Informationssicherheit NIS2 KRITIS Datenschutz

CRA-Compliance für digitale Produkte.

Betroffenheitsanalyse, Anforderungsübersicht, Meldeprozesse und Konformitätsvorbereitung nach dem Cyber Resilience Act. Für Hersteller, Importeure und Händler.

NIS2 ISMS ISO 27001
Sep. 2026
Meldepflichten für Schwachstellen und Sicherheitsvorfälle gelten ab diesem Datum
24 h
Erstmeldung an ENISA bei aktiv ausgenutzten Schwachstellen
5 Jahre
Mindest-Support-Zeitraum für Sicherheitsupdates
Dez. 2027
Vollständige Anwendung aller CRA-Pflichten
Hintergrund

Was fordert der CRA und wen betrifft er?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist seit Dezember 2024 in Kraft und schließt eine zentrale Lücke im EU-Cybersicherheitsrecht: Er verpflichtet Hersteller von Produkten mit digitalen Elementen, Cybersicherheit bereits im Entwicklungsprozess zu verankern. Betroffen sind vernetzte Hardware, IoT-Geräte und kommerzielle Software, die in der EU in Verkehr gebracht werden.

Die Anforderungen gehen weit über klassische IT-Sicherheit hinaus: Hersteller müssen Schwachstellen über den gesamten Produktlebenszyklus aktiv verwalten, Sicherheitsupdates bereitstellen und bei ausgenutzten Schwachstellen ENISA und Nutzer informieren.

Hintergrund

Ab 11. September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gegenüber ENISA. Als zuständige nationale Behörde fungiert in Deutschland das BSI (CERT-Bund). Die vollständige Anwendung aller CRA-Anforderungen gilt ab 11. Dezember 2027.

Der Aufbau eines konformen Schwachstellenmanagements dauert erfahrungsgemäß vier bis fünf Monate. Hersteller, die die September-2026-Frist einhalten wollen, sollten jetzt mit der Produktklassifizierung und dem Aufbau der Meldeprozesse beginnen.

CRA-Kernpflichten für Hersteller

  • Secure-by-Design und Secure-by-Default bei der Produktentwicklung
  • Aktives Schwachstellenmanagement über den gesamten Lebenszyklus
  • Sicherheitsupdates mindestens 5 Jahre bereitstellen
  • Meldung aktiv ausgenutzter Schwachstellen: 24h Erstmeldung, 72h vollständige Meldung, 14 Tage Abschlussbericht
  • Software Bill of Materials (SBOM) für alle Komponenten
  • Technische Dokumentation und CE-Kennzeichnung
  • Konformitätsbewertung (je nach Risikoklasse Selbstbewertung oder Drittprüfung)
Leistungen

Was wir für Sie übernehmen.

Scoping & Betroffenheitsanalyse

  • Prüfung: Fällt Ihr Produkt unter den CRA?
  • Einordnung in Risikoklasse (Standard, Wichtig I/II, Kritisch)
  • Abgrenzung zu sektorspezifischen Ausnahmen (MDR, NIS2, Kfz)
  • Klärung der Rollenzuordnung: Hersteller, Importeur oder Händler

Regulatorische Anforderungsanalyse

  • Übersetzung der CRA-Anhänge in konkrete Handlungspflichten
  • Anforderungsmatrix je Produktkategorie und Risikoklasse
  • Abgleich bestehender Prozesse mit CRA-Vorgaben (Gap-Analyse)
  • Priorisierter Maßnahmenplan mit klaren Zuständigkeiten

Meldepflichten & interne Prozesse

  • Gestaltung der Meldeprozesse (24h/72h/14-Tage an ENISA und BSI)
  • Interne Richtlinie zur Schwachstellenoffenlegung
  • Kommunikationsketten: intern, Behörden, Nutzer
  • Abstimmung mit bestehenden Incident-Response-Strukturen

Konformitätsvorbereitung

  • Auswahl des geeigneten Konformitätsbewertungsverfahrens
  • Anforderungen an Anhang-V-Dokumentation erläutern und koordinieren
  • Abstimmung mit benannten Stellen (Notified Bodies)
  • Vorbereitung auf Marktüberwachung durch BSI und BNetzA
Vorgehensweise

Von der Betroffenheitsanalyse zur Konformitätsvorbereitung.

01

Scoping

Betroffenheit klären, Produktkatalog erfassen und Risikoklassen bestimmen.

02

Anforderungsanalyse

CRA-Pflichten je Produktkategorie aufschlüsseln und mit dem Ist-Zustand abgleichen.

03

Prozessgestaltung

Meldeprozesse, Offenlegungsrichtlinien und Kommunikationsketten organisatorisch verankern.

04

Konformitätsvorbereitung

Konformitätsstrategie festlegen, Abstimmung mit Notified Body vorbereiten, Behördenkontakte koordinieren.

Schnellcheck

Welche CRA-Pflichten gelten für Ihr Produkt?

Beantworten Sie drei Fragen und erfahren Sie, welche Anforderungen und nächsten Schritte für Ihre konkrete Situation relevant sind.

Zum interaktiven CRA-Checker
FAQ

Häufige Fragen zum Cyber Resilience Act.

Verwandte Themen

Ratgeber: SBOM (Software Bill of Materials) →

Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) ist seit Dezember 2024 in Kraft und legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Er betrifft Hardware und Software, die in der EU in Verkehr gebracht werden, und verpflichtet Hersteller zu Secure-by-Design, aktivem Schwachstellenmanagement und Meldepflichten gegenüber ENISA.

Betroffen sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Das umfasst vernetzte Hardware (IoT-Geräte, Router, Smart-Home-Produkte) ebenso wie kommerzielle Software. Ausgenommen sind u.a. Produkte, die bereits unter sektorspezifische EU-Rechtsakte fallen (z.B. Medizinprodukte, Kfz), sowie nicht kommerziell vertriebene Open-Source-Software.

Der CRA unterscheidet vier Kategorien: Standard (Selbstbewertung), Wichtig Klasse I (z.B. Passwortmanager, Browser, VPN-Software, Netzwerkverwaltung, Identity-Management), Wichtig Klasse II (z.B. Betriebssysteme, Hypervisoren, Firewalls, industrielle Steuerungssysteme) und Kritisch (durch Durchführungsrechtsakt festgelegt). Die Delegierte Verordnung (EU) 2026/881 vom 20. April 2026 legt erstmals verbindliche technische Beschreibungen für Klasse I und Klasse II fest. Je höher die Kategorie, desto strenger die Konformitätsbewertung.

Hersteller müssen Produkte nach dem Prinzip Secure-by-Design und Secure-by-Default entwickeln, aktiv Schwachstellen über den gesamten Produktlebenszyklus verwalten und Sicherheitsupdates mindestens 5 Jahre bereitstellen. Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an ENISA gemeldet werden, gefolgt von einem vollständigen Bericht nach 72 Stunden und einem Abschlussbericht nach 14 Tagen. Zudem sind eine Software Bill of Materials (SBOM), technische Dokumentation und eine CE-Kennzeichnung erforderlich.

CRA und NIS2 ergänzen sich: NIS2 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zur Cybersicherheit in ihren Organisationen und Lieferketten. Der CRA setzt beim Produkt selbst an und verpflichtet Hersteller, sichere digitale Produkte bereitzustellen. Wer als Betreiber unter NIS2 fällt und CRA-pflichtige Produkte einsetzt, profitiert davon, wenn seine Lieferanten bereits CRA-konform sind.

Die Kosten hängen von der Anzahl und Komplexität der betroffenen Produkte sowie der Ausgangssituation ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

CRA-Fristen laufen. Sind Ihre Produkte vorbereitet?

Ab September 2026 gelten die Meldepflichten. Sprechen Sie uns an und klären Sie, wo Handlungsbedarf besteht.

Erstgespräch buchen