Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/Cybersicherheit/CRA
🛡️Cybersicherheit & IT

Cyberresilienz-Verordnung (CRA) — Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Analyse vom 17. April 20263 QuellenKonsolidierte Fassung vom 20.11.2024EUR-Lex Original

Muss ich mein vernetztes Produkt vom EU-Markt nehmen, wenn ich bis Ende 2027 keine Software-Stückliste und keinen Schwachstellen-Prozess nachweisen kann?

Wer Produkte mit digitalen Elementen in der EU vertreibt, muss ab dem 11. Dezember 2027 die grundlegenden Cybersicherheitsanforderungen der Verordnung (EU) 2024/2847 erfüllen — bei Verstößen drohen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, und der Produktverantwortliche muss handeln.

Kurzantwort

Die Cyberresilienz-Verordnung verpflichtet Hersteller, Einführer und Händler, vernetzte Hardware- und Softwareprodukte nur dann auf dem EU-Markt bereitzustellen, wenn sie die grundlegenden Cybersicherheitsanforderungen aus Anhang I erfüllen [Art. 6]. Hersteller müssen eine Cybersicherheitsrisikobewertung durchführen [Art. 13 Abs. 2], eine Software-Stückliste (SBOM) erstellen [Anhang I Teil II Nr. 1] und einen Schwachstellen-Behandlungsprozess mit koordinierter Offenlegung betreiben [Art. 13 Abs. 8]. Aktiv ausgenutzte Schwachstellen sind innerhalb von 24 Stunden an das zuständige CSIRT und die ENISA zu melden [Art. 14 Abs. 2 lit. a].

Betroffen

Jeder Wirtschaftsakteur, der Produkte mit digitalen Elementen auf dem EU-Markt bereitstellt — also Hersteller, Einführer, Händler und Verwalter quelloffener Software [Art. 3 Nr. 12–14, Art. 24]. Ausgenommen sind Medizinprodukte (VO 2017/745, 2017/746), Kfz-Typgenehmigung (VO 2019/2144), Luftfahrt (VO 2018/1139) sowie Produkte für nationale Sicherheit und Verteidigung [Art. 2 Abs. 2–7]. Wichtige Produkte (Anhang III Klasse I und II, z. B. Firewalls, IDS, Betriebssysteme) unterliegen strengeren Konformitätsbewertungsverfahren [Art. 7, Art. 32 Abs. 2–3].

Frist

Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemäß Art. 14 gelten bereits ab dem 11. September 2026. Das Kapitel zur Notifizierung von Konformitätsbewertungsstellen (Art. 35–51) gilt ab dem 11. Juni 2026. Die vollständige Verordnung — einschließlich aller Produktanforderungen, CE-Kennzeichnung und Marktüberwachung — gilt ab dem 11. Dezember 2027 [Art. 71 Abs. 2].

Risiko

Stufe 1: Verstöße gegen die grundlegenden Cybersicherheitsanforderungen (Anhang I) oder die Hersteller-/Meldepflichten (Art. 13, 14) — bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes [Art. 64 Abs. 2]. Stufe 2: Verstöße gegen sonstige Pflichten (Einführer, Händler, Konformitätsbewertung, technische Dokumentation) — bis zu 10 Mio. EUR oder 2 % Umsatz [Art. 64 Abs. 3]. Stufe 3: Falsche oder irreführende Angaben gegenüber Behörden — bis zu 5 Mio. EUR oder 1 % Umsatz [Art. 64 Abs. 4]. Zusätzlich kann die Marktüberwachungsbehörde die Rücknahme oder den Rückruf des Produkts anordnen.

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-04-17
  • Konsolidierte Fassung vom 20.11.2024

Primärquellen

Was jetzt zu tun ist

Legal / DPO

  • Produktportfolio auf CRA-Anwendungsbereich prüfen: Für jedes vernetzte Produkt klären, ob eine Ausnahme greift (Medizinprodukte, Kfz, Luftfahrt, nationale Sicherheit) oder ob es als wichtiges/kritisches Produkt gemäß Anhang III/IV eingestuft wird [Art. 2, Art. 7, Art. 8].
  • Vertragliche Pflichtenkette entlang der Lieferkette absichern: Einführer- und Händlerverträge müssen die Konformitätsprüfpflichten nach Art. 19 und Art. 20 abbilden, einschließlich Rückruf-Kooperation und Schwachstellen-Informationspflicht.
  • EU-Konformitätserklärung und CE-Kennzeichnung vorbereiten: Die technische Dokumentation nach Anhang VII erstellen und das passende Konformitätsbewertungsverfahren (Modul A, B+C oder H) gemäß Art. 32 auswählen, für Klasse-II-Produkte zwingend mit Drittprüfung.

Compliance

  • Meldeprozess für aktiv ausgenutzte Schwachstellen einrichten: Ab 11. September 2026 müssen Frühwarnungen innerhalb von 24 Stunden und vollständige Meldungen innerhalb von 72 Stunden über die ENISA-Meldeplattform erfolgen [Art. 14 Abs. 2].
  • Unterstützungszeitraum für jedes Produkt festlegen und dokumentieren: Der Zeitraum muss mindestens fünf Jahre betragen und die voraussichtliche Nutzungsdauer widerspiegeln; das Enddatum ist auf dem Produkt oder der Verpackung anzugeben [Art. 13 Abs. 8, Abs. 19].
  • Software-Stückliste (SBOM) erstellen und pflegen: Für jedes Produkt ist eine formale Aufzeichnung der Softwarekomponenten und Lieferkettenbeziehungen zu führen und in die technische Dokumentation aufzunehmen [Anhang I Teil II Nr. 1, Art. 13 Abs. 24].

IT / Security

  • Cybersicherheitsrisikobewertung pro Produkt durchführen: Die Bewertung muss Betriebsumgebung, Zweckbestimmung und Nutzungsdauer umfassen und ist während des gesamten Unterstützungszeitraums aktuell zu halten [Art. 13 Abs. 2–3].
  • Schwachstellen-Behandlungsprozess mit koordinierter Offenlegung implementieren: Das umfasst interne und externe Meldewege, Patch-Management mit automatischen Sicherheitsaktualisierungen als Standardeinstellung und eine zentrale Anlaufstelle für Nutzer [Anhang I Teil II Nr. 5, Art. 13 Abs. 8, Abs. 17].
  • Secure-by-Default-Konfiguration sicherstellen: Produkte müssen ohne bekannte ausnutzbare Schwachstellen ausgeliefert werden, mit sicherer Standardkonfiguration, Zugriffsschutz und Verschlüsselung gespeicherter und übertragener Daten [Anhang I Teil I Nr. 2 lit. a–e].

Product / Engineering

  • Produktklassifizierung nach Anhang III und IV vornehmen: Klären, ob das Produkt als wichtiges Produkt der Klasse I (z. B. Passwort-Manager, Firewalls) oder Klasse II (z. B. Hypervisoren, Betriebssysteme, Industrieautomation) oder als kritisches Produkt gilt [Art. 7, Art. 8].
  • Sicherheitsaktualisierungen kostenlos und getrennt von Funktionsupdates bereitstellen: Nutzer müssen Sicherheitspatches unabhängig installieren können, und diese müssen mindestens zehn Jahre oder für den Unterstützungszeitraum verfügbar bleiben [Art. 13 Abs. 9, Anhang I Teil II Nr. 8].
  • Nutzerinformationen nach Anhang II bereitstellen: Dazu gehören Produktidentifikation, Kontaktdaten, Unterstützungszeitraum, Installationsanleitungen, SBOM-Zugang und Hinweise zur sicheren Inbetriebnahme — in einer für Nutzer und Marktüberwachungsbehörden verständlichen Sprache [Art. 13 Abs. 18, Anhang II].

Wichtige Begriffe

Produkt mit digitalen Elementen
Ein Software- oder Hardwareprodukt einschließlich seiner Datenfernverarbeitungslösungen, das eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netz einschließt [Art. 3 Nr. 1].
Software-Stückliste (SBOM)
Eine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen aller Softwarekomponenten eines Produkts mit digitalen Elementen — vergleichbar einer Zutatenliste für Software [Art. 3 Nr. 39].
Aktiv ausgenutzte Schwachstelle
Eine Schwachstelle, zu der verlässliche Nachweise vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat [Art. 3 Nr. 42].
Unterstützungszeitraum
Der Zeitraum, in dem der Hersteller sicherstellen muss, dass Schwachstellen seines Produkts wirksam und im Einklang mit Anhang I Teil II behandelt werden — mindestens fünf Jahre [Art. 3 Nr. 20, Art. 13 Abs. 8].
Wesentliche Änderung
Eine Änderung am Produkt nach dem Inverkehrbringen, die sich auf die Konformität mit den Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder den bestimmungsgemäßen Zweck ändert [Art. 3 Nr. 30].
Konformitätsbewertung
Das Verfahren zur Überprüfung, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden — je nach Produktkategorie als interne Kontrolle (Modul A) oder mit Drittprüfung (Modul B+C, Modul H) [Art. 3 Nr. 27, Art. 32].
Verwalter quelloffener Software
Eine juristische Person, die systematisch die Entwicklung kommerziell bestimmter Open-Source-Produkte mit digitalen Elementen unterstützt und deren Brauchbarkeit sicherstellt — ohne selbst Hersteller zu sein [Art. 3 Nr. 14].
?

Häufige Fragen

Gilt die CRA auch für reine Softwareprodukte ohne Hardware?
Ja. Die Verordnung definiert ein Produkt mit digitalen Elementen als Software- oder Hardwareprodukt einschließlich seiner Datenfernverarbeitungslösungen, das eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netz einschließt [Art. 2 Abs. 1, Art. 3 Nr. 1]. Reine SaaS-Dienste ohne lokale Softwarekomponente fallen jedoch nicht darunter.
Wie werden Open-Source-Projekte behandelt?
Freie und quelloffene Software, die nicht im Rahmen einer Geschäftstätigkeit auf dem Markt bereitgestellt wird, fällt nicht unter die Herstellerpflichten. Wird sie jedoch kommerziell vertrieben oder monetarisiert, gelten die vollen Pflichten. Zusätzlich führt die CRA die Rolle des Verwalters quelloffener Software ein, der eine Cybersicherheitsstrategie dokumentieren und bei Schwachstellenmeldungen mitwirken muss [Art. 24, Erwägungsgrund 18].
Welche Meldefristen gelten bei aktiv ausgenutzten Schwachstellen?
Frühwarnung innerhalb von 24 Stunden, vollständige Schwachstellenmeldung innerhalb von 72 Stunden und ein Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme — jeweils an das zuständige CSIRT und die ENISA über die einheitliche Meldeplattform [Art. 14 Abs. 2 lit. a–c].
Was ist der Unterschied zwischen wichtigen und kritischen Produkten?
Wichtige Produkte (Anhang III, Klasse I und II) müssen strengere Konformitätsbewertungsverfahren durchlaufen (Drittprüfung statt reiner interner Kontrolle) [Art. 7, Art. 32 Abs. 2–3]. Kritische Produkte (Anhang IV) können darüber hinaus ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe 'mittel' benötigen [Art. 8 Abs. 1].
Wie lang muss der Unterstützungszeitraum sein?
Mindestens fünf Jahre, es sei denn, die voraussichtliche Nutzungsdauer des Produkts ist kürzer — dann entspricht der Unterstützungszeitraum der Nutzungsdauer. Der Hersteller muss das Enddatum auf dem Produkt, der Verpackung oder digital angeben [Art. 13 Abs. 8, Abs. 19].
Können KMU von Erleichterungen profitieren?
Ja. Kleinstunternehmen und kleine Unternehmen können eine vereinfachte technische Dokumentation vorlegen [Art. 33 Abs. 5]. Die Mitgliedstaaten sollen Schulungen, Beratungskanäle und Reallabore für Cyberresilienz bereitstellen [Art. 33 Abs. 1–2]. Konformitätsbewertungsgebühren sind proportional zu senken [Art. 32 Abs. 6].
Wie verhält sich die CRA zum AI Act bei Hochrisiko-KI-Systemen?
Produkte, die sowohl unter die CRA als auch als Hochrisiko-KI-System unter den AI Act (VO 2024/1689) fallen, gelten als konform mit den Cybersicherheitsanforderungen des AI Act (Art. 15 VO 2024/1689), wenn sie die CRA-Anforderungen in Anhang I erfüllen [Art. 12 Abs. 1]. Das Konformitätsbewertungsverfahren richtet sich dann nach Art. 43 des AI Act [Art. 12 Abs. 2].
3

Prüfungsfaktoren & Checkliste

Premium
7 Tage kostenlos testen
4

Fragen für Ihren Anwalt

Premium
7 Tage kostenlos testen
5

Fazit & Zusammenfassung

Premium
7 Tage kostenlos testen

Detaillierte Analyse mit Quellenlinks.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

7 Tage kostenlos testen

Keine Kreditkarte heute. Kündigung jederzeit.