Blackfort Technology

Cyber Resilience Act: Bin ich betroffen?

Blackfort Technology · Wissen zum Cyber Resilience Act

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist seit dem 10. Dezember 2024 in Kraft. Ab dem 11. September 2026 greifen die ersten harten Fristen — Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle. Ab dem 11. Dezember 2027 müssen alle Produktanforderungen vollständig erfüllt sein. Die entscheidende Frage für jedes Unternehmen lautet daher: Bin ich vom CRA überhaupt betroffen?

Die Antwort hängt von drei Faktoren ab: Ihrer Rolle in der Lieferkette, der Art Ihres Produkts und dem konkreten Markt, auf dem Sie tätig sind. Dieser Artikel führt Sie systematisch durch die Prüfschritte.

Schritt 1: Welche Rolle nehmen Sie in der Lieferkette ein?

Der CRA adressiert drei verschiedene Rollen. Ihre Pflichten unterscheiden sich erheblich — deshalb ist die Rollenklärung der erste und wichtigste Schritt.

Hersteller

Als Hersteller gilt typischerweise, wer ein Produkt mit digitalen Elementen entwickelt oder herstellen lässt und es unter dem eigenen Namen oder der eigenen Marke auf dem EU-Markt bereitstellt. Dabei spielt es keine Rolle, ob das Produkt kostenlos oder kostenpflichtig ist — auch frei verfügbare Software fällt in den Scope, sobald sie kommerziell vertrieben wird oder im Rahmen einer gewerblichen Tätigkeit bereitgestellt wird. Hersteller tragen die umfangreichsten Pflichten: Security-by-Design, Schwachstellen-Handling, SBOM, technische Dokumentation, CE-Kennzeichnung und Meldepflichten.

Importeur

Importeure bringen Produkte mit digitalen Elementen aus Drittländern in die EU. Sie müssen sicherstellen, dass der Hersteller seine CRA-Pflichten erfüllt hat, bevor das Produkt auf den Markt gebracht wird. Importeure können in die Haftung geraten, wenn sie ein nicht-konformes Produkt in Verkehr bringen.

Händler

Händler machen Produkte auf dem EU-Markt verfügbar, ohne wesentliche Änderungen vorzunehmen. Ihre Pflichten sind geringer als die von Herstellern und Importeuren — regelmäßig müssen sie jedoch überprüfen, ob das Produkt die CE-Kennzeichnung trägt und ob der Hersteller identifizierbar ist.

Wichtig: Wer ein Produkt unter eigenem Namen umbenennt oder wesentlich modifiziert, wird typischerweise rechtlich wie ein Hersteller behandelt — auch wenn die ursprüngliche Entwicklung woanders stattfand. Diese Situation ist in der Praxis bei White-Label-Produkten und OEM-Konstellationen häufig anzutreffen.

Schritt 2: Handelt es sich um ein "Produkt mit digitalen Elementen"?

Der CRA gilt für Produkte mit digitalen Elementen — das sind Hardware- und Softwareprodukte sowie zugehörige Fernverarbeitungslösungen, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk aufweisen.

Diese Definition ist bewusst weit gefasst. In der Praxis fallen darunter typischerweise:

  • Eigenentwickelte Softwareprodukte (Desktop, Mobile, Web-Applikationen), die als eigenständige Produkte vermarktet werden
  • Embedded-Software und Firmware in Hardwareprodukten
  • Netzwerkgeräte (Router, Switches, Firewalls)
  • IoT-Geräte mit Netzwerkverbindung
  • Industrielle Steuerungssysteme mit digitalen Schnittstellen
  • Sicherheitsprodukte (VPN-Clients, Antivirensoftware, Passwortmanager, PKI-Komponenten)
  • Cloud-Dienste, die unmittelbar mit einem physischen Produkt verknüpft sind (Fernverarbeitungslösungen)

Reine SaaS-Dienste ohne produktgebundene Komponente fallen nicht direkt in den CRA-Anwendungsbereich — allerdings können sie als Teil eines Gesamtprodukts (Fernverarbeitungslösung) miterfasst werden. Bei hybriden Angeboten empfiehlt sich eine sorgfältige Abgrenzung.

Schritt 3: Liegt eine Ausnahme vor?

Für bestimmte Produktkategorien gilt der CRA nicht, weil sie bereits durch gleichwertige sektorale Regelungen erfasst sind. Diese Ausnahmen sollten als Abgrenzung verstanden werden — sie betreffen spezifische, bereits regulierte Branchen:

  • Medizinprodukte nach MDR (Verordnung (EU) 2017/745) und IVDR (Verordnung (EU) 2017/746)
  • Kraftfahrzeuge, die der Kfz-Typgenehmigungsverordnung unterliegen
  • Luftfahrt-Produkte, die von der EASA-Verordnung (EU) 2018/1139 erfasst sind

Sofern Ihr Produkt in eine dieser Kategorien fällt, unterliegen die betreffenden Cybersicherheitsaspekte typischerweise dem jeweiligen sektoralen Recht, nicht dem CRA. Wenn Sie jedoch Softwareprodukte entwickeln, die zwar an regulierte Branchen verkauft werden, aber selbst nicht unter die Sektorregulierung fallen, bleibt der CRA in der Regel anwendbar.

Erleichterungen für Open-Source-Software

Open-Source-Stewards (Stiftungen und vergleichbare Organisationen, die Open-Source-Software bereitstellen, ohne sie kommerziell zu vermarkten) sind von den CRA-Bußgeldregeln ausgenommen. Unternehmen, die Open-Source-Komponenten kommerziell in eigene Produkte integrieren, sind hingegen regelmäßig als Hersteller in der Pflicht — insbesondere beim Schwachstellen-Handling für diese Komponenten.

Besonderheiten für Kleinst- und Kleinunternehmen

Der CRA kennt keine grundsätzliche Größenausnahme: KMU sind ebenso betroffen wie Großunternehmen. Kleinst- und Kleinunternehmen profitieren jedoch punktuell von erleichterten Regelungen, etwa bei bestimmten Aspekten der Meldepflichten und Sanktionen. Das entbindet sie nicht von den grundlegenden Produktanforderungen und der Meldepflicht ab September 2026. Mehr zu den konkreten Handlungsschritten für mittelständische Unternehmen finden Sie auf der CRA-Seite für KMU.

Schritt 4: Systematischer Prüfrahmen

Die folgenden vier Fragen bilden einen schnellen Orientierungsrahmen. Sie ersetzen keine rechtliche Einzelfallprüfung, geben aber eine belastbare erste Einschätzung.

  1. Rolle: Stellen Sie ein Produkt unter eigenem Namen auf dem EU-Markt bereit, bringen Sie ein Produkt aus einem Drittland in die EU ein, oder machen Sie ein Produkt verfügbar, ohne es wesentlich zu verändern?
  2. Produktart: Hat Ihr Produkt eine direkte oder indirekte Verbindung zu einem Netzwerk oder einem anderen Gerät?
  3. Ausnahme: Unterliegt Ihr Produkt bereits einer sektoralen EU-Regulierung mit gleichwertigen Cybersicherheitsanforderungen (MDR, IVDR, Kfz-Typgenehmigung, Luftfahrt)?
  4. Markt: Wird das Produkt auf dem EU-Markt bereitgestellt — unabhängig davon, wo Ihr Unternehmen seinen Sitz hat?

Wenn Sie die Fragen 1, 2 und 4 mit Ja und Frage 3 mit Nein beantworten, spricht vieles dafür, dass Ihr Produkt typischerweise in den Anwendungsbereich des CRA fällt. Für eine differenzierte Einschätzung Ihrer konkreten Situation können Sie unseren interaktiven Betroffenheits-Check starten.

Was folgt aus der Betroffenheit?

Sobald feststeht, dass der CRA auf Ihr Produkt anwendbar ist, hängen die konkreten Pflichten von der Produktklasse ab. Der CRA unterscheidet:

  • Standard-Produkte — Selbstbewertung durch den Hersteller möglich (Modul A)
  • Wichtige Produkte Klasse I (Anhang III) — Selbstbewertung nur unter bestimmten Bedingungen (Anwendung harmonisierter Normen oder EU-Zertifizierungsschemas), sonst Drittprüfung durch notifizierte Stelle
  • Wichtige Produkte Klasse II (Anhang III) — Beteiligung einer notifizierten Stelle immer verpflichtend
  • Kritische Produkte (Anhang IV) — Verpflichtendes EU-Zertifizierungsschema oder notifizierte Stelle

Eine ausführliche Erläuterung der Produktklassen und der zugehörigen Konformitätsbewertungsverfahren finden Sie im Artikel CRA-Produktklassen: Standard, Klasse I/II und kritisch.

Die erste harte Frist: September 2026

Unabhängig von der Produktklasse gilt für alle betroffenen Hersteller ab dem 11. September 2026 die Meldepflicht: Aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung, innerhalb von 72 Stunden als vollständige Meldung und — je nach Fall — innerhalb von 14 Tagen (Schwachstellen, nach Verfügbarkeit einer Korrekturmaßnahme) bzw. einem Monat (schwere Vorfälle) mit einem Abschlussbericht gemeldet werden. Meldeweg ist die CRA Single Reporting Platform (SRP), betrieben von der ENISA; die Meldung erfolgt an das zuständige CSIRT und wird der ENISA zur Verfügung gestellt.

Das bedeutet: Auch wenn die vollen Produktanforderungen erst Ende 2027 greifen, müssen Prozesse und interne Strukturen (PSIRT, Eskalationswege, Dokumentationspflichten) bereits vor September 2026 stehen. Alle Details zu Fristen und operativen Anforderungen lesen Sie im Artikel CRA-Meldepflicht ab 11. September 2026.

Betroffenheit festgestellt — was jetzt?

Der nächste Schritt nach der Betroffenheitsfeststellung ist eine strukturierte Gap-Analyse: Wo steht Ihr Produkt heute gegenüber den CRA-Anforderungen — bei Security-by-Design, Schwachstellen-Handling, SBOM und technischer Dokumentation? Besonders die SBOM-Pflicht wird in der Praxis häufig unterschätzt. Detaillierte Anforderungen und Formatvorgaben (CycloneDX, SPDX, TR-03183-2) erklärt der Artikel SBOM-Anforderungen im CRA.

Blackfort Technology begleitet Hersteller digitaler Produkte bei der strukturierten CRA-Vorbereitung — von der Betroffenheitsanalyse über die Gap-Bewertung bis zur Umsetzung von Meldeprozessen und SBOM-Infrastruktur. Christian Gebhardt, Geschäftsführer und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs sowie Mitglied der ACS-KI-Facharbeitsgruppe, bringt dabei praktische Umsetzungserfahrung aus PKI-, DORA-, NIS2- und ISMS-Mandaten mit.

Alle CRA-Pflichten im Überblick — oder direkt zum interaktiven Betroffenheits-Check.

Häufige Fragen

Gilt der Cyber Resilience Act auch für kostenlose Software?
Ja, sofern die Software im Rahmen einer gewerblichen Tätigkeit bereitgestellt wird. Rein nicht-kommerzielle Open-Source-Projekte sind ausgenommen; wird Open-Source-Software jedoch kommerziell in ein Produkt integriert, gilt der Hersteller regelmäßig als in der Pflicht.
Ich verkaufe nur in Deutschland — gilt der CRA trotzdem?
Ja. Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden — unabhängig davon, wo das Unternehmen seinen Sitz hat und ob der Verkauf nur in einem Mitgliedstaat erfolgt.
Wir stellen Medizinprodukte her — sind wir vom CRA ausgenommen?
Medizinprodukte, die unter die MDR oder IVDR fallen, sind vom CRA ausgenommen, da diese Verordnungen gleichwertige Cybersicherheitsanforderungen enthalten. Wenn Sie jedoch Softwareprodukte entwickeln, die an Gesundheitseinrichtungen verkauft werden, aber selbst nicht als Medizinprodukt klassifiziert sind, gilt der CRA typischerweise für diese Produkte.
Was ist ein 'Produkt mit digitalen Elementen' konkret?
Gemeint sind Hard- und Softwareprodukte sowie zugehörige Fernverarbeitungslösungen, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk aufweisen. Typische Beispiele: Router, IoT-Geräte, Sicherheitssoftware, industrielle Steuerungssysteme, aber auch mobile Apps und Desktop-Anwendungen, die vernetzt betrieben werden.
Gilt der CRA auch für Importeure, die Software-Lizenzen aus den USA verkaufen?
Ja, sofern die Software ein Produkt mit digitalen Elementen darstellt und der US-Hersteller keine eigene EU-Präsenz hat, die die CRA-Pflichten nachweislich erfüllt. In diesem Fall sollten Importeure die CRA-Konformität des Herstellers sorgfältig prüfen und dokumentieren, bevor sie das Produkt auf dem EU-Markt anbieten.
Wann beginnen die ersten CRA-Pflichten?
Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle gelten ab dem 11. September 2026. Die vollständigen Produktanforderungen (Security-by-Design, SBOM, CE-Kennzeichnung, technische Dokumentation) müssen ab dem 11. Dezember 2027 erfüllt sein.

Sprechen wir über Ihre CRA-Readiness

Betroffenheit jetzt systematisch klären — mit dem interaktiven Check oder im direkten Erstgespräch mit Blackfort Technology.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.