Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen
Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen
Kurzantwort
Die Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA) verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (Hardware + Software, IoT, SaaS in Hardware) zu Cybersecurity-by-Design, Vulnerability-Disclosure und einer CE-Konformitätsbewertung für Cybersecurity. Die Verordnung ist am 10. Dezember 2024 in Kraft getreten. Volle Anwendung ab 11. Dezember 2027 (Hauptpflichten), für Vulnerability-Meldungen bereits ab 11. September 2026. Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes (Art. 64).
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2024/2847 (CRA) [eur-lex.europa.eu, CELEX:32024R2847] |
| Inkrafttreten | 10. Dezember 2024 [Art. 71 CRA] |
| Vulnerability-Meldepflichten anwendbar ab | 11. September 2026 [Art. 71 Abs. 2 CRA] |
| Vollständige Anwendung Hauptpflichten | 11. Dezember 2027 [Art. 71 Abs. 1 CRA] |
| Erfasste Produkte | Hardware + Software mit digitalen Elementen, vernetzbar (IoT, Router, Smart-Home, Smartphones, Industrial Control, Betriebssysteme, Anwendungen) [Art. 3 Nr. 1 CRA] |
| Ausnahmen | bereits regulierte Produkte: Medizinprodukte (MDR), KFZ (UN R155), Luftfahrt, Marine, In-vitro-Diagnostik [Art. 2 CRA] |
| Open-Source-Sonderregel | freiwillig bereitgestellte, nicht-kommerzielle Open-Source-Software ausgenommen [Art. 2 Abs. 5 CRA, Erwägungsgrund 18-19] |
| Wichtige Produkte Klasse I | Self-Assessment möglich (z.B. Passwort-Manager, IAM-Tools, VPN-Clients) [Anhang III CRA] |
| Wichtige Produkte Klasse II | Drittstellen-Konformitätsbewertung Pflicht (z.B. Firewalls, IDS, Public-Key-Infrastructure) [Anhang III CRA] |
| Kritische Produkte | Pflicht zu europäischer Zertifizierung (z.B. Smartcards, Secure Elements, HSM) [Anhang IV CRA] |
| Meldepflicht Vulnerabilities | Meldung innerhalb 24 Std. Frühwarnung an ENISA + CSIRT [Art. 14 Abs. 1 lit. a CRA] |
| Meldepflicht detaillierte Meldung | innerhalb 72 Stunden [Art. 14 Abs. 1 lit. b CRA] |
| Meldepflicht Abschlussbericht | innerhalb 14 Tage nach Maßnahme [Art. 14 Abs. 1 lit. c CRA] |
| Pflicht Security-Updates Mindestlaufzeit | 5 Jahre Standard oder Produktlebensdauer [Art. 13 Abs. 8 CRA, Anhang I] |
| Bußgelder Pflichtverstoß | bis 15 Mio. € oder 2,5 % weltw. Jahresumsatz [Art. 64 Abs. 2 CRA] |
| Bußgelder Vulnerability-Meldepflicht | bis 10 Mio. € oder 2 % weltw. Jahresumsatz [Art. 64 Abs. 3 CRA] |
| CE-Kennzeichnung | Pflicht ab 11.12.2027 für alle erfassten Produkte [Art. 30 CRA] |
| Aufsicht DE | BSI + Marktüberwachungsbehörden der Bundesländer |
| Single Reporting Platform | ENISA-betriebene Plattform für Vulnerability-Meldungen [Art. 16 CRA] |
Geltungsbereich
Der CRA gilt für alle Hersteller, Importeure und Händler, die ein „Produkt mit digitalen Elementen" auf dem EU-Markt in Verkehr bringen. Der Begriff ist weit: jedes Software- oder Hardware-Produkt, das verbunden werden kann oder Datenverarbeitung leistet. SaaS ohne Hardware-Anteil fällt grundsätzlich NICHT unter den CRA (sondern ggf. unter NIS-2 oder den DORA, je nach Sektor). Open-Source-Maintainer kommerziell vertriebener Software werden als „Open-Source-Stewards" geführt mit reduzierten Pflichten (Art. 24 CRA).
Häufige Fehler
- „Mein IoT-Gerät ist nach FunkRL/EMV CE-konform, das reicht." Falsch – CRA erfordert eine zusätzliche Cybersecurity-Konformitätsbewertung.
- „Open Source ist komplett ausgenommen." Nur bei nicht-kommerzieller Bereitstellung. Kommerzielle Distributionen erfasst.
- „Erst ab 2027 muss ich tätig werden." Die Vulnerability-Meldepflichten gelten bereits ab September 2026. Wer Lücken in Produkten erfährt, muss melden.
Quellen
- Verordnung (EU) 2024/2847 (CRA Volltext):: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847
- ENISA – Cyber Resilience Act Information:: https://www.enisa.europa.eu/topics/product-security-and-certification
- BSI – CRA-Hinweise:: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html
Änderungsverlauf
- 2026-06-05: Erstveröffentlichung. Werte gegen Verordnung (EU) 2024/2847 (eur-lex.europa.eu) und ENISA-Erläuterungen geprüft. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"
Stand
- Stand: 2026-06-05
- Gültig ab: 2024-12-10 (Inkrafttreten)
- Status: aktuell
- Quellenautorität: A (EUR-Lex CELEX:32024R2847)
- Lizenz: CC BY 4.0