Ratgeber · Cyber Resilience Act · Stand: Juli 2026 · Lesezeit ~5 Min

CRA-Countdown: Was Hersteller jetzt nachweisen müssen

Der Cyber Resilience Act (EU 2024/2847) ist seit Dezember 2024 in Kraft. Die erste harte Frist steht unmittelbar bevor: Ab dem 11. September 2026 gelten die Meldepflichten. Ab dem 11. Dezember 2027 folgt der Rest. Wer Hardware oder Software mit Netzwerkverbindung verkauft, sollte jetzt planen, nicht 2027.

Betroffen: „Produkte mit digitalen Elementen"

Der CRA erfasst praktisch alles, was Code enthält und direkt oder indirekt mit einem Netzwerk verbunden werden kann: Maschinensteuerungen, IoT-Geräte, Smart-Home-Produkte, Apps, Standalone-Software, Firmware. Erfasst sind Hersteller, aber auch Importeure und Händler mit eigenen Prüfpflichten. Ausnahmen gelten u. a. für bereits sektoral regulierte Produkte (Medizinprodukte, Kfz, Luftfahrt) und reine SaaS-Dienste ohne Produktbezug.

Frist 1: Meldepflichten ab 11.09.2026

Frist 2: Hauptpflichten ab 11.12.2027

Die Checkliste für die nächsten 90 Tage

CRA-Betroffenheit unklar?

Der kostenlose Pre-flight-Check zeigt in 90 Sekunden, wo Sie stehen. Mit HELGA haben wir zudem ein eigenes CRA-Werkzeug im Einsatz.

Pre-flight-Check starten →

Hinweis: Dieser Beitrag ist eine praxisorientierte Einordnung und keine Rechtsberatung. Fristen und Pflichten können je nach Produktklasse abweichen.