Nexvyra

Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-06-06 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉

Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen

Kurzantwort

Die Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA) verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (Hardware + Software, IoT, SaaS in Hardware) zu Cybersecurity-by-Design, Vulnerability-Disclosure und einer CE-Konformitätsbewertung für Cybersecurity. Die Verordnung ist am 10. Dezember 2024 in Kraft getreten. Volle Anwendung ab 11. Dezember 2027 (Hauptpflichten), für Vulnerability-Meldungen bereits ab 11. September 2026. Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes (Art. 64).

Kernfakten

PunktWert
RechtsgrundlageVerordnung (EU) 2024/2847 (CRA) [eur-lex.europa.eu, CELEX:32024R2847]
Inkrafttreten10. Dezember 2024 [Art. 71 CRA]
Vulnerability-Meldepflichten anwendbar ab11. September 2026 [Art. 71 Abs. 2 CRA]
Vollständige Anwendung Hauptpflichten11. Dezember 2027 [Art. 71 Abs. 1 CRA]
Erfasste ProdukteHardware + Software mit digitalen Elementen, vernetzbar (IoT, Router, Smart-Home, Smartphones, Industrial Control, Betriebssysteme, Anwendungen) [Art. 3 Nr. 1 CRA]
Ausnahmenbereits regulierte Produkte: Medizinprodukte (MDR), KFZ (UN R155), Luftfahrt, Marine, In-vitro-Diagnostik [Art. 2 CRA]
Open-Source-Sonderregelfreiwillig bereitgestellte, nicht-kommerzielle Open-Source-Software ausgenommen [Art. 2 Abs. 5 CRA, Erwägungsgrund 18-19]
Wichtige Produkte Klasse ISelf-Assessment möglich (z.B. Passwort-Manager, IAM-Tools, VPN-Clients) [Anhang III CRA]
Wichtige Produkte Klasse IIDrittstellen-Konformitätsbewertung Pflicht (z.B. Firewalls, IDS, Public-Key-Infrastructure) [Anhang III CRA]
Kritische ProduktePflicht zu europäischer Zertifizierung (z.B. Smartcards, Secure Elements, HSM) [Anhang IV CRA]
Meldepflicht VulnerabilitiesMeldung innerhalb 24 Std. Frühwarnung an ENISA + CSIRT [Art. 14 Abs. 1 lit. a CRA]
Meldepflicht detaillierte Meldunginnerhalb 72 Stunden [Art. 14 Abs. 1 lit. b CRA]
Meldepflicht Abschlussberichtinnerhalb 14 Tage nach Maßnahme [Art. 14 Abs. 1 lit. c CRA]
Pflicht Security-Updates Mindestlaufzeit5 Jahre Standard oder Produktlebensdauer [Art. 13 Abs. 8 CRA, Anhang I]
Bußgelder Pflichtverstoßbis 15 Mio. € oder 2,5 % weltw. Jahresumsatz [Art. 64 Abs. 2 CRA]
Bußgelder Vulnerability-Meldepflichtbis 10 Mio. € oder 2 % weltw. Jahresumsatz [Art. 64 Abs. 3 CRA]
CE-KennzeichnungPflicht ab 11.12.2027 für alle erfassten Produkte [Art. 30 CRA]
Aufsicht DEBSI + Marktüberwachungsbehörden der Bundesländer
Single Reporting PlatformENISA-betriebene Plattform für Vulnerability-Meldungen [Art. 16 CRA]

Geltungsbereich

Der CRA gilt für alle Hersteller, Importeure und Händler, die ein „Produkt mit digitalen Elementen" auf dem EU-Markt in Verkehr bringen. Der Begriff ist weit: jedes Software- oder Hardware-Produkt, das verbunden werden kann oder Datenverarbeitung leistet. SaaS ohne Hardware-Anteil fällt grundsätzlich NICHT unter den CRA (sondern ggf. unter NIS-2 oder den DORA, je nach Sektor). Open-Source-Maintainer kommerziell vertriebener Software werden als „Open-Source-Stewards" geführt mit reduzierten Pflichten (Art. 24 CRA).

Häufige Fehler

Quellen

Änderungsverlauf

Stand