{
  "slug": "cyber-resilience-act-cra",
  "title": "Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen",
  "topic_area": "datenschutz",
  "topic_label": "Datenschutz",
  "language": "de",
  "legal_status": "in_force",
  "valid_from": "2024-12-10",
  "valid_to": null,
  "last_reviewed": "2026-06-06",
  "factcheck_status": "ok",
  "authority_level": "A",
  "license": "CC-BY-4.0",
  "license_url": "https://creativecommons.org/licenses/by/4.0/deed.de",
  "attribution": "Nexvyra (https://nexvyra.de, Wikidata Q139919900)",
  "wikidata_subjects": [
    "Q124979038",
    "Q1004078"
  ],
  "summary": "Die **Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA)** verpflichtet **Hersteller, Importeure und Händler** von **Produkten mit digitalen Elementen** (Hardware + Software, IoT, SaaS in Hardware) zu Cybersecurity-by-Design…",
  "urls": {
    "html": "https://nexvyra.de/fakten/cyber-resilience-act-cra.html",
    "markdown": "https://nexvyra.de/fakten/cyber-resilience-act-cra.md",
    "json": "https://nexvyra.de/fakten/cyber-resilience-act-cra.json"
  },
  "sources": [
    {
      "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "authority": "A"
    },
    {
      "url": "https://www.enisa.europa.eu/topics/product-security-and-certification",
      "authority": "D"
    },
    {
      "url": "https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html",
      "authority": "B"
    }
  ],
  "facts": [
    {
      "claim": "Rechtsgrundlage: Verordnung (EU) 2024/2847 (CRA)",
      "label": "Rechtsgrundlage",
      "value": "Verordnung (EU) 2024/2847 (CRA)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "eur-lex.europa.eu, CELEX:32024R2847",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Inkrafttreten: 10. Dezember 2024",
      "label": "Inkrafttreten",
      "value": "10. Dezember 2024",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 71 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Vulnerability-Meldepflichten anwendbar ab: 11. September 2026",
      "label": "Vulnerability-Meldepflichten anwendbar ab",
      "value": "11. September 2026",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 71 Abs. 2 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Vollständige Anwendung Hauptpflichten: 11. Dezember 2027",
      "label": "Vollständige Anwendung Hauptpflichten",
      "value": "11. Dezember 2027",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 71 Abs. 1 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Erfasste Produkte: Hardware + Software mit digitalen Elementen, vernetzbar (IoT, Router, Smart-Home, Smartphones, Industrial Control, Betriebssysteme, Anwendungen)",
      "label": "Erfasste Produkte",
      "value": "Hardware + Software mit digitalen Elementen, vernetzbar (IoT, Router, Smart-Home, Smartphones, Industrial Control, Betriebssysteme, Anwendungen)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 3 Nr. 1 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Ausnahmen: bereits regulierte Produkte: Medizinprodukte (MDR), KFZ (UN R155), Luftfahrt, Marine, In-vitro-Diagnostik",
      "label": "Ausnahmen",
      "value": "bereits regulierte Produkte: Medizinprodukte (MDR), KFZ (UN R155), Luftfahrt, Marine, In-vitro-Diagnostik",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 2 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Open-Source-Sonderregel: freiwillig bereitgestellte, nicht-kommerzielle Open-Source-Software ausgenommen",
      "label": "Open-Source-Sonderregel",
      "value": "freiwillig bereitgestellte, nicht-kommerzielle Open-Source-Software ausgenommen",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 2 Abs. 5 CRA, Erwägungsgrund 18-19",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Wichtige Produkte Klasse I: Self-Assessment möglich (z.B. Passwort-Manager, IAM-Tools, VPN-Clients)",
      "label": "Wichtige Produkte Klasse I",
      "value": "Self-Assessment möglich (z.B. Passwort-Manager, IAM-Tools, VPN-Clients)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Anhang III CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Wichtige Produkte Klasse II: Drittstellen-Konformitätsbewertung Pflicht (z.B. Firewalls, IDS, Public-Key-Infrastructure)",
      "label": "Wichtige Produkte Klasse II",
      "value": "Drittstellen-Konformitätsbewertung Pflicht (z.B. Firewalls, IDS, Public-Key-Infrastructure)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Anhang III CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Kritische Produkte: Pflicht zu europäischer Zertifizierung (z.B. Smartcards, Secure Elements, HSM)",
      "label": "Kritische Produkte",
      "value": "Pflicht zu europäischer Zertifizierung (z.B. Smartcards, Secure Elements, HSM)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Anhang IV CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Meldepflicht Vulnerabilities: Meldung innerhalb 24 Std. Frühwarnung an ENISA + CSIRT",
      "label": "Meldepflicht Vulnerabilities",
      "value": "Meldung innerhalb 24 Std. Frühwarnung an ENISA + CSIRT",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 14 Abs. 1 lit. a CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Meldepflicht detaillierte Meldung: innerhalb 72 Stunden",
      "label": "Meldepflicht detaillierte Meldung",
      "value": "innerhalb 72 Stunden",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 14 Abs. 1 lit. b CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Meldepflicht Abschlussbericht: innerhalb 14 Tage nach Maßnahme",
      "label": "Meldepflicht Abschlussbericht",
      "value": "innerhalb 14 Tage nach Maßnahme",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 14 Abs. 1 lit. c CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Pflicht Security-Updates Mindestlaufzeit: 5 Jahre Standard oder Produktlebensdauer",
      "label": "Pflicht Security-Updates Mindestlaufzeit",
      "value": "5 Jahre Standard oder Produktlebensdauer",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 13 Abs. 8 CRA, Anhang I",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Bußgelder Pflichtverstoß: bis 15 Mio. € oder 2,5 % weltw. Jahresumsatz",
      "label": "Bußgelder Pflichtverstoß",
      "value": "bis 15 Mio. € oder 2,5 % weltw. Jahresumsatz",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 64 Abs. 2 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Bußgelder Vulnerability-Meldepflicht: bis 10 Mio. € oder 2 % weltw. Jahresumsatz",
      "label": "Bußgelder Vulnerability-Meldepflicht",
      "value": "bis 10 Mio. € oder 2 % weltw. Jahresumsatz",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 64 Abs. 3 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "CE-Kennzeichnung: Pflicht ab 11.12.2027 für alle erfassten Produkte",
      "label": "CE-Kennzeichnung",
      "value": "Pflicht ab 11.12.2027 für alle erfassten Produkte",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 30 CRA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Aufsicht DE: BSI + Marktüberwachungsbehörden der Bundesländer",
      "label": "Aufsicht DE",
      "value": "BSI + Marktüberwachungsbehörden der Bundesländer",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Single Reporting Platform: ENISA-betriebene Plattform für Vulnerability-Meldungen",
      "label": "Single Reporting Platform",
      "value": "ENISA-betriebene Plattform für Vulnerability-Meldungen",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 16 CRA",
      "last_verified": "2026-06-06"
    }
  ],
  "generated_at": "2026-07-14T06:48:04Z"
}