Cyber Resilience Act

Bin ich Hersteller nach dem Cyber Resilience Act?

Der CRA gilt ab September 2026 für alle Hersteller von Produkten mit digitalen Elementen. Ob Sie betroffen sind und welche Kategorie für Sie gilt, klären Sie hier in drei Schritten.

Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu verbindlichen Cybersicherheitsanforderungen. Die Grundpflichten gelten ab dem 11. September 2026, die Meldepflicht für Sicherheitsvorfälle bereits ab dem 11. Juni 2026. Wer als Hersteller gilt und welche Prüfpflichten gelten, hängt von Produkt und Kategorie ab.

Hintergrund

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflicht für aktiv ausgenutzte Schwachstellen gilt ab dem 11. Juni 2026. Die vollständigen Herstellerpflichten (SBOM, Konformitätsbewertung, CE-Kennzeichnung) gelten ab dem 11. September 2026. Für Produkte der Klasse II (kritisch) gilt eine verlängerte Übergangsfrist bis zum 11. Dezember 2027.

Zuständige nationale Behörde in Deutschland ist das CERT-Bund (BSI). Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen sind innerhalb von 24 Stunden dorthin zu melden. Unternehmen sollten jetzt mit der Vorbereitung beginnen, um bis September 2026 SBOM-fähig zu sein und Meldeprozesse aufgebaut zu haben.

CRA-Herstellerpflicht prüfen

Schritt 1: Enthält Ihr Produkt Softwarekomponenten oder ist es rein digitale Software?

Produkte mit digitalen Elementen sind Hardware-Produkte mit Softwareanteil sowie reine Softwareprodukte, die nicht ausschließlich als Cloud-Dienst erbracht werden. Reine Hardwareprodukte ohne Softwarekomponente fallen nicht unter den CRA.

Ja Mein Produkt enthält Software oder ist selbst Software (App, Firmware, Betriebssystem, eingebettete Software)

Nein Mein Produkt ist reine Hardware ohne Softwareanteil oder ich erbringe ausschließlich Cloud-Dienste

Schritt 2: In welcher Rolle bringen Sie das Produkt auf den EU-Markt?

Hersteller ist, wer ein Produkt unter seinem Namen oder seiner Marke entwickelt oder wesentlich verändert und auf dem EU-Markt bereitstellt. Importeure und Händler haben geringere, aber eigenständige Pflichten.

Hersteller Ich entwickle das Produkt selbst oder lasse es entwickeln und bringe es unter meinem Namen oder meiner Marke in den EU-Markt

Importeur / Händler Ich vertreibe fremde Produkte in der EU oder bringe Drittprodukte ohne wesentliche Änderung in Verkehr

Schritt 3: Welche Produktkategorie trifft auf Ihr Produkt zu?

Der CRA unterscheidet drei Kategorien. Die Kategorie bestimmt, wie die Konformitätsbewertung erfolgen muss. Im Zweifel gilt die niedrigere Kategorie, sofern das Produkt nicht in Anhang I oder II des CRA gelistet ist.

Standard Standard-Produkt Nicht in Anhang I oder II gelistet. Selbstbewertung durch den Hersteller möglich

Wichtig Klasse I Wichtiges Produkt Anhang I CRA: z. B. Betriebssysteme, Router, Firewalls, Passwortmanager, SIEM, PKI

Kritisch Klasse II Kritisches Produkt Anhang II CRA: Hochsicherheits-Chipkarten, Hardware-Sicherheitsmodule, Smartcard-Lesegeräte, SCADA-Systeme

CRA-Fristen auf einen Blick

Frist	Was gilt ab diesem Datum?
Sofort (Mai 2026)	SBOM-Struktur aufbauen, Schwachstellenmanagement etablieren, Meldeprozesse für CERT-Bund vorbereiten
11. Juni 2026	Meldepflicht in Kraft: Aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle innerhalb von 24 Stunden an die nationale Behörde melden
11. September 2026	Vollständige Herstellerpflichten: SBOM-Pflicht, Sicherheitsanforderungen nach Art. 13 CRA, Konformitätsbewertung, CE-Kennzeichnung
11. Dezember 2027	Verlängerte Frist für Klasse-II-Produkte (kritisch): Konformitätsbewertung durch notifizierte Stelle erforderlich

FAQ

Häufige Fragen zur CRA-Herstellerpflicht.

Bin ich als Softwareentwickler Hersteller nach dem CRA? +

Ja, wenn Sie Software kommerziell vertreiben und diese nicht ausschließlich als Dienstleistung erbracht wird. SaaS-Dienste ohne eigenständige Software-Komponente, die der Nutzer selbst betreibt, fallen nicht unter den CRA. Lizenzierte oder herunterladbare Software dagegen schon.

Was gilt für Open-Source-Software? +

Open-Source-Software, die kostenlos und ohne kommerziellen Hintergrund bereitgestellt wird, ist vom CRA ausgenommen. Sobald jedoch Unterstützung, Integration oder Komponenten kommerziell angeboten werden, kann der CRA greifen. Unternehmen, die Open-Source-Komponenten in kommerzielle Produkte einbetten, gelten als Hersteller.

Was ist eine SBOM und wann wird sie Pflicht? +

Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Liste aller Softwarekomponenten eines Produkts. Sie wird nach dem CRA für alle Hersteller ab dem 11. September 2026 zur Pflicht. Die SBOM muss Drittkomponenten, Versionsnummern und bekannte Schwachstellen abbilden.

Ab wann gilt die Meldepflicht für Sicherheitsvorfälle? +

Die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gilt ab dem 11. Juni 2026. Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die zuständige nationale Behörde (in Deutschland CERT-Bund) melden.

Welche Produkte sind vom CRA ausgenommen? +

Ausgenommen sind Medizinprodukte (MDR/IVDR), Kraftfahrzeuge (UN-Regelung Nr. 155), Luftfahrzeuge, Seefahrzeuge sowie Militär- und Rüstungsgüter. Diese unterliegen eigenen sektorspezifischen Regelwerken. Reine Dienstleistungen ohne eigenständige Software-Komponente sind ebenfalls nicht erfasst.

Überblick Cyber Resilience Act Zur Seite Pflicht ab Sept. 2026 SBOM-Pflicht Zur Seite Grundlagen Informationssicherheit Zur Seite

CRA-Pflicht betrifft Sie? Wir klären Ihren Handlungsbedarf.

Produktklassifizierung, SBOM-Aufbau und Meldeprozesse für September 2026.

Kostenloses Erstgespräch buchen

Bin ich Hersteller nach dem Cyber Resilience Act?

CRA-Fristen auf einen Blick

Häufige Fragen zur CRA-Hersteller­pflicht.

CRA-Pflicht betrifft Sie? Wir klären Ihren Handlungsbedarf.

Häufige Fragen zur CRA-Herstellerpflicht.