Blackfort Technology
⏱ CRA-Fristen: Meldepflicht 11.09.2026 · volle Anforderungen 11.12.2027

CRA Readiness: Sind Sie bereit für den Cyber Resilience Act?

Hersteller digitaler Produkte: Jetzt prüfen, ob Sie ab 11. September 2026 meldepflichtig sind. Interaktiver Betroffenheits-Check + Erstgespräch mit Blackfort Technology.

Betroffenheits-Check startenCRA-Überblick

11. September 2026: Die erste harte Frist des Cyber Resilience Act

Ab dem 11. September 2026 gelten für Hersteller von Produkten mit digitalen Elementen verbindliche Melde- und Berichtspflichten nach der Verordnung (EU) 2024/2847 – dem Cyber Resilience Act (CRA). Aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) an das zuständige CSIRT und an ENISA gemeldet werden.

Bis zur vollen Anwendbarkeit aller Produktanforderungen – 11. Dezember 2027 – bleiben weniger als 18 Monate. Unternehmen, die heute mit dem Aufbau ihrer Prozesse beginnen, sind deutlich besser positioniert als jene, die auf harmonisierte Normen warten.

Bin ich überhaupt betroffen? Jetzt prüfen.

Der CRA betrifft Hersteller, Importeure und Händler von Hardware- und Softwareprodukten mit Netzwerk- oder Gerätekonnektivität – unabhängig davon, ob das Produkt kostenlos oder kommerziell vertrieben wird. Viele Unternehmen unterschätzen den eigenen Scope.

Mit dem interaktiven Betroffenheits-Check erhalten Sie in wenigen Minuten eine erste Einschätzung: Welche Rolle nehmen Sie ein (Hersteller, Importeur, Händler)? Fällt Ihr Produkt unter den CRA? Und wenn ja: In welche Produktklasse fällt es typischerweise?

Betroffenheits-Check starten →

Was Blackfort Technology für Sie leistet

Blackfort Technology unterstützt Hersteller digitaler Produkte bei der strukturierten Vorbereitung auf den Cyber Resilience Act – von der initialen Betroffenheitsanalyse bis zum Aufbau operativer Prozesse.

  • CRA-Betroffenheits- und Scope-Analyse: Klärung von Rolle, Produktklasse und Konformitätspfad auf Basis der Verordnung und der Durchführungsverordnung (EU) 2025/2392.
  • Meldeprozesse & PSIRT-Aufbau: Operativer Aufbau oder Überprüfung Ihrer Vulnerability-Handling- und Incident-Meldeprozesse für die Frist September 2026.
  • SBOM-Gap-Report: Prüfung Ihrer Software-Stückliste auf CRA-Konformität – Formate (CycloneDX ≥ 1.6 / SPDX ≥ 3.0.1), Vollständigkeit, 10-Jahres-Archivierungspflicht. Gap-Report anfragen →
  • Security-by-Design & ISMS-Integration: Einbettung der CRA-Anforderungen in bestehende Entwicklungs- und Sicherheitsprozesse, Unterstützung bei technischer Dokumentation und CE-Konformitätserklärung.
  • DORA & NIS2 Querbeziehungen: Koordinierte Betrachtung regulatorischer Überschneidungen für Unternehmen mit mehrfacher Regulierungsexposition.

Alle CRA-Anforderungen im Überblick →

Mittelstand: Keine Größenausnahme, aber klare Prioritäten

Der Cyber Resilience Act kennt keine grundsätzliche Ausnahme für KMU. Auch kleinere Hersteller von Produkten mit digitalen Elementen sind in Scope. Allerdings gibt es punktuelle Erleichterungen – etwa bei bestimmten Melde- und Sanktionsaspekten für Kleinstunternehmen.

Entscheidend für den Mittelstand: Was zuerst? Meldeprozesse (Frist: September 2026) haben Vorrang vor SBOM-Vollständigkeit und CE-Kennzeichnung (Frist: Dezember 2027). Wer die Prioritäten kennt, vermeidet unnötigen Aufwand.

CRA-Fahrplan für KMU ansehen →

Fachliche Grundlage

Blackfort Technology wird von Christian Gebhardt geführt, der als Mitglied der ACS-KI-Facharbeitsgruppe und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs aktiv an der Weiterentwicklung praxisorientierter Sicherheitsstandards mitwirkt. Umsetzungserfahrung besteht in den Bereichen PKI, DORA, NIS2, ISMS sowie SBOM- und Schwachstellenmanagement.

Die Beratungsleistungen von Blackfort Technology sind auf technische Umsetzbarkeit ausgerichtet – keine abstrakte Compliance-Theorie, sondern strukturierte Prozesse, die in Ihrem Unternehmen operativ funktionieren.

Wissen: Hintergründe und technische Details

Häufige Fragen

Ab wann gilt der Cyber Resilience Act?
Der CRA ist seit dem 10. Dezember 2024 in Kraft. Die ersten verbindlichen Pflichten – Melde- und Berichtspflichten für Schwachstellen und Sicherheitsvorfälle – gelten ab dem 11. September 2026. Die vollständige Anwendbarkeit aller Produktanforderungen beginnt am 11. Dezember 2027.
Bin ich als Softwarehersteller vom CRA betroffen?
Produkte dieser Art unterliegen typischerweise dem CRA, sofern sie eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk haben – unabhängig davon, ob sie kostenlos oder kommerziell vertrieben werden. Ob und in welche Produktklasse Ihr konkretes Produkt fällt, hängt von den technischen Eigenschaften und der Funktion ab. Der interaktive Betroffenheits-Check gibt eine erste Orientierung.
Was muss ich als Hersteller bis September 2026 konkret vorbereiten?
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) über die CRA Single Reporting Platform melden. Das erfordert operative Meldeprozesse, klare interne Zuständigkeiten und idealerweise ein funktionierendes PSIRT oder eine vergleichbare Struktur.
Gilt der CRA auch für KMU und kleine Softwareunternehmen?
Ja. Der Cyber Resilience Act kennt keine grundsätzliche Ausnahme für KMU oder kleine Unternehmen. Es gibt punktuelle Erleichterungen für Kleinstunternehmen bei bestimmten Melde- und Sanktionsaspekten, jedoch keine vollständige Ausnahme vom Geltungsbereich. Hersteller jeder Größe, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen, sind grundsätzlich betroffen.
Was ist eine SBOM und warum ist sie für den CRA relevant?
Eine SBOM (Software Bill of Materials, Software-Stückliste) ist ein maschinenlesbares Verzeichnis aller Komponenten eines Softwareprodukts. Der CRA verpflichtet Hersteller, eine SBOM als Teil der technischen Dokumentation vorzuhalten und beim Schwachstellen-Handling nachweislich zu nutzen. Gängige Formate sind CycloneDX (ab Version 1.6) und SPDX (ab Version 3.0.1). Hinzu kommt eine Archivierungspflicht von typischerweise 10 Jahren.
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.