Was ist der Cyber Resilience Act? Der vollständige Überblick für Unternehmen

Stellen Sie sich vor: Es ist Frühjahr 2026. Ihr Produktmanager öffnet die E-Mail einer deutschen Handelskammer — und liest, dass Ihre Industriesteuerung ab dem 11. Dezember 2027 ohne CE-Kennzeichnung nach dem Cyber Resilience Act nicht mehr in der EU verkauft werden darf. Die Frage, die sofort im Raum steht: Wie lange dauert es, unser Produkt CRA-konform zu machen — und wo fangen wir an?

Stand: März 2026 | Rechtsgrundlage: Verordnung (EU) 2024/2847 | Aktualisierung nach Durchführungsverordnung (EU) 2025/2392

Diese Situation ist kein Zukunftsszenario. Sie ist die Realität für Zehntausende Hersteller vernetzter Produkte in Europa — und der Countdown läuft. Dieser Artikel erklärt, was der Cyber Resilience Act wirklich bedeutet, wen er trifft und was Sie jetzt konkret tun müssen.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist die erste EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Am 20. November 2024 im EU-Amtsblatt veröffentlicht, trat er 20 Tage später am 10. Dezember 2024 in Kraft. Er basiert auf Verordnung (EU) 2024/2847 und ergänzt das bestehende EU-Cybersicherheitsrahmenwerk um eine Dimension, die bisher fehlte: Produktsicherheit.

Bisher konnte ein Hersteller ein IoT-Gerät oder eine Softwareanwendung mit gravierenden Sicherheitslücken auf den Markt bringen, ohne dafür direkt regulatorisch haftbar gemacht zu werden. Der CRA schließt diese Lücke: Wer ein vernetztes Produkt in der EU verkaufen will, muss künftig belegen, dass es Mindeststandards für Cybersicherheit erfüllt — über seinen gesamten Lebenszyklus hinweg.

Ziel und Rechtsgrundlage

Das erklärte Ziel des CRA ist es, das Cybersicherheitsniveau im EU-Binnenmarkt zu heben und Verbraucher sowie Unternehmen vor unsicheren vernetzten Produkten zu schützen. Rechtsgrundlage ist Artikel 114 AEUV (Binnenmarktharmonisierung). Die Verordnung gilt unmittelbar in allen 27 EU-Mitgliedstaaten — ohne nationalen Umsetzungsakt.

Geltungsbereich

Der CRA gilt für alle "Produkte mit digitalen Elementen" (PDE), die auf dem EU-Markt bereitgestellt werden. Darunter fallen sowohl Hardware- als auch Softwareprodukte, die direkt oder indirekt mit einem Gerät oder einem Netzwerk verbunden werden können — von der Industriesteuerung bis zur Buchhaltungssoftware, vom Smart-Home-Gerät bis zur Firewall.

Wer ist betroffen? Hersteller, Importeure, Händler

Der CRA kennt drei Akteurstypen mit unterschiedlichen Pflichten:

Hersteller — die Hauptverantwortlichen

Hersteller tragen die umfassendste Verantwortung. Sie müssen die Cybersicherheitsanforderungen des Anhangs I erfüllen, eine Konformitätsbewertung durchführen, die technische Dokumentation erstellen, die CE-Kennzeichnung anbringen und während des gesamten Lebenszyklus Schwachstellen verwalten und melden. Dies gilt unabhängig davon, ob der Hersteller in der EU oder einem Drittland ansässig ist — maßgeblich ist, dass das Produkt auf dem EU-Markt bereitgestellt wird.

Importeure

Importeure, die Produkte von Herstellern außerhalb der EU in den EU-Markt einführen, müssen sicherstellen, dass der Hersteller die CRA-Anforderungen erfüllt hat. Sie dürfen nur konforme Produkte in Verkehr bringen und müssen ihre Kontaktdaten auf dem Produkt oder der Verpackung angeben. Bei Verstößen des Herstellers tragen Importeure selbst die Konformitätspflicht.

Händler

Händler haben eine nachgeordnete, aber nicht zu vernachlässigende Rolle: Sie müssen prüfen, ob das Produkt die CE-Kennzeichnung trägt, die erforderliche Dokumentation vorhanden ist und keine erkennbaren Konformitätsmängel bestehen. Händler, die ein Produkt unter eigenem Namen vermarkten oder wesentlich modifizieren, werden rechtlich als Hersteller behandelt.

Die Kernpflichten im Überblick

1. Security by Design

Cybersicherheit muss bereits in der Produktentwicklung berücksichtigt werden — nicht nachträglich aufgesetzt. Das bedeutet konkret: Minimierung der Angriffsfläche, Verschlüsselung gespeicherter und übertragener Daten, sichere Standardkonfigurationen (kein Standardpasswort), Deaktivierung nicht benötigter Funktionen und Schnittstellen sowie ein Mechanismus für sichere Updates.

2. Schwachstellenmanagement

Hersteller müssen Schwachstellen während des gesamten erwarteten Lebenszyklus eines Produkts — mindestens aber über 5 Jahre — identifizieren, dokumentieren und beheben. Dazu gehört die Erstellung einer Software Bill of Materials (SBOM), die alle Komponenten des Produkts listet. Sicherheitsupdates müssen kostenfrei bereitgestellt werden.

3. Meldepflichten (ab 11. September 2026)

Ab dem 11. September 2026 gilt: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden nach Entdeckung als Frühwarnung an die ENISA gemeldet werden. Innerhalb von 72 Stunden muss eine vollständige Meldung folgen, innerhalb von 14 Tagen ein abschließender Bericht. Schwerwiegende Sicherheitsvorfälle unterliegen denselben Fristen. Mehr dazu in unserem Detailartikel zur CRA-Meldepflicht.

4. CE-Kennzeichnung (ab 11. Dezember 2027)

Produkte mit digitalen Elementen brauchen ab dem 11. Dezember 2027 die CE-Kennzeichnung als Nachweis der CRA-Konformität. Diese setzt eine erfolgreiche Konformitätsbewertung voraus — entweder durch Selbstbewertung (Standardprodukte) oder durch eine notifizierte Stelle (wichtige und kritische Produkte). Ohne CE-Kennzeichnung ist das Inverkehrbringen in der EU nicht mehr zulässig.

Zeitplan: Wann gilt was?

Der CRA wird in Stufen umgesetzt. Die wichtigsten Meilensteine:

📅 10. Dezember 2024 — CRA tritt in Kraft (EU-Amtsblatt veröffentlicht)

📅 11. September 2026 — Meldepflicht gilt: Schwachstellen und Sicherheitsvorfälle müssen innerhalb von 24 h an ENISA gemeldet werden (Art. 14 CRA)

📅 11. Dezember 2027 — Vollständige Compliance: CE-Kennzeichnung, Security by Design, alle technischen Anforderungen verpflichtend für neu in Verkehr gebrachte Produkte

Die Durchführungsverordnung (EU) 2025/2392 vom 28. November 2025 konkretisiert die Produktkategorien in Anhang III und IV des CRA. Hersteller sollten prüfen, ob ihre Produkte durch diese Konkretisierung in eine höhere Klasse fallen — dies kann erhebliche Auswirkungen auf die Konformitätsbewertungspflicht haben.

Wichtig: Produkte, die vor dem 11. Dezember 2027 rechtmäßig in Verkehr gebracht wurden und danach nicht wesentlich verändert werden, müssen die neuen Anforderungen nicht rückwirkend erfüllen. Für laufende Produktlinien und Neuentwicklungen gilt jedoch die volle Compliance-Pflicht.

Was ist NICHT betroffen? Die Ausnahmen nach Artikel 2

Der CRA kennt klare Ausnahmen. Folgende Produktkategorien fallen nicht unter die Verordnung, da sie durch spezifischere EU-Regelwerke abgedeckt sind:

Medizinprodukte und In-vitro-Diagnostika — geregelt durch MDR (EU) 2017/745 und IVDR (EU) 2017/746

Kraftfahrzeuge und Fahrzeugsysteme — geregelt durch Verordnung (EU) 2019/2144 (Typgenehmigung)

Produkte der zivilen Luftfahrt — geregelt durch EASA-Regulierung

Schiffsausrüstung — geregelt durch Richtlinie 2014/90/EU

Verteidigungsgüter und nationale Sicherheit — ausdrücklich ausgenommen

Nicht-kommerzielle Open-Source-Software — OSS ohne kommerziellen Kontext ist ausgenommen; kommerzielle OSS-Produkte fallen unter den CRA

Cloud-Computing-Dienste und SaaS — reine Cloud-Services fallen grundsätzlich nicht unter den CRA. Ausnahme: Datenfernverarbeitungslösungen, die für ein spezifisches Hardwareprodukt unerlässlich sind und unter Verantwortung des Herstellers betrieben werden.

Achtung: Die Grenzfälle sind komplex. Wer ein SaaS-Produkt betreibt, das eng mit einem vernetzten Hardwaregerät verknüpft ist, sollte die Betroffenheit sorgfältig prüfen. Mehr dazu in unserem CRA Betroffenheitscheck.

Wie sich der CRA von NIS2 und DORA abgrenzt, erklären wir ausführlich im Artikel CRA, NIS2, DORA: Welche Regulierung gilt für mein Unternehmen?

Der ADVISORI-Ansatz: CRA-Compliance strukturiert umsetzen

ADVISORI begleitet Hersteller, Importeure und Händler bei der vollständigen CRA-Umsetzung — von der ersten Betroffenheitsanalyse bis zur CE-Kennzeichnung. Wir haben bereits Betroffenheitsanalysen und Compliance-Projekte für Hersteller aus Maschinenbau, Software und Kritischer Infrastruktur durchgeführt. Unser Ansatz basiert auf einem strukturierten Vier-Phasen-Modell:

Phase 1: Betroffenheitsanalyse — Klärung ob und mit welcher Klasse Ihre Produkte unter den CRA fallen. Produktkatalog-Review, Klassifizierung nach Anhang III/IV, Gap-Analyse.

Phase 2: Security Engineering — Implementierung von Security by Design in Ihren Entwicklungsprozessen. SBOM-Tooling, Secure Coding Guidelines, Penetrationstests.

Phase 3: Schwachstellenmanagement & Meldeprozesse — Aufbau eines Vulnerability-Management-Programms, Anbindung an die ENISA-Meldeplattform, Prozessdesign für 24h-Meldungen.

Phase 4: Konformitätsbewertung & CE-Kennzeichnung — Technische Dokumentation, Konformitätserklärung, Koordination mit notifizierten Stellen für wichtige und kritische Produkte.

FAQ: Die häufigsten Fragen zum Cyber Resilience Act

Gilt der CRA auch für B2B-Software die ich nur an Unternehmenskunden verkaufe?

Ja. Der CRA unterscheidet nicht zwischen B2C und B2B. Jede Software oder Hardware, die direkt oder indirekt mit einem Netzwerk verbunden werden kann und auf dem EU-Markt bereitgestellt wird, fällt unter den CRA — unabhängig vom Endkunden.

Was passiert, wenn ich mein Produkt nicht CRA-konform mache?

Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Zusätzlich können Marktaufsichtsbehörden das Inverkehrbringen des Produkts untersagen.

Betrifft der CRA auch Produkte die schon vor 2027 auf dem Markt sind?

Nein — Produkte, die vor dem 11. Dezember 2027 rechtmäßig in Verkehr gebracht wurden und nach diesem Datum nicht wesentlich verändert werden, unterliegen den neuen Anforderungen nicht rückwirkend. Für alle nach diesem Datum neu in Verkehr gebrachten Produkte gilt jedoch die volle CRA-Konformitätspflicht.

Muss ich die ENISA-Meldung selbst vornehmen oder kann ich das an einen Dienstleister delegieren?

Die Meldepflicht liegt beim Hersteller — sie kann nicht vollständig delegiert werden. ADVISORI kann jedoch den Prozessaufbau, das Monitoring und die operativen Abläufe übernehmen, sodass Ihre Meldefristen zuverlässig eingehalten werden.

Jetzt mit der CRA-Vorbereitung starten

Die Uhr läuft: Bis September 2026 bleiben weniger als 6 Monate für den Aufbau der Meldeprozesse. Bis Dezember 2027 müssen alle Produkte CE-konform sein. Je früher Sie mit der Betroffenheitsanalyse beginnen, desto mehr Spielraum haben Sie für die technische Umsetzung.

ADVISORI begleitet Sie von der ersten Analyse bis zur CE-Kennzeichnung. Sprechen Sie uns an — wir erstellen Ihnen in einem kostenlosen Erstgespräch einen individuellen CRA-Fahrplan.

Erste CRA-Einschätzung für Ihr Produkt? In einem kostenlosen 30-Minuten-Gespräch klären wir, ob und mit welcher Klasse Ihr Produkt unter den CRA fällt. →Jetzt Erstberatung vereinbaren