EU Cyber Resilience Act (CRA) — Compliance für Produktunternehmen
Wenn Sie Software, Hardware oder vernetzte Geräte in der EU verkaufen, gilt der Cyber Resilience Act für Sie. Bußgelder bis 15 Mio. €. ComplyOne ordnet Ihre CRA-Pflichten zu und verfolgt Ihre Bereitschaft — ob Sie Apps, IoT-Geräte oder Enterprise-Software bauen.
Was der CRA von Produktunternehmen verlangt
Der CRA führt verpflichtende Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus ein — vom Design bis zum End-of-Life-Support.
Security by Design
Produkte müssen mit eingebauter Cybersicherheit entworfen und entwickelt werden — nicht nachträglich. Dazu zählen sichere Standardeinstellungen, minimale Angriffsfläche und Schutz von Daten bei Übertragung und im Ruhezustand.
Schwachstellenmanagement
Sie benötigen einen dokumentierten Prozess zur Behandlung von Schwachstellen — einschließlich einer Coordinated Disclosure Policy und der Verpflichtung, Sicherheitsupdates für die Support-Lebensdauer des Produkts bereitzustellen.
Vorfallsmeldung
Aktiv ausgenutzte Schwachstellen und schwere Vorfälle müssen der ENISA innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (vollständige Meldung) gemeldet werden — gleiche enge Fristen wie NIS2.
Software Bill of Materials (SBOM)
Sie müssen eine maschinenlesbare Liste aller Softwarekomponenten pflegen — einschließlich Open-Source-Abhängigkeiten —, damit Schwachstellen in Drittbibliotheken schnell identifiziert und behoben werden können.
Konformitätsbewertung
Wichtige und kritische Produkte (Klasse I und Klasse II) erfordern vor der Markteinführung formale Konformitätsbewertungen durch Dritte. Standardprodukte können sich selbst bewerten.
CE-Kennzeichnung
Konforme Produkte tragen eine neue Cybersicherheits-CE-Kennzeichnung. Produkte ohne gültige CRA-Zertifizierung dürfen nach Dezember 2027 nicht in der EU verkauft werden.
Welche Produkte sind betroffen
Standardprodukte
Verbraucher-Apps, Standardsoftware, vernetztes Zubehör
Erforderlich: Selbstbewertung
Klasse I (Wichtig)
Identitätsmanagement, Browser, Passwortmanager, VPNs, SIEM, Netzwerkgeräte, industrielle Automatisierung
Erforderlich: Bewertung durch Dritte oder harmonisierte Norm
Klasse II (Kritisch)
Betriebssysteme, Hypervisoren, industrielle Steuerungssysteme, sicherheitskritische Systeme, intelligente Zähler
Erforderlich: Verpflichtende Zertifizierung durch Dritte
Unsicher, in welche Klasse Ihr Produkt fällt? Kostenlosen Compliance-Check durchführen.
Wichtige Termine
Dezember 2024
CRA in Kraft getreten
September 2026
Pflichten zur Schwachstellen- und Vorfallsmeldung gelten
Juni 2027
Pflichten benannter Stellen gelten
Dezember 2027
Vollständige CRA-Anforderungen gelten — alle Produkte müssen konform sein
Bußgelder
15 Mio. €
oder 2,5 % des weltweiten Umsatzes
Verstoß gegen wesentliche Cybersicherheitsanforderungen.
10 Mio. €
oder 2 % des weltweiten Umsatzes
Sonstige Verstöße — einschließlich Meldeversäumnissen und falscher Erklärungen.
CRA-Compliance praktisch angehen: erste Schritte
Produktunternehmen haben bis Dezember 2027 für die vollständige Compliance — aber die Pflichten zur Schwachstellenmeldung beginnen im September 2026. Beginnen Sie jetzt.
Produkt klassifizieren
Bestimmen Sie, ob Ihr Produkt ein Standardprodukt (Selbstbewertung), Klasse I wichtig (Drittprüfung oder harmonisierte Norm) oder Klasse II kritisch (verpflichtende Zertifizierung) ist. Die Klassifizierung steuert Ihren Konformitätsbewertungsweg und Ihre Dokumentationspflichten — eine Fehlklassifizierung bedeutet einen Neustart des Prozesses.
Sicherheitsrisikobewertung durchführen
Identifizieren Sie alle potenziellen Angriffsflächen, Schwachstellen und realistischen Missbrauchsszenarien für Ihr Produkt. Diese Risikobewertung ist die Grundlage Ihrer technischen CRA-Akte — sie muss dokumentiert und bei wesentlichen Designänderungen aktualisiert werden.
Security-by-Design umsetzen
Stellen Sie sicher, dass Ihr Produkt mit sicheren Standardeinstellungen, minimaler Angriffsfläche und Schutz von Daten bei Übertragung und im Ruhezustand ausgeliefert wird. Deaktivieren Sie unsichere Funktionen und Protokolle standardmäßig. Jede Sicherheitskontrolle muss dokumentiert und den relevanten wesentlichen Anforderungen in Anhang I des Verordnungstextes zugeordnet werden.
Schwachstellenmanagement aufbauen
Etablieren Sie einen formalen Prozess für Empfang, Bewertung und Behandlung von Schwachstellenmeldungen — einschließlich einer veröffentlichten Coordinated Vulnerability Disclosure Policy. Verpflichten Sie sich, Sicherheitsupdates während der Support-Lebensdauer des Produkts bereitzustellen, und dokumentieren Sie diesen Support-Zeitraum klar in den Produktunterlagen.
SBOM und technische Dokumentation aufbauen
Erstellen Sie eine Software Bill of Materials (SBOM), die alle Drittanbieter- und Open-Source-Komponenten mit Versionsnummern auflistet. Stellen Sie Ihre technische Akte zusammen: Dokumentation des Sicherheitsdesigns, Risikobewertung, Testergebnisse und die EU-Konformitätserklärung. Alle Unterlagen müssen 10 Jahre nach Inverkehrbringen aufbewahrt werden.
Ist Ihr Produkt CRA-bereit?
Kostenloser Check in 5 Minuten. Deckt CRA, NIS2, DSGVO und jede weitere für Ihr Produkt und Ihre Organisation relevante Vorschrift ab.
Kostenlosen CRA-Check startenCRA — FAQ
Was ist der EU Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verpflichtende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt — Hardware und Software, die in der EU verkauft werden. Er deckt alles ab, von Smart-Geräten und Industrieanlagen bis zu Verbraucher-Apps und Enterprise-Software. Er trat im Dezember 2024 in Kraft, die meisten Pflichten gelten ab Dezember 2027.
Gilt der CRA für mein Produkt?
Wenn Ihr Produkt digitale Komponenten hat — Software, Konnektivität oder Datenverarbeitung — und in der EU verkauft oder verwendet wird, gilt der CRA wahrscheinlich. Das umfasst SaaS-Produkte, Mobile Apps, IoT-Geräte, industrielle Steuerungssysteme, Netzwerkgeräte und mehr. Ein wichtiger Unterschied: Ist Ihr Produkt wichtig oder kritisch — diese unterliegen strengeren Konformitätsbewertungsanforderungen.
Wann tritt der CRA in Kraft?
Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die vollständigen Anforderungen gelten ab dem 11. Dezember 2027, die Pflichten zur Schwachstellen- und Vorfallsmeldung früher — ab dem 11. September 2026.
Welche Strafen drohen bei CRA-Verstößen?
Bußgelder bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes für die schwersten Verstöße (Verstoß gegen wesentliche Anforderungen). Bis zu 10 Mio. € oder 2 % für andere Verstöße. Nicht-EU-Unternehmen, die in die EU verkaufen, unterliegen diesen Strafen gleichermaßen.
Wie überschneidet sich der CRA mit NIS2?
Sie ergänzen sich. NIS2 zielt auf Organisationen und ihre Cybersicherheitspraktiken. Der CRA zielt auf Produkte — die in die verkauften Dinge eingebaute Sicherheit. Wenn Sie Software oder Hardware herstellen, die in der EU verkauft wird, gilt der CRA für Ihre Produkte. Wenn Sie kritische Infrastruktur betreiben, gilt NIS2 für Ihre Organisation. Viele Unternehmen sind von beiden betroffen.
Wir sind ein SaaS-Unternehmen. Gilt der CRA für uns?
Möglicherweise ja. Der CRA deckt Software mit Remote-Datenverarbeitung ab — einschließlich vieler SaaS-Produkte. Reines B2B-SaaS, das unter Dienstleistungsverträgen (nicht als Produkt) verkauft wird, kann jedoch anders behandelt werden. Der kostenlose Compliance-Check von ComplyOne bewertet, ob Ihr spezifisches Produktmodell CRA-Pflichten auslöst.
Was ist eine Software Bill of Materials (SBOM) und warum verlangt der CRA sie?
Eine SBOM ist eine maschinenlesbare Inventarliste aller Softwarekomponenten in Ihrem Produkt — einschließlich Open-Source-Bibliotheken, Abhängigkeiten und Drittanbieter-Modulen mit Versionsnummern. Der CRA verlangt SBOMs, weil Schwachstellen in verbreiteten Open-Source-Komponenten (etwa Log4j) tausende Produkte gleichzeitig betreffen. Mit einer SBOM erkennen Sie bei neuen Schwachstellen sofort, ob Ihr Produkt betroffen ist, und können vor groß angelegter Ausnutzung reagieren.
Gilt der CRA für Open-Source-Software?
Freie und Open-Source-Software, die ohne kommerzielle Absicht bereitgestellt wird, ist weitgehend von CRA-Pflichten ausgenommen. Wenn Sie Open-Source-Software jedoch kommerzialisieren — sie verkaufen, bezahlten Support anbieten oder in ein kommerzielles Produkt integrieren — gelten die CRA-Pflichten für Sie als Hersteller. Die Verordnung enthält spezifische Bestimmungen, die während ihrer Entwicklung intensiv diskutierte Bedenken der Open-Source-Community adressieren.
Verwandte Compliance-Bereiche