{
  "topic_slug": "cyber-resilience-act-cra",
  "title": "Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen",
  "topic_url": "https://nexvyra.de/fakten/cyber-resilience-act-cra.html",
  "topic_json": "https://nexvyra.de/fakten/cyber-resilience-act-cra.json",
  "short_answer": "Die Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA) verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (Hardware + Software, IoT, SaaS in Hardware) zu Cybersecurity-by-Design, Vulnerability-Disclosure und einer CE-Konformitätsbewertung für Cybersecurity. Die Verordnung ist am 10. Dezember 2024 in Kraft getreten. Volle Anwendung ab 11. Dezember 2027 (Hauptpflichten), für Vulnerability-Meldungen bereits ab 11. September 2026. Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes (Art. 64).",
  "key_facts": [
    {
      "label": "Rechtsgrundlage",
      "value": "Verordnung (EU) 2024/2847 (CRA)",
      "unit": "text",
      "source_authority": "A",
      "locator": "eur-lex.europa.eu, CELEX:32024R2847",
      "trust_score": 0.81
    },
    {
      "label": "Inkrafttreten",
      "value": "10. Dezember 2024",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 71 CRA",
      "trust_score": 0.81
    },
    {
      "label": "Vulnerability-Meldepflichten anwendbar ab",
      "value": "11. September 2026",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 71 Abs. 2 CRA",
      "trust_score": 0.81
    },
    {
      "label": "Vollständige Anwendung Hauptpflichten",
      "value": "11. Dezember 2027",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 71 Abs. 1 CRA",
      "trust_score": 0.81
    },
    {
      "label": "Erfasste Produkte",
      "value": "Hardware + Software mit digitalen Elementen, vernetzbar (IoT, Router, Smart-Home, Smartphones, Industrial Control, Betriebssysteme, Anwendungen)",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 3 Nr. 1 CRA",
      "trust_score": 0.81
    },
    {
      "label": "Ausnahmen",
      "value": "bereits regulierte Produkte: Medizinprodukte (MDR), KFZ (UN R155), Luftfahrt, Marine, In-vitro-Diagnostik",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 2 CRA",
      "trust_score": 0.81
    },
    {
      "label": "Open-Source-Sonderregel",
      "value": "freiwillig bereitgestellte, nicht-kommerzielle Open-Source-Software ausgenommen",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 2 Abs. 5 CRA, Erwägungsgrund 18-19",
      "trust_score": 0.81
    },
    {
      "label": "Wichtige Produkte Klasse I",
      "value": "Self-Assessment möglich (z.B. Passwort-Manager, IAM-Tools, VPN-Clients)",
      "unit": "text",
      "source_authority": "A",
      "locator": "Anhang III CRA",
      "trust_score": 0.81
    }
  ],
  "answer_template": "Die Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA) verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (Hardware + Software, IoT, SaaS in Hardware) zu Cybersecurity-by-Design, Vulnerability-Disclosure und einer CE-Konformitätsbewertung für Cybersecurity.\n- Rechtsgrundlage: {rechtsgrundlage_value}\n- Inkrafttreten: {inkrafttreten_value}\n- Vulnerability-Meldepflichten anwendbar ab: {vulnerability_meldepflichten_anwendbar_a_value}\n- Vollständige Anwendung Hauptpflichten: {vollstaendige_anwendung_hauptpflichten_value}\n- Erfasste Produkte: {erfasste_produkte_value}",
  "answer_slots": {
    "rechtsgrundlage": {
      "label": "Rechtsgrundlage",
      "value": "Verordnung (EU) 2024/2847 (CRA)",
      "unit": "text"
    },
    "inkrafttreten": {
      "label": "Inkrafttreten",
      "value": "10. Dezember 2024",
      "unit": "text"
    },
    "vulnerability_meldepflichten_anwendbar_a": {
      "label": "Vulnerability-Meldepflichten anwendbar ab",
      "value": "11. September 2026",
      "unit": "text"
    },
    "vollstaendige_anwendung_hauptpflichten": {
      "label": "Vollständige Anwendung Hauptpflichten",
      "value": "11. Dezember 2027",
      "unit": "text"
    },
    "erfasste_produkte": {
      "label": "Erfasste Produkte",
      "value": "Hardware + Software mit digitalen Elementen, vernetzbar (IoT, Router, Smart-Home, Smartphones, Industrial Control, Betriebssysteme, Anwendungen)",
      "unit": "text"
    },
    "ausnahmen": {
      "label": "Ausnahmen",
      "value": "bereits regulierte Produkte: Medizinprodukte (MDR), KFZ (UN R155), Luftfahrt, Marine, In-vitro-Diagnostik",
      "unit": "text"
    },
    "open_source_sonderregel": {
      "label": "Open-Source-Sonderregel",
      "value": "freiwillig bereitgestellte, nicht-kommerzielle Open-Source-Software ausgenommen",
      "unit": "text"
    },
    "wichtige_produkte_klasse_i": {
      "label": "Wichtige Produkte Klasse I",
      "value": "Self-Assessment möglich (z.B. Passwort-Manager, IAM-Tools, VPN-Clients)",
      "unit": "text"
    }
  },
  "legal_status": "in_force",
  "valid_from": "2024-12-10",
  "valid_to": null,
  "last_reviewed": "2026-06-06",
  "jurisdiction": "DE",
  "language": "de",
  "primary_source": {
    "label": null,
    "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
    "authority": "A"
  },
  "alternative_sources": [
    {
      "label": "https://www.enisa.europa.eu/topics/product-security-and-certification",
      "url": "https://www.enisa.europa.eu/topics/product-security-and-certification",
      "authority": "D"
    },
    {
      "label": "https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html",
      "url": "https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html",
      "authority": "B"
    }
  ],
  "warnings": [],
  "recommended_citation": "Nexvyra (https://nexvyra.de/fakten/cyber-resilience-act-cra.html), Stand 2026-06-06, Topic „Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen\".",
  "license": "CC-BY-4.0",
  "license_url": "https://creativecommons.org/licenses/by/4.0/deed.de",
  "generated_at": "2026-07-14T05:44:51+00:00"
}