SECURITYSQUAD
Zurück zum Blog

Cyber Resilience Act (CRA): Was Hersteller jetzt wissen müssen

2026-07-17 · von SECURITYSQUAD

Der Cyber Resilience Act (CRA) ist die erste EU-Verordnung, die horizontale Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt – also an nahezu jede vernetzte Hard- und Software. Wer solche Produkte in der EU herstellt, importiert oder vertreibt, muss Sicherheit künftig nachweisbar über den gesamten Lebenszyklus gewährleisten. Dieser Beitrag ordnet Geltungsbereich, Kernpflichten und den aktuellen Zeitplan ein.

Was ist der Cyber Resilience Act?

Der CRA (Verordnung (EU) 2024/2847) legt verbindliche, EU-weit einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Anders als NIS2, die sich an Betreiber richtet, adressiert der CRA das Produkt selbst: vom smarten Türschloss über industrielle Steuerungen bis zu Betriebssystemen, Bibliotheken und mobilen Apps. Ziel ist, dass in der EU verkaufte Produkte „secure by design" sind und über ihre gesamte Nutzungsdauer sicher gehalten werden.

Als Verordnung gilt der CRA unmittelbar in allen Mitgliedstaaten – ohne nationale Umsetzung. Die Einhaltung wird über die bekannte CE-Kennzeichnung dokumentiert: Ohne erfüllte Cybersicherheitsanforderungen darf ein betroffenes Produkt künftig nicht mehr in Verkehr gebracht werden.

Geltungsbereich: Produkte mit digitalen Elementen

Erfasst sind sowohl Hardware als auch Software, deren bestimmungsgemäße Nutzung eine direkte oder indirekte Daten­verbindung zu einem Gerät oder Netz umfasst. Der CRA unterscheidet dabei nach Kritikalität:

  • Standardprodukte (die große Mehrheit): Konformitätsbewertung meist durch Selbsteinschätzung des Herstellers.
  • Wichtige Produkte (Klasse I und II, z. B. Passwortmanager, Netzwerkkomponenten, Betriebssysteme, industrielle Firewalls): strengere Bewertung, teils unter Einbindung einer benannten Stelle.
  • Kritische Produkte: höchste Anforderungen, ggf. europäische Zertifizierung.

Ausgenommen sind Bereiche mit eigener sektoraler Regulierung, etwa Medizinprodukte, Kraftfahrzeuge oder zivile Luftfahrt. Reine Software-as-a-Service fällt grundsätzlich nicht unter den CRA, kann aber über NIS2 reguliert sein.

Die Kernpflichten im Überblick

Der CRA verlangt keine einmalige Maßnahme, sondern durchgängige Prozesse:

  • Security by Design und by Default: Produkte müssen ohne bekannte ausnutzbare Schwachstellen ausgeliefert und mit sicheren Grundeinstellungen konfiguriert werden.
  • Schwachstellenmanagement über den Lebenszyklus: Hersteller müssen Schwachstellen identifizieren, dokumentieren und ohne Verzögerung durch Sicherheitsupdates beheben – über den erwarteten Nutzungszeitraum, mindestens jedoch über den festgelegten Support-Zeitraum.
  • Software Bill of Materials (SBOM): Eine strukturierte Auflistung der enthaltenen Komponenten (insbesondere Open-Source-Abhängigkeiten) muss erstellt und gepflegt werden.
  • CE-Kennzeichnung und technische Dokumentation: Der Nachweis der Konformität mit den grundlegenden Anforderungen (Anhang I) ist zu führen und vorzuhalten.
  • Meldepflichten: Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind über die ENISA-Meldeplattform an das zuständige CSIRT und ENISA zu melden – als Frühwarnung binnen 24 Stunden, ausführliche Meldung binnen 72 Stunden und Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme.

Zeitplan: Stand Juli 2026

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Pflichten greifen gestuft:

  • 11. Juni 2026: Die Regeln für die Notifizierung von Konformitätsbewertungsstellen (benannte Stellen) gelten.
  • 11. September 2026: Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gelten. Ab diesem Datum ist die ENISA-Meldeplattform (Single Reporting Platform) betriebsbereit. Wichtig: Diese Meldepflicht betrifft auch bereits am Markt befindliche Produkte.
  • 11. Dezember 2027: Der Großteil der Pflichten wird wirksam – insbesondere die grundlegenden Sicherheitsanforderungen, Konformitätsbewertung und CE-Kennzeichnung.

Der 11. September 2026 rückt damit als erster harter Stichtag näher: Hersteller müssen bis dahin Prozesse etabliert haben, um ausgenutzte Schwachstellen fristgerecht zu erkennen und zu melden.

Wen betrifft der CRA?

Adressaten sind alle Wirtschaftsakteure entlang der Lieferkette:

  • Hersteller tragen die Hauptlast: Sie verantworten Security by Design, Schwachstellenmanagement, SBOM, Dokumentation und Meldungen.
  • Importeure dürfen nur konforme Produkte in Verkehr bringen und müssen die Konformität prüfen.
  • Händler müssen mit Sorgfalt handeln und dürfen keine offensichtlich nicht konformen Produkte vertreiben.

Wer unter eigener Marke fremde Produkte vertreibt oder ein Produkt wesentlich verändert, gilt regelmäßig selbst als Hersteller – mit allen Pflichten.

Abgrenzung zu NIS2

CRA und NIS2 ergänzen einander, adressieren aber unterschiedliche Ebenen. NIS2 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu Risikomanagement und Meldepflichten auf Organisationsebene. Der CRA setzt eine Ebene früher an – beim Produkt – und verpflichtet dessen Herstellung und Pflege. Ein Unternehmen kann von beiden Regimen betroffen sein: als Betreiber (NIS2) und zugleich als Hersteller digitaler Produkte (CRA). Die CRA-Meldepflichten laufen dabei über die ENISA-Plattform mit vergleichbaren 24/72-Stunden-Fristen, wie man sie aus NIS2 kennt.

Praktische Vorbereitung

Die gute Nachricht: Vieles baut auf etablierten Security-Praktiken auf. Sinnvolle erste Schritte:

  1. Produktinventar und Betroffenheit klären: Welche Produkte fallen in welche Kategorie?
  2. SBOM aufbauen: Komponenten und Abhängigkeiten transparent machen – Grundlage für schnelles Schwachstellenmanagement.
  3. Secure Development und Härtung: Sichere Grundeinstellungen, minimierte Angriffsfläche, geprüfte Update-Mechanismen.
  4. Schwachstellen- und Update-Prozess etablieren: Von der Erkennung bis zum ausgerollten Patch – dokumentiert und fristgerecht.
  5. Sicherheit prüfen lassen: Penetrationstests decken ausnutzbare Schwachstellen auf, bevor es Angreifer tun – und liefern Nachweise für die technische Dokumentation.
  6. Melde- und Reaktionsprozess vorbereiten: Zuständigkeiten, Erkennung und Fristen (24/72 Stunden) auf den 11. September 2026 ausrichten.

Wie SECURITYSQUAD unterstützt

SECURITYSQUAD begleitet Hersteller und Softwareanbieter praxisnah auf dem Weg zur CRA-Konformität. Mit offensiver Security und Penetrationstests identifizieren wir ausnutzbare Schwachstellen in Ihren Produkten – ein zentraler Baustein für Security by Design und den Konformitätsnachweis. Über Systemhärtung reduzieren wir die Angriffsfläche und etablieren sichere Grundkonfigurationen. In der Beratung unterstützen wir beim Aufbau von Schwachstellenmanagement, Melde- und Reaktionsprozessen und verzahnen diese mit bestehenden ISMS-Anforderungen nach ISO 27001 und BSI IT-Grundschutz.

Als 2022 gegründeter Partner mit ISO-27001- und ISO-9001-Ausrichtung und Mitglied der Allianz für Cyber-Sicherheit unterstützen wir Sie dabei, den CRA nicht als Pflichtübung, sondern als messbaren Sicherheitsgewinn zu gestalten.

Weiterführend: NIS2 im Mittelstand · Penetrationstest · Systemhärtung nach CIS-Benchmark · Kompetenz & Services