit für nahezu alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Die Verordnung (EU) 2024/2847 weist die Verantwortung für sichere Produkte dem Hersteller zu, über den gesamten Lebenszyklus von der Risikoanalyse bis zum Schwachstellenmanagement nach Markteintritt.

Der CRA ist eine horizontale EU-Verordnung mit einheitlichen Anforderungen an Hardware- und Software-Produkte. Sie regelt Sicherheitsanforderungen, Pflichten von Herstellern, Einführern und Händlern, Meldepflichten bei Schwachstellen und Sicherheitsvorfällen sowie Konformitätsbewertung mit anschließender CE-Kennzeichnung. In Kraft getreten ist sie am 10. Dezember 2024.

Inhalt

Das Wichtigste in Kürze

Der CRA gilt ab dem 11. Dezember 2027 für nahezu alle Produkte mit digitalen Elementen, die in der EU bereitgestellt werden.
Hersteller tragen Verantwortung über den gesamten Unterstützungszeitraum, der mindestens fünf Jahre beträgt und in industriellen Anwendungen meist deutlich länger ausfällt.
Der CRA staffelt seine Konformitätsbewertung nach Risiko in drei Produktklassen: Standard, wichtig (Anhang III) und kritisch (Anhang IV).
Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle greifen bereits ab dem 11. September 2026, mit Fristen von 24 Stunden, 72 Stunden und 14 Tagen.
Geldbußen reichen bis 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Was regelt der Cyber Resilience Act, und was nicht?

Der CRA gilt für jedes Produkt mit digitalen Elementen, dessen bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netz einschließt. Erfasst sind sowohl Software als auch Hardware sowie Lösungen für die Fernverarbeitung von Daten („remote data processing solutions“), die der Hersteller bereitstellt.

Ausgenommen sind Produkte, die bereits durch andere EU-Regelungen mit gleichwertigem oder höherem Schutzniveau erfasst sind: Medizinprodukte (Verordnung (EU) 2017/745), In-vitro-Diagnostika (2017/746), Kraftfahrzeug-Typgenehmigungen (2019/2144), zivile Luftfahrt (2018/1139) sowie Schiffsausrüstung (Richtlinie 2014/90/EU). Außerdem ausgenommen sind Ersatzteile mit identischer Spezifikation und Produkte, die ausschließlich für nationale Sicherheit oder Verteidigung entwickelt wurden.

Eine Sonderrolle spielen freie und quelloffene Software sowie Cloud- und SaaS-Lösungen. Open-Source-Software fällt nur dann in den Geltungsbereich, wenn sie im Rahmen einer Geschäftstätigkeit auf den Markt gebracht wird. SaaS-Angebote sind nur erfasst, soweit sie als „Fernverarbeitungslösung“ zu einem Produkt mit digitalen Elementen gelten.

Weiterführend: Geltungsbereich des CRA im Detail · CRA und Open-Source-Software · MDR-Meldepflichten: EU schließt CRA-Lücke für Medizinprodukte · CRA und Maschinenverordnung

Welche Produktklassen unterscheidet der CRA?

Der CRA staffelt seine Anforderungen nach dem Risiko, das vom jeweiligen Produkt ausgeht. Unterschieden werden drei Klassen:

Produkte mit digitalen Elementen erfüllen die grundlegenden Cybersicherheitsanforderungen nach Anhang I und durchlaufen die interne Konformitätskontrolle des Herstellers. Diese Klasse umfasst die große Mehrzahl der vom CRA erfassten Produkte.
Wichtige Produkte mit digitalen Elementen sind in Anhang III aufgeführt und in zwei Klassen unterteilt. Klasse I umfasst Produkte, deren Kernfunktion für die Cybersicherheit anderer Produkte oder Netze von entscheidender Bedeutung ist, etwa Identitäts- und Zugriffsmanagement, Intrusion-Detection oder Endpoint-Security. Klasse II umfasst Produkte mit erheblichem Risikopotenzial, etwa Netzwerkmanagement, Virtualisierung oder die Verarbeitung personenbezogener Daten.
Kritische Produkte mit digitalen Elementen sind in Anhang IV aufgeführt und können per delegiertem Rechtsakt der Kommission verpflichtet werden, ein europäisches Cybersicherheitszertifikat nach dem Cybersecurity Act mindestens dem Vertrauenswürdigkeitsniveau „mittel“ zu erwerben.

Die technischen Beschreibungen der Kategorien aus Anhang III und IV hat die Kommission mit der Durchführungsverordnung (EU) 2025/2392 vom 28. November 2025 konkretisiert. Maßgeblich ist die Kernfunktionalität eines Produkts. Integrierte Komponenten ändern an der Klassifizierung des Gesamtprodukts nichts.

Weiterführend: Produktklassen unter dem CRA · Durchführungsverordnung (EU) 2025/2392 · Cybersecurity Act

Welche Pflichten haben Hersteller unter dem CRA?

Artikel 13 fasst die Herstellerpflichten zusammen. In der Praxis lassen sie sich vier Themenblöcken zuordnen:

Risikomanagement. Hersteller führen eine Cybersicherheitsrisikobewertung durch, die das Produkt von der Konzeption bis zur Wartung abdeckt. Die Bewertung wird dokumentiert, in regelmäßigen Abständen aktualisiert und in die technische Dokumentation nach Anhang VII aufgenommen.
Behandlung von Schwachstellen. Schwachstellen, auch in integrierten Komponenten Dritter einschließlich Open-Source-Komponenten, werden während der erwarteten Produktlebensdauer und des Unterstützungszeitraums wirksam behandelt. Den Unterstützungszeitraum legt der Hersteller so fest, dass er die voraussichtliche Nutzungsdauer des Produkts widerspiegelt; er beträgt mindestens fünf Jahre, sofern das Produkt nicht für eine kürzere Dauer im Betrieb ist. Bei langlebigen Industrieprodukten wie im Maschinen- oder Anlagenbau ist er entsprechend länger zu wählen. Sicherheitsaktualisierungen, die während des Unterstützungszeitraums bereitgestellt wurden, bleiben für mindestens zehn Jahre oder die verbleibende Dauer des Unterstützungszeitraums verfügbar, je nachdem, welcher Zeitraum länger ist.
Technische Dokumentation und Konformitätsbewertung. Vor dem Inverkehrbringen erstellen Hersteller die technische Dokumentation, führen das gewählte Konformitätsbewertungsverfahren durch, stellen die EU-Konformitätserklärung aus und bringen die CE-Kennzeichnung an. Technische Dokumentation und Konformitätserklärung werden mindestens zehn Jahre oder für die Dauer des Unterstützungszeitraums aufbewahrt.
Marktbegleitung. Hersteller geben Identifikationsnummer, Kontaktangaben und Enddatum des Unterstützungszeitraums sichtbar an. Sie benennen eine zentrale Anlaufstelle, ergreifen bei Nichtkonformität unverzüglich Korrekturmaßnahmen und arbeiten mit den Marktüberwachungsbehörden zusammen.

Weiterführend: Herstellerpflichten unter dem CRA (Art. 13) · Klarstellung zum CRA: Entlastung für KMU und rechtssichere Fristen · CRA-Vorlagen

Wo stehen Sie mit der CRA-Umsetzung?

Der CRA-Readiness-Check zeigt in wenigen Minuten, welche der vier Pflicht-Felder (Risikobewertung, Schwachstellenbehandlung, Dokumentation und Marktbegleitung) in Ihrem Unternehmen bereits abgedeckt sind und wo Handlungsbedarf besteht.

Readiness-Check starten

Welche Meldepflichten gelten, und ab wann?

Hersteller sind verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dem als Koordinator benannten CSIRT und der ENISA über eine einheitliche Meldeplattform zu melden. Das Meldeschema ist dreistufig:

Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung
Detaillierte Meldung innerhalb von 72 Stunden
Abschlussbericht innerhalb von 14 Tagen nach Bereitstellung der Korrekturmaßnahme (bei Schwachstellen) oder innerhalb eines Monats nach der detaillierten Meldung (bei Vorfällen).

Ein Sicherheitsvorfall gilt als schwerwiegend, wenn er die Schutzziele Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit eines Produkts beeinträchtigt oder zur Einführung böswilligen Codes geführt hat oder führen könnte. Zusätzlich informieren Hersteller die betroffenen Nutzer über die Schwachstelle oder den Vorfall sowie über mögliche Risikominderungsmaßnahmen.

Die Meldepflichten sind die ersten CRA-Pflichten, die scharf werden: Sie gelten ab dem 11. September 2026, über ein Jahr vor der vollständigen Anwendbarkeit der Verordnung.

Weiterführend: Meldepflichten unter dem CRA (Art. 14) · CRA-Übergangsfristen im Überblick

Welche Pflichten gelten für Einführer, Händler und OSS-Verwalter?

Einführer (Importeure) bringen nur Produkte in den Verkehr, die den grundlegenden Anforderungen entsprechen. Einführer überprüfen die Konformitätsbewertung, die technische Dokumentation und die CE-Kennzeichnung, geben ihre Kontaktangaben auf dem Produkt oder der Verpackung an und kooperieren mit den Marktüberwachungsbehörden.

Händler prüfen vor der Bereitstellung, dass die CE-Kennzeichnung vorliegt und die erforderlichen Begleitinformationen vorhanden sind. Bei Verdacht auf Nichtkonformität dürfen sie das Produkt nicht weitergeben und informieren Hersteller sowie Behörden.

Verwalter quelloffener Software, also juristische Personen, die Open-Source-Projekte fördern, ohne sie zu monetarisieren, entwickeln eine Cybersicherheitsstrategie, arbeiten mit Marktüberwachungsbehörden zusammen und melden Schwachstellen, soweit sie an der Entwicklung beteiligt sind. Ihre Pflichten sind gegenüber kommerziellen Herstellern deutlich reduziert.

Weiterführend: Pflichten von Einführern und Händlern unter dem CRA · CRA und Open-Source-Software

Wie weist man Konformität nach dem CRA nach?

Artikel 32 sieht vier Wege zum Konformitätsnachweis vor, die in Anhang VIII detailliert beschrieben sind:

Modul A, interne Konformitätskontrolle: Bewertung durch den Hersteller selbst, ohne benannte Stelle.
Module B+C, EU-Baumusterprüfung mit interner Fertigungskontrolle: Designprüfung durch eine benannte Stelle, anschließende interne Serienkontrolle.
Modul H, umfassende Qualitätssicherung: Bewertung des gesamten Qualitätsmanagementsystems durch eine benannte Stelle.
Europäisches Cybersicherheitszertifikat: nach dem Cybersecurity Act, etwa nach dem EUCC-Schema (Common Criteria, ISO/IEC 15408).

Welches Verfahren zulässig ist, hängt von der Produktklasse und davon ab, ob der Hersteller harmonisierte Normen vollständig angewandt hat. Wendet der Hersteller eine harmonisierte Norm vollständig an, gilt die Vermutung der Konformität mit den entsprechenden grundlegenden Anforderungen. Für wichtige Produkte der Klasse I bleibt dann die interne Konformitätskontrolle nach Modul A möglich.

Produkttyp	Modul A	Modul B+C	Modul H	Cybersecurity-Zertifikat
Unkritisch	✓	✓	✓	✓
Wichtig, Klasse I (Anhang III)	✓¹	✓	✓	✓
Wichtig, Klasse II (Anhang III)		✓	✓	✓
Kritisch (Anhang IV)		✓²	✓²	✓

¹ nur bei vollständiger Anwendung einer harmonisierten Norm. ² nur, wenn für die Produktkategorie kein delegierter Rechtsakt ein Cybersicherheitszertifikat verlangt.

Weiterführend: Konformitätsbewertung unter dem CRA (Art. 32) · CE-Kennzeichnung · Benannte Stellen · ISO/IEC 15408 Common Criteria

Welche Normen unterstützen die CRA-Umsetzung?

Die Europäische Kommission hat den europäischen Normungsorganisationen CEN, CENELEC und ETSI das Normungsmandat M/606 erteilt. Es umfasst ein umfangreiches Paket horizontaler Normen, die für alle Produkte mit digitalen Elementen gelten, sowie vertikaler Normen, die einzelne Produktkategorien aus den Anhängen abdecken. Die Vermutungswirkung tritt ein, sobald die Normen im Amtsblatt der EU referenziert sind.

Horizontaler Rahmen: die EN 40000-Reihe. Sie wird vom DIN/DKE-Gemeinschaftsgremium „Cybersecurity“ (CEN/CLC/JTC 13/WG 9) bearbeitet und stellt das übergeordnete Framework für alle Produkte:

EN 40000-1-1 Vocabulary (Begriffe)
EN 40000-1-2 Principles for cyber resilience (Grundprinzipien)
EN 40000-1-3 Vulnerability handling (Schwachstellenmanagement)
EN 40000-1-4 Generic security requirements (technischer Anforderungskatalog)
ergänzend technische Berichte zu Bedrohungen, Schutzzielen sowie Anwendungs-Guidance

Vertikaler Rahmen: ETSI EN 304 6xx für IT- und Consumer-Produkte. Die ETSI-Reihe deckt Browser (EN 304 617), Password-Manager (618), Antivirus (619), VPN (620), Network Management (621), SIEM (622), Boot Manager (623), PKI (624), Network Interfaces (625), Betriebssysteme (626), Router und Switches (627), Smart-Home-Assistenten (631), Smart-Home-Security (632), vernetzte Spielzeuge (633), Wearables (634), Hypervisoren und Container-Runtimes (635), Firewalls und IDPS (636) sowie Telekom-Netzfunktionen (642) ab.

Vertikaler Rahmen: EN 50770-Reihe für OT-Anwendungen. Für ausgewählte Produktkategorien gibt es parallele OT-Profile, die auf der IEC 62443-Reihe aufbauen, etwa für VPN (EN 50770-4), Network Management (50770-2), SIEM (50770-6), Network Interfaces (50770-3), Router und Switches (50770-5) sowie Firewalls und IDPS (50770-1). Hersteller mit OT- oder Industrieanwendungen können statt der ETSI-Profile diese Profile heranziehen.

Hardware und Mikroelektronik. Ergänzend werden Normen für Mikroprozessoren, Mikrocontroller, ASIC und FPGA mit Sicherheitsfunktionen, manipulationsresistente Bauteile und Smartcard-Plattformen entwickelt (EN 50764 bis EN 50767) sowie EN 18330 für die Anwendungsschicht von Smartcards.

Brückennormen. Bis zur Veröffentlichung der harmonisierten Normen lassen sich Anforderungen mit etablierten Standards adressieren: IEC 62443-4-1 für sichere Entwicklungsprozesse, IEC 62443-4-2 für technische Komponentenanforderungen, EN 18031 für Funkprodukte unter der Funkanlagenrichtlinie (RED) und ETSI EN 303 645 für Consumer-IoT.

Weiterführend: Harmonisierte Normen für den CRA · Horizontale Normen: EN 40000-Reihe · ETSI-Normenentwürfe zum CRA · IEC 62443 für die Umsetzung des CRA · ENISA-Mapping CRA zu Standards · IEC 62443 (Normenreihe) · EN 18031 · ETSI EN 303 645 · Vollständige Statusübersicht der CRA-Normungsprojekte (DKE, PDF)

Was passiert bei Verstößen gegen den CRA?

Der CRA sieht ein dreistufiges Sanktionsregime vor:

bis 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen nach Anhang I sowie gegen die Pflichten der Hersteller und der Meldepflichten
bis 10 Mio. EUR oder 2 % bei Verstößen gegen Verfahrens- und Kennzeichnungspflichten, etwa CE-Kennzeichnung, EU-Konformitätserklärung, technische Dokumentation oder die Pflichten von Einführern und Händlern
bis 5 Mio. EUR oder 1 % bei falschen, unvollständigen oder irreführenden Angaben gegenüber benannten Stellen oder Marktüberwachungsbehörden

Maßgeblich ist jeweils der höhere Betrag. Bei der Festsetzung der Geldbuße werden Art, Schwere und Dauer des Verstoßes sowie die Größe und der Marktanteil des Unternehmens berücksichtigt.

Weiterführend: Sanktionen und Marktüberwachung unter dem CRA · Klarstellung zum CRA

Wo steht die CRA-Umsetzung heute?

Der CRA folgt einem mehrstufigen Zeitplan, der für Hersteller bereits Aufgaben ab 2026 mit sich bringt:

20.11.2024: Veröffentlichung im EU-Amtsblatt
10.12.2024: Inkrafttreten
02.07.2025: Berichtigung zum Einleitungssatz von Artikel 64(10)
28.11.2025: Durchführungsverordnung (EU) 2025/2392 zur Konkretisierung der Produktkategorien
11.06.2026: Geltungsbeginn der Vorschriften für Konformitätsbewertungsstellen
11.09.2026: Geltungsbeginn der Meldepflichten
11.12.2027: vollständige Anwendbarkeit der Verordnung

Parallel laufen die Normungsprojekte. Stand April 2026 befinden sich die horizontalen Normen der EN 40000-Reihe in der Entwurfs- und Abstimmungsphase. Die vertikalen Reihen (ETSI EN 304 6xx und EN 50770) sind in einem früheren Entwurfsstadium. Den genauen Stand je Norm führt die DKE-Statusübersicht; erste Entwürfe sind über die ETSI Open Area und das DKE-Normungsportal öffentlich einsehbar.

Für Kleinst- und Kleinunternehmen stellt die EU im Rahmen des SECURE-Projekts Fördermittel bereit, mit denen sich Cybersecurity-Tests, Beratung und Prozessaufbau finanzieren lassen.

Weiterführend: CRA-Übergangsfristen im Überblick · Durchführungsverordnung (EU) 2025/2392 · Berichtigung zum CRA · EU-Förderung für CRA-Compliance · RED Delegated Act Aufhebung · Häufige Fragen zum CRA (FAQ)

Standortbestimmung vor der Frist

Die Meldepflichten gelten ab September 2026, die vollständige CRA-Anwendbarkeit ab Dezember 2027. In einem unverbindlichen Erstgespräch ordnen wir Ihr Produktportfolio ein und benennen die größten offenen Punkte, konkret und ohne Berater-Allgemeinplätze.

Gespräch vereinbaren

Cyber Resilience Act