CRA Dezember 2027: Vollständige Compliance — der Countdown beginnt
Am 11. Dezember 2027 tritt die vollständige Anwendbarkeit des Cyber Resilience Act in Kraft. Ab diesem Datum müssen alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, die CRA-Anforderungen erfüllen. Der Countdown von 12 Monaten beginnt jetzt.
12-Monats-Roadmap bis Dezember 2027
Monate 1-3 (Dez 2026 — Feb 2027): Assessment
- Produktinventar: Alle Produkte mit digitalen Elementen katalogisieren
- Klassifizierung: Standard vs. wichtige vs. kritische Produkte nach CRA-Anhang III
- Gap-Analyse: Aktueller Stand vs. CRA-Anforderungen je Produktkategorie
Monate 4-6 (Mär — Mai 2027): Design und Dokumentation
- Security-by-Design-Review aller Produktentwicklungsprozesse
- Technische Dokumentation erstellen oder aktualisieren
- SBOM-Generierung in Build-Pipelines integrieren
Monate 7-9 (Jun — Aug 2027): Implementierung
- Schwachstellenmanagement-Prozesse für den gesamten Produktlebenszyklus
- Konformitätsbewertung durchführen (Selbstbewertung oder Drittprüfung)
- Nutzerinformation und Gebrauchsanweisungen aktualisieren
Monate 10-12 (Sep — Nov 2027): Finalisierung
- EU-Konformitätserklärung erstellen und unterzeichnen
- CE-Kennzeichnung auf allen betroffenen Produkten
- Interne Auditierung der CRA-Compliance
- Puffer für Nacharbeiten und letzte Korrekturen
Häufig gestellte Fragen
Was passiert ab Dezember 2027?
Produkte mit digitalen Elementen, die nach dem 11. Dezember 2027 in der EU in Verkehr gebracht werden, müssen alle CRA-Anforderungen erfüllen. Nicht-konforme Produkte dürfen nicht mehr verkauft werden. Das BSI als Marktüberwachungsbehörde kann Rückrufe anordnen und Bußgelder verhängen.
Sind bestehende Produkte betroffen?
Nur wenn sie nach Dezember 2027 wesentlich geändert werden oder neue Versionen in Verkehr gebracht werden. Bestehende Produkte ohne Änderung sind von der CE-Pflicht ausgenommen. Die Meldepflicht für Schwachstellen (seit September 2026) gilt aber bereits für alle Produkte.
Brauche ich eine externe Konformitätsbewertung?
Für Standard-Produkte reicht eine Selbstbewertung. Für wichtige Produkte der Klasse I kann eine harmonisierte Norm (sofern vorhanden) die Selbstbewertung ermöglichen. Für wichtige Produkte der Klasse II und kritische Produkte ist eine Bewertung durch eine notifizierte Stelle erforderlich.
Weitere relevante Beiträge
SIEM vs. XDR vs. SOAR: Security-Tools im Vergleich 2026
SIEM, XDR und SOAR sind drei Schlüsseltechnologien für Security Operations — aber sie dienen unterschiedlichen Zwecken. Dieser Vergleich erklärt die Unterschiede, wann welches Tool sinnvoll ist und ob Sie alle drei brauchen.
BSI Grundschutz: Der pragmatische Einstieg für KMU
Der BSI IT-Grundschutz bietet KMU einen strukturierten Einstieg in die Informationssicherheit — ohne die Komplexität einer vollständigen ISO 27001. Dieser Leitfaden erklärt die Bausteine, den Grundschutz-Check und den Weg zur Zertifizierung.
DevSecOps: Security in der CI/CD-Pipeline implementieren
DevSecOps integriert Sicherheit in jeden Schritt des Software-Entwicklungsprozesses — von der Planung bis zum Deployment. Dieser Leitfaden erklärt die Kernprinzipien, die wichtigsten Tools und wie Sie Ihre CI/CD-Pipeline absichern.