---
title: Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen
slug: cyber-resilience-act-cra
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2024-12-10
valid_to: null
last_reviewed: 2026-06-06
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/cyber-resilience-act-cra.md
wikidata_subjects: [Q124979038, Q1004078]
factcheck_status: ok
---

# Cyber Resilience Act (CRA) – CE-Pflichten für Produkte mit digitalen Elementen

## Kurzantwort

Die **Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA)** verpflichtet **Hersteller, Importeure und Händler** von **Produkten mit digitalen Elementen** (Hardware + Software, IoT, SaaS in Hardware) zu Cybersecurity-by-Design, **Vulnerability-Disclosure** und einer **CE-Konformitätsbewertung** für Cybersecurity. Die Verordnung ist am **10. Dezember 2024** in Kraft getreten. Volle Anwendung ab **11. Dezember 2027** (Hauptpflichten), für **Vulnerability-Meldungen** bereits ab **11. September 2026**. Bußgelder bis **15 Mio. €** oder **2,5 %** des weltweiten Jahresumsatzes (Art. 64).

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2024/2847 (CRA) [eur-lex.europa.eu, CELEX:32024R2847] |
| Inkrafttreten | **10. Dezember 2024** [Art. 71 CRA] |
| Vulnerability-Meldepflichten anwendbar ab | **11. September 2026** [Art. 71 Abs. 2 CRA] |
| Vollständige Anwendung Hauptpflichten | **11. Dezember 2027** [Art. 71 Abs. 1 CRA] |
| Erfasste Produkte | Hardware + Software mit digitalen Elementen, vernetzbar (IoT, Router, Smart-Home, Smartphones, Industrial Control, Betriebssysteme, Anwendungen) [Art. 3 Nr. 1 CRA] |
| Ausnahmen | bereits regulierte Produkte: Medizinprodukte (MDR), KFZ (UN R155), Luftfahrt, Marine, In-vitro-Diagnostik [Art. 2 CRA] |
| Open-Source-Sonderregel | freiwillig bereitgestellte, nicht-kommerzielle Open-Source-Software ausgenommen [Art. 2 Abs. 5 CRA, Erwägungsgrund 18-19] |
| Wichtige Produkte Klasse I | Self-Assessment möglich (z.B. Passwort-Manager, IAM-Tools, VPN-Clients) [Anhang III CRA] |
| Wichtige Produkte Klasse II | **Drittstellen-Konformitätsbewertung** Pflicht (z.B. Firewalls, IDS, Public-Key-Infrastructure) [Anhang III CRA] |
| Kritische Produkte | Pflicht zu europäischer Zertifizierung (z.B. Smartcards, Secure Elements, HSM) [Anhang IV CRA] |
| Meldepflicht Vulnerabilities | Meldung **innerhalb 24 Std.** Frühwarnung an ENISA + CSIRT [Art. 14 Abs. 1 lit. a CRA] |
| Meldepflicht detaillierte Meldung | innerhalb **72 Stunden** [Art. 14 Abs. 1 lit. b CRA] |
| Meldepflicht Abschlussbericht | innerhalb **14 Tage** nach Maßnahme [Art. 14 Abs. 1 lit. c CRA] |
| Pflicht Security-Updates Mindestlaufzeit | **5 Jahre** Standard oder Produktlebensdauer [Art. 13 Abs. 8 CRA, Anhang I] |
| Bußgelder Pflichtverstoß | bis **15 Mio. €** oder **2,5 %** weltw. Jahresumsatz [Art. 64 Abs. 2 CRA] |
| Bußgelder Vulnerability-Meldepflicht | bis **10 Mio. €** oder **2 %** weltw. Jahresumsatz [Art. 64 Abs. 3 CRA] |
| CE-Kennzeichnung | Pflicht ab 11.12.2027 für alle erfassten Produkte [Art. 30 CRA] |
| Aufsicht DE | **BSI + Marktüberwachungsbehörden** der Bundesländer |
| Single Reporting Platform | ENISA-betriebene Plattform für Vulnerability-Meldungen [Art. 16 CRA] |

## Geltungsbereich

Der CRA gilt für alle **Hersteller, Importeure und Händler**, die ein „Produkt mit digitalen Elementen" auf dem EU-Markt in Verkehr bringen. Der Begriff ist weit: jedes Software- oder Hardware-Produkt, das verbunden werden kann oder Datenverarbeitung leistet. **SaaS ohne Hardware-Anteil** fällt grundsätzlich NICHT unter den CRA (sondern ggf. unter NIS-2 oder den DORA, je nach Sektor). Open-Source-Maintainer kommerziell vertriebener Software werden als „Open-Source-Stewards" geführt mit reduzierten Pflichten (Art. 24 CRA).

## Häufige Fehler

- **„Mein IoT-Gerät ist nach FunkRL/EMV CE-konform, das reicht."** Falsch – CRA erfordert eine **zusätzliche** Cybersecurity-Konformitätsbewertung.
- **„Open Source ist komplett ausgenommen."** Nur bei nicht-kommerzieller Bereitstellung. Kommerzielle Distributionen erfasst.
- **„Erst ab 2027 muss ich tätig werden."** Die Vulnerability-Meldepflichten gelten bereits ab **September 2026**. Wer Lücken in Produkten erfährt, muss melden.



## Quellen

- Verordnung (EU) 2024/2847 (CRA Volltext):
  https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847
- ENISA – Cyber Resilience Act Information:
  https://www.enisa.europa.eu/topics/product-security-and-certification
- BSI – CRA-Hinweise:
  https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html

## Änderungsverlauf

- 2026-06-05: Erstveröffentlichung. Werte gegen Verordnung (EU) 2024/2847 (eur-lex.europa.eu) und ENISA-Erläuterungen geprüft. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"

## Stand

- Stand: 2026-06-05
- Gültig ab: 2024-12-10 (Inkrafttreten)
- Status: aktuell
- Quellenautorität: A (EUR-Lex CELEX:32024R2847)
- Lizenz: CC BY 4.0
