CRA Draft Guidance: Was die EU-Konsultation bis 31. März für Hersteller bedeutet

Es ist der 28. März 2026. Ihr Produktmanager schickt Ihnen einen Link: "EU-Kommission sucht Feedback zum Cyber Resilience Act — Frist 31. März." Drei Tage. Ihr Unternehmen stellt Industrieroboter mit Netzwerkanbindung her. Sie fallen unter den CRA. Und Sie haben noch nie von der Draft Guidance gehört.

Dieses Szenario betrifft tausende Hersteller in Deutschland. Die EU-Kommission hat am 3. März 2026 Entwurfs-Leitlinien zum Cyber Resilience Act veröffentlicht — und gleichzeitig eine öffentliche Konsultation mit Frist 31. März 2026 geöffnet. Wer kommentiert, gestaltet mit. Wer schweigt, muss mit dem Ergebnis anderer leben. Dieser Artikel erklärt, was in der Draft Guidance steht, wer jetzt handeln muss und was sich für Hersteller praktisch ändert.

⚠️ Deadline: Die Konsultationsfrist für die CRA Draft Guidance endet am 31. März 2026. Hersteller sollten jetzt Feedback einreichen und ihre Compliance-Strategie anpassen.

Was die EU-Kommission am 3. März 2026 veröffentlicht hat

Am 3. März 2026 veröffentlichte die EU-Kommission Draft Guidance zum Cyber Resilience Act — das war hochgradig erwartet. Die Guidance-Dokumente hatten Hersteller schon seit Monaten gefordert, denn der CRA-Verordnungstext lässt viele operative Fragen offen. Die Kommission öffnete gleichzeitig eine öffentliche Stakeholder-Konsultation mit Frist 31. März 2026.

Was die Draft Guidance enthält:

Klarstellungen zum Produktbegriff: Welche Produkte mit "digitalen Elementen" fallen unter den CRA? Die Guidance präzisiert Abgrenzungsfragen — Software, eingebettete Systeme, IoT-Geräte, Komponenten. Besonders relevant: Wann gilt ein Produkt als "kritisch" (Annex I) und wann als "hochkritisch" (Annex II), was unterschiedliche Konformitätswege bedeutet.

Schwachstellenmanagement-Anforderungen: Die Guidance konkretisiert, was "aktiv ausgenutzte Schwachstellen" bedeutet und wie die 24-Stunden-Meldepflicht (ab September 2026) operativ umzusetzen ist. Welche Informationen müssen in der Erstmeldung enthalten sein? An wen wird gemeldet (ENISA)?

Konformitätsbewertung: Klärung der verschiedenen Module für den Konformitätsbewertungsprozess. Für die meisten Standardprodukte gilt: Selbstbewertung plus technische Dokumentation. Für kritische Produkte (Klasse I): Überprüfung durch Drittstelle oder Nutzung einer harmonisierten Norm. Für hochkritische Produkte (Klasse II): Zertifizierung durch eine akkreditierte Stelle.

Lebenszyklus-Anforderungen: Wie lange müssen Hersteller Sicherheitsupdates bereitstellen? Die Guidance stellt klar: mindestens 5 Jahre — oder die erwartete Produktlebensdauer, wenn diese kürzer ist.

Was sich für Hersteller praktisch ändert

Die Draft Guidance ist kein neues Gesetz — sie erklärt und konkretisiert die bestehende CRA-Verordnung. Aber für Hersteller hat sie erhebliche praktische Konsequenzen:

Produktklassifikation überprüfen: Mit den Präzisierungen der Guidance können viele Hersteller jetzt endlich verlässlich einschätzen, in welche Kategorie ihr Produkt fällt. Das bestimmt den Konformitätsweg — und damit Kosten und Zeitplan.

Meldeprozess für September 2026 vorbereiten: Die 24-Stunden-Meldepflicht für aktiv ausgenutzte Schwachstellen tritt am 11. September 2026 in Kraft. Die Guidance gibt jetzt konkrete Hinweise, wie der Prozess aufzusetzen ist. Wer noch keinen hat: jetzt beginnen.

Technische Dokumentation strukturieren: Die Guidance liefert klarere Anforderungen an die technische Dokumentation, die Hersteller führen müssen. Das schließt Sicherheitstests, Risikoanalysen und Schwachstellenberichte ein.

SBOM (Software Bill of Materials): Die Guidance bestätigt, dass eine SBOM in der technischen Dokumentation erwartet wird — eine vollständige Liste aller Softwarekomponenten und ihrer Versionen.

Supply-Chain-Sicherheit: Hersteller müssen nicht nur ihre eigenen Produkte sichern, sondern auch sicherstellen, dass verwendete Drittkomponenten keine bekannten Schwachstellen enthalten.

Bis 31. März: Wer kann kommentieren, und wie?

Die öffentliche Konsultation richtet sich an alle betroffenen Stakeholder: Hersteller, Importeure, Händler, Branchenverbände, Forschungseinrichtungen, nationale Behörden und die breite Öffentlichkeit. Es gibt keine formale Beschränkung — auch Einzelpersonen können kommentieren.

Wie geht das? Feedback wird über das "Have your say"-Portal der EU-Kommission eingereicht (digital-strategy.ec.europa.eu). Die Kommission hat ein strukturiertes Feedback-Formular bereitgestellt. Kommentare können auf Englisch und in allen anderen EU-Amtssprachen eingereicht werden.

Warum sollten Hersteller kommentieren? Die Draft Guidance ist noch kein finales Dokument. Feedback aus der Praxis beeinflusst die finale Version. Wer operative Schwierigkeiten, Unklarheiten oder unverhältnismäßige Anforderungen identifiziert hat, kann das jetzt einbringen — und damit die Compliance-Last für die gesamte Branche mitgestalten.

Mehr zu den konkreten Meldepflichten ab September: CRA-Meldepflicht ab September 2026: Was jetzt zu tun ist. Zur Abgrenzung von CRA, NIS2 und DORA: CRA, NIS2, DORA: Welche Regulierung gilt für Ihr Unternehmen?.

Häufige Fragen zur CRA Draft Guidance

Ist die Draft Guidance bereits verbindlich?

Nein. Die Draft Guidance ist ein Konsultationsdokument — noch kein finales, verbindliches Dokument. Die Kommission wird das Feedback auswerten und eine finale Guidance veröffentlichen. Dennoch: Die meisten Anforderungen spiegeln den bereits verbindlichen CRA-Verordnungstext wider, nur präzisiert. Finales Dokument oder nicht — Hersteller sollten die Guidance als Planungsgrundlage verwenden.

Mein Produkt ist bereits auf dem Markt. Gilt der CRA trotzdem?

Der CRA gilt für Produkte, die ab dem 11. Dezember 2027 auf dem EU-Markt in Verkehr gebracht werden. Für bereits verkaufte Produkte besteht keine Rückwirkung — aber: Wenn Sie ein Produkt weiterentwickeln oder eine neue Version auf den Markt bringen, gilt der CRA vollumfänglich für diese neue Version. Sicherheitsupdates für bestehende Produkte müssen zudem weiterhin bereitgestellt werden.

Was ist der Unterschied zwischen CRA-Klasse I und Klasse II?

Klasse I ("kritische Produkte"): Höheres Sicherheitsrisiko, z.B. Router, Firewalls, Betriebssysteme, Browser, Passwortmanager. Konformitätsbewertung durch Drittstelle oder harmonisierte Norm. Klasse II ("hochkritische Produkte"): Sehr hohes Risiko, z.B. industrielle Steuerungssysteme (SCADA/ICS), Mikrocontroller, Smartcards. Zertifizierung durch akkreditierte Stelle zwingend erforderlich. Alle anderen Produkte: Selbstbewertung möglich.

Was ist eine SBOM und brauche ich wirklich eine?

Eine SBOM (Software Bill of Materials) ist eine maschinenlesbare Liste aller Softwarekomponenten in Ihrem Produkt — inklusive Open-Source-Bibliotheken, Versionen und bekannten Schwachstellen. Der CRA verlangt keine öffentliche Veröffentlichung der SBOM, aber sie muss als Teil der technischen Dokumentation vorliegen und auf Anfrage von Behörden vorgelegt werden können. Für komplexe Produkte ist eine SBOM faktisch unverzichtbar.

ADVISORI berät Sie zur CRA-Umsetzung

Die CRA-Umsetzung ist komplex — besonders für Unternehmen, die bislang keine strukturierten Prozesse für Cybersicherheit im Produktentwicklungszyklus hatten. ADVISORI unterstützt Hersteller bei der Produktklassifikation, der technischen Dokumentation, dem Schwachstellenmanagement und der Vorbereitung auf die Meldepflicht ab September 2026.

Kontaktieren Sie unser CRA-Beratungsteam — die Frist bis zur ersten Compliance-Pflicht läuft.