Blackfort Technology

Cyber Resilience Act für den Mittelstand: Was Hersteller jetzt konkret tun müssen

Blackfort Technology · Wissen zum Cyber Resilience Act

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) trifft mittelständische Hersteller digitaler Produkte härter als viele vermuten: Es gibt keine Größenausnahme. Wer ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt — ob Hardware mit Software-Komponente, Embedded-Gerät oder reine Software — unterliegt grundsätzlich denselben Anforderungen wie ein Großkonzern. Der Unterschied liegt im Zeitplan, in der Prioritätensetzung und im verfügbaren Budget. Dieser Artikel liefert einen priorisierten Fahrplan, der genau dort ansetzt.

Gilt der CRA überhaupt für mein Unternehmen?

Die entscheidende Frage ist nicht die Unternehmensgröße, sondern die Produktkategorie. Betroffen sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk aufweisen — und die auf dem EU-Markt bereitgestellt werden. Das gilt auch für kostenlose Software und für Produkte, die unter eigenem Namen vermarktet werden, aber von Dritten entwickelt wurden.

Ausnahmen gelten für Produkte, die bereits durch sektorspezifische EU-Rechtsakte gleichwertig geregelt sind, etwa Medizinprodukte (MDR/IVDR), Kraftfahrzeuge (Kfz-Typgenehmigung) oder Luftfahrtprodukte. Für die überwiegende Mehrheit der mittelständischen Software- und Hardware-Hersteller greifen diese Ausnahmen nicht. Den systematischen Selbstcheck bietet unser interaktiver Betroffenheits-Check; eine ausführliche Erklärung der Rollen und Abgrenzungen findet sich im Artikel Cyber Resilience Act — bin ich betroffen?

Die zwei harten Fristen — und warum die erste drängt

Für den Mittelstand gibt es zwei Daten, die den gesamten Umsetzungsplan strukturieren:

  • 11. September 2026: Die Melde- und Berichtspflichten des CRA (Art. 14) werden anwendbar. Ab diesem Tag müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als vollständige Meldung anzeigen. Ein Abschlussbericht folgt bei Schwachstellen innerhalb von 14 Tagen nach Verfügbarkeit einer Korrektur- oder Abhilfemaßnahme, bei schweren Vorfällen innerhalb eines Monats nach der 72-Stunden-Meldung. Die Anzeige erfolgt über die Single Reporting Platform (SRP) der ENISA an das zuständige CSIRT.
  • 11. Dezember 2027: Alle übrigen Produktanforderungen werden vollständig anwendbar: Security-by-Design, Schwachstellen-Handling über den gesamten Supportzeitraum, SBOM, technische Dokumentation, CE-Kennzeichnung und EU-Konformitätserklärung.

Die erste Frist ist die kritischere für operative Entscheidungen: Sie ist in wenigen Monaten erreicht und erfordert funktionierende Prozesse — keine abgeschlossene Produktzertifizierung, aber eine einsatzbereite Melde-Infrastruktur. Mehr dazu im Artikel CRA Meldepflicht ab 11. September 2026: 24h/72h/14-Tage erklärt.

Minimum Viable CRA Compliance: Prioritäten für knappes Budget

Wenn Ressourcen begrenzt sind, ist die Reihenfolge entscheidend. Nicht alle CRA-Pflichten werden gleichzeitig wirksam, und nicht alle haben dasselbe Bußgeldrisiko. Der folgende Fahrplan orientiert sich an Fristdringlichkeit und Implementierungsaufwand.

Phase 1 (jetzt bis September 2026): Meldeprozesse aufbauen

Dies ist die dringlichste Maßnahme. Ein Product Security Incident Response Team (PSIRT) muss nicht zwingend eine eigene Abteilung sein — aber es braucht eine benannte verantwortliche Person, einen dokumentierten Eskalationspfad und die technische Fähigkeit, innerhalb von 24 Stunden eine qualifizierte Frühwarnung abzusetzen. Konkret bedeutet das:

  • Interne Meldekette definieren: Wer entscheidet, ob ein Vorfall „aktiv ausgenutzt" oder „schwer" ist?
  • Kontakt zur ENISA Single Reporting Platform (SRP) vorbereiten — Registrierung und Meldeformat prüfen
  • Vorlage für 24h-Frühwarnung, 72h-Meldung und Abschlussbericht erstellen
  • Monitoring-Grundlage sichern: Gibt es eine Vulnerability-Datenbank-Anbindung (NVD, OSV), um ausgenutzte Schwachstellen in eigenen Produktkomponenten zu erkennen?

Hinweis: Die ENISA Single Reporting Platform befand sich zum Zeitpunkt der Erstellung dieses Artikels (Juli 2026) noch im Aufbau. Hersteller sollten die ENISA-Website auf den Starttermin und das genaue Meldeformat beobachten. Detailinfos zur Meldepflicht.

Phase 2 (parallel, bis Dezember 2027): SBOM aufbauen

Eine Software Bill of Materials (SBOM) ist die unverzichtbare Grundlage für alle weiteren CRA-Pflichten: Ohne zu wissen, welche Drittkomponenten in einem Produkt stecken, ist weder schnelles Schwachstellen-Reporting noch koordiniertes Vulnerability Handling möglich. Gleichzeitig ist die SBOM die zeitaufwändigste Maßnahme im gesamten CRA-Fahrplan.

Für KMU empfiehlt sich ein gestuftes Vorgehen:

  • Sofortmaßnahme: SBOM für das umsatzstärkste oder risikoreichste Produkt erstellen — im Format CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1 (BSI-Standard TR-03183-2)
  • Tooling: Open-Source-Tools wie Dependency-Track ermöglichen automatisierte SBOM-Generierung und kontinuierliches Schwachstellen-Monitoring
  • Aufbewahrungspflicht beachten: Die technische Dokumentation einschließlich der SBOM ist mindestens 10 Jahre nach dem Inverkehrbringen oder für den Supportzeitraum des Produkts vorzuhalten — je nachdem, welcher Zeitraum länger ist

Einen detaillierten technischen Überblick zu Formaten, Werkzeugen und der Aufbewahrungspflicht bietet der Artikel SBOM-Anforderungen im CRA. Alternativ können Sie mit unserem SBOM Gap-Report den aktuellen Stand Ihrer Software-Stückliste auf CRA-Tauglichkeit prüfen lassen.

Phase 3 (bis Dezember 2027): Produktklasse bestimmen und Konformitätsbewertung planen

Der CRA unterscheidet drei Produktkategorien mit unterschiedlichen Anforderungen an die Konformitätsbewertung:

Produktkategorie Konformitätsbewertung Typische Beispiele
Standard Selbstbewertung (Modul A) Mobile Apps, Smart Speaker, Computerspiele
Wichtig, Klasse I (Anhang III) Selbstbewertung bei harmonisierten Normen; sonst notifizierte Stelle Passwortmanager, VPN, Browser, PKI-Software, SIEM
Wichtig, Klasse II (Anhang III) Notifizierte Stelle verpflichtend (Modul B/C oder H) Hardware-Firewalls, Hypervisoren, industrielle Steuerungen
Kritisch (Anhang IV) Notifizierte Stelle oder EU-Zertifizierungsschema Smartcards, Secure Elements, Smart-Meter-Gateways

Für Produkte der Klasse I besteht eine wichtige Entlastungsmöglichkeit: Wenn harmonisierte Normen oder gemeinsame Spezifikationen angewandt werden, genügt die Selbstbewertung — ohne externe Prüfstelle. Diese Normen (unter Mandat M/608 von ETSI und CEN/CENELEC erarbeitet) werden voraussichtlich bis Ende 2026 verfügbar sein. KMU mit Produkten in Klasse I sollten diesen Zeitplan verfolgen, da er den Aufwand für die Konformitätsbewertung erheblich beeinflussen kann.

Die genaue Einordnung konkreter Produkte ist teils auslegungsbedürftig und hängt von der Durchführungsverordnung (EU) 2025/2392 ab. Für den Content gilt: Angaben zur Klasse sind schematisch zu verstehen — die Einstufung des eigenen Produkts sollte fachlich begleitet werden. Mehr dazu im Artikel CRA-Produktklassen: Standard, Klasse I/II und kritisch.

Was der CRA den Mittelstand typischerweise kostet

Marktschätzungen nennen für die erstmalige CRA-Umsetzung Aufwände zwischen 50.000 und 200.000 Euro — stark abhängig von Produktkomplexität, Ausgangszustand der Security-Prozesse und Produktklasse. Für KMU mit einem einzelnen Standard-Produkt und bereits vorhandener Basis-Sicherheitsdokumentation ist der untere Bereich realistisch. Unternehmen mit mehreren Produkten in Klasse I/II oder ohne bestehende Schwachstellen-Management-Prozesse müssen mit dem oberen Bereich rechnen.

Entscheidend für die Kostensteuerung ist die Reihenfolge: Wer zuerst SBOM-Tooling einführt, spart erheblichen Aufwand bei der technischen Dokumentation und beschleunigt gleichzeitig die Meldeprozesse. Wer die Produktklasse früh klärt, vermeidet teure Nacharbeiten, wenn sich herausstellt, dass eine externe Prüfstelle notwendig ist.

Erleichterungen für Kleinstunternehmen — und was sie nicht abdecken

Der CRA sieht für Kleinstunternehmen (unter 10 Mitarbeitende, Jahresumsatz oder Jahresbilanzsumme unter 2 Millionen Euro) punktuelle Erleichterungen vor, etwa bei bestimmten Sanktionsaspekten und administrativen Anforderungen. Diese Erleichterungen bedeuten jedoch nicht, dass Kleinstunternehmen vom CRA ausgenommen wären — die technischen Produktanforderungen und die Meldepflichten gelten auch für sie. Für Hersteller in dieser Größenklasse ist der pragmatische Ansatz besonders wichtig: Priorität auf Meldeprozesse und SBOM, Selbstbewertung wo immer zulässig, harmonisierte Normen sobald verfügbar.

Der realistische Zeitplan auf einen Blick

  • Sofort (Q3 2026): Betroffenheit prüfen, Produktklasse vorab einschätzen, PSIRT-Verantwortung benennen, Meldekette dokumentieren, SRP-Registrierung vorbereiten
  • Q4 2026 – Q2 2027: SBOM für Kernprodukte aufbauen, Dependency-Track oder vergleichbares Tooling einführen, technische Dokumentation beginnen
  • Q3 – Q4 2027: Konformitätsbewertung abschließen (Selbstbewertung oder notifizierte Stelle), CE-Kennzeichnung anbringen, EU-Konformitätserklärung ausstellen

Einen vollständigen Überblick über alle CRA-Pflichten bietet die CRA-Pillar-Seite. Wenn Sie unsicher sind, ob und wie Ihr Produkt betroffen ist, starten Sie mit dem Betroffenheits-Check oder vereinbaren Sie direkt ein unverbindliches Erstgespräch.

Häufige Fragen

Gilt der Cyber Resilience Act auch für kleine Unternehmen?
Ja. Der CRA kennt keine allgemeine Größenausnahme. Hersteller, Importeure und Händler von Produkten mit digitalen Elementen unterliegen grundsätzlich denselben Pflichten — unabhängig davon, ob sie 5 oder 5.000 Mitarbeitende haben. Für Kleinstunternehmen (unter 10 MA, Umsatz/Bilanzsumme unter 2 Mio. €) sieht die Verordnung punktuelle Erleichterungen vor, etwa bei bestimmten Sanktionsaspekten. Die technischen Produktanforderungen und die Meldepflichten gelten aber auch für sie.
Was ist die wichtigste CRA-Pflicht, die KMU zuerst umsetzen sollten?
Die dringlichste Maßnahme sind die Meldeprozesse für Schwachstellen und Sicherheitsvorfälle — denn diese Pflicht wird bereits am 11. September 2026 wirksam, mehr als ein Jahr vor den übrigen Produktanforderungen. Hersteller brauchen bis dahin eine benannte Verantwortliche oder einen Verantwortlichen, eine dokumentierte Meldekette und die Fähigkeit, innerhalb von 24 Stunden eine qualifizierte Frühwarnung über die ENISA Single Reporting Platform abzusetzen.
Muss ich für mein Produkt eine notifizierte Stelle einschalten?
Das hängt von der Produktklasse ab. Für Standard-Produkte genügt die Selbstbewertung. Für wichtige Produkte der Klasse I (Anhang III CRA) ist die Selbstbewertung zulässig, sofern harmonisierte Normen oder gemeinsame Spezifikationen angewendet werden — andernfalls ist eine notifizierte Stelle erforderlich. Für Klasse II und kritische Produkte ist die Einschaltung einer notifizierten Stelle in jedem Fall verpflichtend. Die Einordnung eines konkreten Produkts ist teils auslegungsbedürftig und sollte fachlich begleitet werden.
Was ist eine SBOM und warum ist sie für den CRA so wichtig?
Eine SBOM (Software Bill of Materials) ist eine strukturierte Inventarliste aller Software-Komponenten eines Produkts — vergleichbar einer Zutatenliste. Der CRA schreibt sie als Teil der technischen Dokumentation vor. Praktisch noch wichtiger: Ohne SBOM lässt sich bei einer bekannt gewordenen Schwachstelle in einer Drittkomponente nicht schnell genug feststellen, welche eigenen Produkte betroffen sind — was wiederum die Einhaltung der 24h/72h-Meldefristen gefährdet.
Was kostet die CRA-Umsetzung für ein mittelständisches Unternehmen?
Marktschätzungen nennen 50.000 bis 200.000 Euro für die erstmalige Umsetzung — je nach Produktkomplexität, bestehendem Sicherheits-Reifegrad und Produktklasse. Für ein einzelnes Standard-Produkt mit bereits vorhandener Sicherheitsdokumentation ist der untere Bereich realistisch. Entscheidend für die Kostenkontrolle ist die Reihenfolge: Wer SBOM-Tooling und Meldeprozesse zuerst einführt, spart erheblichen Aufwand bei der späteren Konformitätsbewertung.

Sprechen wir über Ihre CRA-Readiness

Sie möchten wissen, wo Ihr Unternehmen beim CRA steht und was als nächstes zu tun ist? Christian Gebhardt, Geschäftsführer von Blackfort Technology und Mitautor des ACS/BSI-Leitfadens zum Pentesting von LLMs, begleitet mittelständische Hersteller von der Betroffenheitsanalyse bis zur abgeschlossenen Konformitätsbewertung. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.