CRA-Countdown: Was Hersteller jetzt nachweisen müssen
Der Cyber Resilience Act (EU 2024/2847) ist seit Dezember 2024 in Kraft. Die erste harte Frist steht unmittelbar bevor: Ab dem 11. September 2026 gelten die Meldepflichten. Ab dem 11. Dezember 2027 folgt der Rest. Wer Hardware oder Software mit Netzwerkverbindung verkauft, sollte jetzt planen, nicht 2027.
Betroffen: „Produkte mit digitalen Elementen"
Der CRA erfasst praktisch alles, was Code enthält und direkt oder indirekt mit einem Netzwerk verbunden werden kann: Maschinensteuerungen, IoT-Geräte, Smart-Home-Produkte, Apps, Standalone-Software, Firmware. Erfasst sind Hersteller, aber auch Importeure und Händler mit eigenen Prüfpflichten. Ausnahmen gelten u. a. für bereits sektoral regulierte Produkte (Medizinprodukte, Kfz, Luftfahrt) und reine SaaS-Dienste ohne Produktbezug.
Frist 1: Meldepflichten ab 11.09.2026
- Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen gemeldet werden: Frühwarnung binnen 24 Stunden, Detailmeldung binnen 72 Stunden, Abschlussbericht nach 14 Tagen bzw. einem Monat.
- Dafür braucht es intern: Schwachstellen-Monitoring, eine Meldekette mit Verantwortlichen und einen erreichbaren Ansprechpunkt. Ohne geübten Prozess ist eine 24-Stunden-Frist nicht haltbar.
Frist 2: Hauptpflichten ab 11.12.2027
- Security by Design: dokumentierte Risikobewertung über den gesamten Produktlebenszyklus, sichere Standardkonfiguration, keine bekannten ausnutzbaren Schwachstellen bei Auslieferung.
- SBOM (Software Bill of Materials): maschinenlesbare Stückliste aller Software-Komponenten.
- Update-Pflicht: Sicherheitsupdates über den Supportzeitraum, in der Regel mindestens 5 Jahre bzw. die erwartete Nutzungsdauer.
- Konformitätsbewertung + CE-Kennzeichnung: für die meisten Produkte per Selbstbewertung; „wichtige" und „kritische" Produktklassen brauchen strengere Verfahren.
- Technische Dokumentation und Informationspflichten gegenüber Nutzern.
- Sanktionen: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
Die Checkliste für die nächsten 90 Tage
- Produktportfolio inventarisieren: Was fällt unter den CRA, in welcher Klasse?
- Meldeprozess aufsetzen und einmal durchspielen (Tabletop-Übung vor dem 11.09.2026).
- SBOM-Fähigkeit im Build-Prozess herstellen (Tooling existiert, der Aufwand liegt im Prozess).
- Supportzeiträume und Update-Logistik pro Produkt festlegen.
- Lücken bewerten und priorisieren: erst Meldefähigkeit, dann Design-Nachweise.
CRA-Betroffenheit unklar?
Der kostenlose Pre-flight-Check zeigt in 90 Sekunden, wo Sie stehen. Mit HELGA haben wir zudem ein eigenes CRA-Werkzeug im Einsatz.
Pre-flight-Check starten →Hinweis: Dieser Beitrag ist eine praxisorientierte Einordnung und keine Rechtsberatung. Fristen und Pflichten können je nach Produktklasse abweichen.