update page now

Neu: EU CAPTCHA – DSGVO-konformer Bot-Schutz. Jetzt 3 Monate kostenlos testen.

Home>

Cyber Resilience Act

Compliance Schriftzug

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für den gesamten Lebenszyklus von Hardware- und Softwareprodukten definiert. Dadurch soll es Unternehmen sowie Verbraucherinnen und Verbrauchern in der EU erleichtert werden, das Thema Cybersicherheit als Kriterium bei der Auswahl und der Verwendung von Produkten zu berücksichtigen. 

 

Analog zur NIS-2-Richtlinie, welche die Informationssicherheit auf Betreiberseite regelt, soll der CRA als komplementäre Regulierung die Sicherheit digitaler Produkte und Dienste verbessern.

Jetzt absichern mit dem Myra DDoS Schutz

Auf einen
Blick

  1. 01. Cyber Resilience Act: eine Definition
    1. 02. Geltungsbereich: Welche Produkte sind betroffen?
      1. 03. Welche Risikoklassen und Konformitäts-Bewertung umfasst der CRA?
        1. 04. Ab wann gilt der CRA?
          1. 05. Welche Meldefristen sieht der CRA vor?
            1. 06. Cyber Resilienz Act: Das müssen Sie wissen

              01

              Cyber Resilience Act: eine Definition

              Der Cyber Resilience Act ist am 10. Dezember 2024 in Kraft getreten und schafft einen horizontalen Rechtsrahmen für die Sicherheit von Hard und Softwareprodukten mit Netzwerkbezug. Damit reagiert die EU auf die wachsende Abhängigkeit von vernetzten Systemen und die Tatsache, dass viele Produkte bislang mit unzureichender Basissicherheit, fehlenden Updates oder intransparentem Schwachstellenmanagement auf den Markt kamen. 

               

              Kernidee des CRA ist, Security-by-Design und Security-by-Default vom Best Practice zu einer rechtlich durchsetzbaren Pflicht zu machen. Hersteller müssen nachweisen, dass sie über den gesamten Produktlebenszyklus hinweg – vom ursprünglichen Design über die Entwicklung bis hin zu Produktion und Pflege über die gesamte Nutzungsdauer – geeignete technische und organisatorische Maßnahmen für die Cybersicherheit mitdenken, implementieren und operativ umsetzen. 

              CRA: Ziele und Pflichten

              Der CRA verfolgt diese Ziele:

              • Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen schon ab der Konzeptions- und Entwicklungsphase sowie über den gesamten Lebenszyklus hinweg verbessern.

              • Gewährleistung eines kohärenten Cybersicherheitsrahmens, der den Hardware- und Softwareherstellern die Einhaltung der Vorschriften erleichtert.

              • Erhöhung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen.

              • Befähigung von Unternehmen sowie Verbraucherinnen und Verbrauchern, damit sie Produkte mit digitalen Elementen sicher verwenden können.

              Was bedeutet der CRA für die Hersteller?

              • Verpflichtung zu Security by Design: Cybersicherheit muss in der kompletten Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase von Produkten berücksichtigt und umgesetzt werden.

              • Umfangreiche Dokumentations- und Meldepflichten von Schwachstellen und Sicherheitsvorfällen gegenüber Unternehmenskunden, Verbraucherinnen und Verbrauchern sowie den zuständigen Aufsichtsbehörden.

              02

              Geltungsbereich: Welche Produkte sind betroffen? 

              Die Verordnung betrifft in erster Linie alle Produkte mit digitalen Elementen. Diese sind durch den CRA in drei Klassen eingeordnet. Die Standardkategorie soll rund 90 % aller Produkte umfassen, sie setzt sich aus handelsüblichen Geräten und Programmen mit niedriger Kritikalität zusammen, wie etwa Fotobearbeitungssoftware, Videospiele oder smarte Lautsprecher.

              Die übrigen 10 % entfallen auf Produkte der kritischen Klassen I und II, von denen ein höheres Cybersicherheitsrisiko ausgeht. Daher sind hier besondere Konformitätsbewertungsverfahren anzuwenden, einschließlich der externen Bewertung durch Dritte.

              Ausgenommen vom CRA sind reine Software-as-a-Service-Lösungen (SaaS), die als eigenständige Cloud-Dienste betrieben werden. Jedoch fallen „Fernverarbeitungslösungen“ unter den CRA, wenn sie für die Funktionalität eines Produkts mit digitalen Elementen zwingend erforderlich sind. Nicht-kommerzielle Open-Source-Software ist ebenfalls ausgenommen; kommerzielle FOSS-Produkte hingegen sind reguliert.

              Insgesamt ist der Geltungsbereich bewusst weit gefasst und umfasst:

              • Klassische IT- und Consumer-Produkte wie Router, Smart-Home-Geräte, Kameras, Wearables und vernetzte Haushaltsgeräte.

              • Softwareprodukte  wie Betriebssysteme, Anwendungen, Browser, VPNClients, Security-Lösungen oder Cloud-Software.

              • Industrielle und KRITIS-nahe Systeme, etwa Steuerungen, Netzkomponenten, OT/ICS-Lösungen und eingebettete Systeme in Maschinen.

              Ausgenommen sind u.a. bestimmte Medizinprodukte, Fahrzeuge, Luftfahrtprodukte sowie rein unentgeltlich bereitgestellte OpenSourceSoftware ohne kommerzielle Nutzung.

              Laptop

              03

              Welche Risikoklassen und Konformitäts-Bewertung umfasst der CRA?

              Um den sehr unterschiedlichen Risikoprofilen gerecht zu werden, arbeitet der Cyber Resilience Act mit einer risikobasierten Klassifizierung. 

              • Standardprodukte können in der Regel per interner Konformitätsbewertung durch den Hersteller in Verkehr gebracht werden. Diese belegt, dass die Cybersicherheitsanforderungen aus dem CRA erfüllt werden.  

              • Wichtige Produkte (Klasse I) umfassen etwa Webbrowser, Kennwortmanager, Antivirenprogramme, VPN-Software. Zum Nachweis von CRA-Compliance ist hier die Anwendung eines harmonisierten Standards oder alternativ eine externe Prüfung durch eine Prüfstelle erforderlich. 

              • Wichtige Produkte (Klasse II) decken z.B. Container-Runtime-Systeme oder Hypervisoren ab. Hier ist eine externe Konformitätsprüfung verpflichtend. 

              • Kritische Produkte werden in kritischen Infrastrukturen eingesetzt, wie z. B. Smart-Meter-Gateways oder Smart Cards. Hier ist die Anwendung eines Zertifizierungssystems als Konformitätsnachweis erforderlich. 

              Für alle Klassen gilt: Ohne nachgewiesene Konformität mit den CRA-Anforderungen ist ein Inverkehrbringen im EU-Binnenmarkt künftig unzulässig.​ 

              04

              Ab wann gilt der CRA?

              Für die Gewährleistung von CRA-Compliance ist der Zeitplan zentral, da sich die von der Regularie ableitenden Pflichten stufenweise aufbauen.

              • 11. Juni 2026: Die Regeln für die Notifizierung und Arbeit der Konformitätsbewertungsstellen (Chapter IV) werden anwendbar. Hersteller können dann Produkte mit digitalem Element durch benannte Stellen prüfen lassen.

              • 11. September 2026: Artikel 14 (Reporting-Pflichten) tritt in Kraft; ab diesem Datum gelten die 24‑h‑/72‑h‑Fristen für das Berichten von aktiv ausgenutzten Schwachstellen und schweren Incidents.

              • 11. Dezember 2027: Der CRA wird in Gänze anwendbar; ab diesem Datum dürfen neue Produkte nur noch CRA-konform auf den EU-Markt gebracht werden. Dies gilt auch für neu ausgelieferte Chargen oder neu veröffentlichte Versionen bestehender Produktlinien.

              Für Hersteller bedeutet das: Die Zeit bis Ende 2027 ist faktisch Migrationszeit, in der Entwicklungs- und Security-Prozesse, Produktportfolios und Lieferantenlandschaften schrittweise auf CRA-Compliance ausgerichtet werden müssen.

              Code auf einem Bildschirm

              05

              Welche Meldefristen sieht der CRA vor?

              • Frühe Warnmeldung binnen 24 Stunden: Sobald ein Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schweren Sicherheitsvorfall hat, muss er über die CRA Single Reporting Platform (SRP) ein „Early Warning“ an das zuständige CSIRT übermitteln. Diese Meldung benennt u.a. die betroffenen Produktfamilien und die Mitgliedstaaten, in denen das Produkt bereitgestellt wird.

              • Ausführliche Meldung binnen 72 Stunden: Innerhalb von 72 Stunden ist eine detailliertere Meldung nachzureichen, die allgemeine Informationen zum Produkt, zur Art des Exploits, zur Schwachstelle sowie zu bereits eingeleiteten oder empfohlenen Minderungsmaßnahmen enthält.

              • Abschlussbericht spätestens nach 14 Tagen (für aktiv ausgenutzte Schwachstellen) bzw. innerhalb eines Monats für Incidents: Der Abschlussbericht dokumentiert u.a. Schwere und Auswirkungen, Root Cause, bekannte Angreiferinformationen sowie verfügbare Patches oder Workarounds.

               

              Die Meldung erfolgt einmalig über die SRP an das CSIRT des Mitgliedstaats der Hauptniederlassung (main establishment); ENISA und weitere betroffene CSIRTs erhalten die Informationen über abgestimmte Prozesse.

              Handy mit einem Sicherheitsschloss auf dem Bildschirm

              06

              Cyber Resilienz Act: Das müssen Sie wissen

              Der CRA steht nicht isoliert, sondern ist eingebettet in einen breiteren Regulierungs- und Risikomanagementkontext (u.a. durch NIS-2, DORA und den AI Act), der auf eine Stärkung der Cyberresilienz abzielt. Untersuchungen zeigen, dass gerade kleinere Organisationen ihre eigene Cyberresilienz zunehmend als unzureichend einschätzen, während größere Player dank höherer Investitionen und spezialisierter Teams Fortschritte erzielen. In Deutschland sehen 6 von 10 Unternehmen eine existenzielle Bedrohung durch Cyberattacken (Bitkom 2025).

               

              Eine holistische Herangehensweise an die Themen Cybersicherheit und Cyberresilienz über die gesamte Wertschöpfungskette hinweg unterstützt insbesondere kleinere Organisationen und auch Endkunden dabei, ihre Abwehrbereitschaft gegen Cyberrisiken signifikant zu steigern, da das Sicherheitsniveau als Ganzes über sämtliche sich im Einsatz befindlichen Lösungen angehoben wird.

              Was sind die wichtigsten CRA-Anforderungen für Hersteller, Importeure und Händler?

              Produkte mit digitalen Elementen (Produkte) werden nur dann auf dem Markt zugelassen, wenn sie die „grundlegenden Cybersicherheitsanforderungen“ erfüllen, die in Abschnitt 1 von Anhang I des CRA aufgeführt sind. Diese Anforderungen sind darauf ausgelegt, die Sicherheit, Vertraulichkeit und Integrität digitaler Produkte sicherzustellen. Dabei setzt die EU-Kommission auf Best Practices wie Verschlüsselung, Datenminimierung oder eine präventive Absicherung vor Angriffen. Beispiel: Die Produkte müssen „die Verfügbarkeit wesentlicher Funktionen, einschließlich der Abwehrfähigkeit gegen Überlastungsangriffe auf Server (Denial-of-Service-Angriffe) und deren Eindämmung gewährleisten“. 

              © Myra Security GmbH 2026, alle Rechte vorbehalten

              Made in Germany.

              Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB