EU-Verordnung | Produktsicherheit

Cyber Resilience Act:
Pflichten für Hersteller
digitaler Produkte.

Der CRA (Verordnung (EU) 2024/2847) ist die erste verbindliche EU-Verordnung zur Cybersicherheit digitaler Produkte. Über 7.000 Hersteller müssen bis Dezember 2027 SBOM-Pflichten, Vulnerability Management und Sicherheitsupdates über 5 Jahre gewährleisten.

CRA Readiness Check vereinbaren SBOM & Supply Chain Security

Zuletzt aktualisiert: März 2026 · Von zertifizierten Experten geprüft

In Kraft seit

10.12.2024

Verordnung (EU) 2024/2847

Übergangsfrist

36 Monate

Vollständige Anwendung ab 11.12.2027

Bußgeld

bis 15 Mio. €

oder 2,5 % des weltweiten Umsatzes

Produktklassen

4 Stufen

Default, Klasse I, Klasse II, Kritisch

Betroffene Hersteller in DE
Vollständige Geltung: Dez. 2027
Maximales Bußgeld
Pflicht-Sicherheitsupdates

Grundlagen

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist die erste verbindliche EU-Verordnung, die Cybersicherheitsanforderungen direkt an Produkte mit digitalen Elementen knüpft. Sie wurde am 14. Dezember 2024 im Amtsblatt der EU veröffentlicht und trat am 12. Dezember 2024 in Kraft.

Der CRA schließt eine kritische Lücke: Während NIS-2 Betreiber von Diensten verpflichtet, regelt der CRA die Sicherheit der Produkte selbst - von der Entwicklung über die Markteinführung bis zum Ende des Lebenszyklus. Jedes vernetzt verkaufte Produkt muss künftig nachweislich sicher gebaut und dauerhaft gewartet werden.

Betroffen sind Hersteller, Importeure und Händler. Der wichtigste Paradigmenwechsel: Sicherheit wird zur rechtlichen Produkteigenschaft - nicht mehr zur optionalen Ergänzung. Produkte ohne Nachweise dürfen in der EU nicht mehr in Verkehr gebracht werden.

CRA auf einen Blick

EU-Verordnung: Verordnung (EU) 2024/2847
Veröffentlicht: 14. Dezember 2024 (Amtsblatt der EU)
In Kraft: 12. Dezember 2024
Volle Geltung: 12. Dezember 2027 (Meldepflichten ab Sept. 2026)
Zuständig (DE): Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bußgeld max.: 15 Mio. EUR / 2,5 % weltw. Umsatz

Meldepflichten ab September 2026

Die Meldepflicht für aktiv ausgenutzte Schwachstellen gilt bereits ab September 2026. Hersteller müssen bis dahin entsprechende Prozesse und BSI-Kontakte eingerichtet haben.

Anwendungsbereich

Welche Produkte sind vom CRA betroffen?

Der CRA unterscheidet drei Kritikalitätsklassen mit unterschiedlichen Konformitätsbewertungsanforderungen. Die Einstufung bestimmt, ob eine Selbstbewertung ausreicht oder eine unabhängige Prüfstelle einzuschalten ist.

Klasse I — Normal

Self-Assessment

Konformitätsbewertung durch den Hersteller selbst (EU-Konformitätserklärung)

Klasse II — Erhöht

Third-Party-Audit

Prüfung durch notifizierte Stelle (unabhängige akkreditierte Prüfeinrichtung) erforderlich

Kritisch — Anhang III

Strenge Anforderungen

Chipkarten, HSM, Root-CA-Produkte — strengste Konformitätspflichten und europäische Zertifizierungsschemata

Klasse I — Normale Kritikalität (Anhang I Teil I)

Self-Assessment möglich · Bußgeld bei Verstoß bis 10 Mio. EUR oder 2 % Umsatz

Consumer-Router und Switches Heimnetzwerk-Geräte mit Internetzugang
Smart-Home-Geräte Smarte Steckdosen, Kameras, Türschlösser
Wearables Smartwatches, Fitness-Tracker mit Netzanbindung
Consumer Electronics Smart-TVs, vernetzte Lautsprecher, Set-Top-Boxen
Industrielle Steuerungssysteme (Klasse I) Einfache SPS und Embedded-Komponenten
Allgemeine Software Browser, E-Mail-Clients, Office-Anwendungen
Mobile Endgeräte (nicht kritisch) Smartphones, Tablets ohne besondere Funktion
Spielzeug mit Netzfunktion Interaktives Spielzeug mit Konnektivität

Klasse II — Erhöhte Kritikalität (Anhang I Teil II)

Notifizierte Stelle erforderlich · Bußgeld bei Verstoß bis 15 Mio. EUR oder 2,5 % Umsatz

Firewalls und UTM-Systeme Netzwerkabsicherung und Paketfilterung
ICS/SCADA-Systeme Industrielle Kontrollsysteme, Betriebstechnik
VPN-Gateways Virtual Private Network Konzentratoren
Verschlüsselungs- und PKI-Produkte HSM, Zertifikatsmanagement, kryptografische Module
Betriebssysteme (allgemein) Desktop- und Server-OS mit Sicherheitsfunktionen
Microcontroller mit Sicherheitsfunktion Trusted Execution Environment, Secure Enclaves
Industrielle IoT-Gateways Kopplung von OT und IT-Netzen
Netzwerk-Monitoring-Tools IDS/IPS, SIEM-Sensoren

Importeure und Händler — mittelbare Pflichten

Importeure von Produkten mit Ursprung außerhalb der EU rücken in die Herstellerposition, wenn der Hersteller keine EU-Niederlassung hat. Händler sind verpflichtet, die CE-Kennzeichnung zu prüfen und CRA-konforme Produkte weiterzuverkaufen (Art. 19, 20 CRA).

Welche Klasse gilt für Ihr Produkt?

Die Klassifizierung entscheidet über Ihren Compliance-Aufwand und die Anforderungen an die Konformitätsbewertung. In einem kostenlosen Erstgespräch prüfen wir Ihre Produkte und geben eine verbindliche Einschätzung.

Produkt klassifizieren lassen

Anhang I CRA

Die 8 Kernpflichten des Cyber Resilience Act

Der CRA definiert in Anhang I verbindliche Sicherheitsanforderungen für alle Phasen des Produktlebenszyklus — von der Konzeption über die Entwicklung bis zum Ende des Supports. Die Anforderungen gelten für alle Hersteller, unabhängig von der Produktkategorie.

Secure by Design & Default

Produkte müssen von Grund auf mit Sicherheitszielen entworfen werden (Art. 13 Abs. 1 CRA). Default-Konfigurationen müssen sicher sein: keine voreingestellten Standardpasswörter, unnötige Dienste deaktiviert, minimale Angriffsfläche. Sicherheitsanforderungen müssen im gesamten Produktentwicklungsprozess berücksichtigt werden (Secure Development Life Cycle).

Produktsicherheit testen

Vulnerability Management & Disclosure

Hersteller müssen einen strukturierten Prozess zur Entgegennahme, Bewertung und Behebung von Schwachstellen einrichten (Anhang I Teil II CRA). Coordinated Vulnerability Disclosure (CVD) muss ermöglicht werden. Entdeckte Schwachstellen sind zeitnah zu beheben und zu dokumentieren. Kontaktkanal für Schwachstellenmeldungen muss öffentlich bekannt gemacht werden.

Vulnerability-Management-Beratung

SBOM - Software Bill of Materials

Hersteller müssen eine vollständige Liste aller Software-Komponenten (SBOM) erstellen und pflegen (Art. 13 Abs. 3 CRA). Die SBOM muss alle direkten und transitiven Abhängigkeiten erfassen, Versionsinformationen enthalten und aktuell gehalten werden. Bei Anforderung muss sie Marktüberwachungsbehörden zur Verfügung gestellt werden. Standardformate: SPDX (ISO 5962) oder CycloneDX.

SBOM & Supply Chain Security

Sicherheitsupdates (mindestens 5 Jahre)

Hersteller sind verpflichtet, Sicherheitsupdates für mindestens 5 Jahre oder die erwartete Nutzungsdauer des Produkts bereitzustellen (Art. 13 Abs. 8 CRA). Updates müssen kostenlos, zeitnah und ohne Verzögerung bereitgestellt werden. Nutzer müssen aktiv über verfügbare Updates informiert werden. Nach Ablauf des Supports muss eine transparente Kommunikation erfolgen.

CE-Kennzeichnung mit Cyber-Konformität

Produkte mit digitalen Elementen dürfen nach Inkrafttreten des CRA nur noch in Verkehr gebracht werden, wenn sie die CE-Kennzeichnung für Cybersicherheit tragen (Art. 28 CRA). Die Kennzeichnung belegt die Konformität mit den Anforderungen des CRA. Sie muss vor dem Inverkehrbringen durchgeführt werden und schließt eine Konformitätsbewertung ein.

Konformitätsbewertung (Self-Assessment / Third-Party)

Klasse-I-Produkte (normale Kritikalität) können per Selbstbewertung konform erklärt werden (Art. 32 CRA). Klasse-II-Produkte (erhöhte Kritikalität) erfordern eine unabhängige Prüfung durch eine akkreditierte Konformitätsbewertungsstelle (notifizierte Stelle). Kritische Produkte (Anhang III) unterliegen den strengsten Anforderungen. Die Bewertungsergebnisse müssen dokumentiert und aufbewahrt werden.

CRA-Assessment anfragen

Meldepflicht bei ausgenutzten Schwachstellen

Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA und die nationale Behörde (in DE: BSI) melden (Art. 14 CRA). Innerhalb von 72 Stunden folgt ein detaillierter Bericht. Diese Meldepflicht gilt unabhängig davon, ob der Hersteller die Schwachstelle selbst entdeckt oder von Dritten darauf hingewiesen wurde. Das BSI fungiert als nationale Koordinierungsstelle.

Technische Dokumentation

Hersteller müssen eine umfangreiche technische Dokumentation erstellen und 10 Jahre nach Inverkehrbringen aufbewahren (Art. 31 CRA). Diese umfasst: Produktbeschreibung, Sicherheitskonzept, Risikoanalyse, Design- und Fertigungsunterlagen, SBOM, Testergebnisse, EU-Konformitätserklärung. Die Dokumentation muss Marktüberwachungsbehörden auf Anfrage jederzeit vorgelegt werden können.

Hinweis: Die acht Anforderungen gelten für alle Hersteller. Für Klasse-II-Produkte kann die EU-Kommission delegierte Rechtsakte erlassen, die zusätzliche sektorspezifische Anforderungen definieren — vergleichbar mit den europäischen Cybersicherheitszertifizierungsschemata nach ENISA CSA (EU 2019/881).

Praxis

Warum der CRA notwendig ist: Reale Vorfälle

Die folgenden Vorfälle zeigen, welche Schäden unsichere Produkte mit digitalen Elementen verursachen können — und warum Regulierung auf Produktebene unvermeidlich war.

Mirai Botnet — Oktober 2016

600.000 IoT-Geräte mit Standard-Passwörtern kompromittiert

Das Mirai-Botnet infizierte über 600.000 Router, IP-Kameras und DVR-Rekorder, die mit voreingestellten Herstellerpasswörtern (admin/admin, root/1234) betrieben wurden. Der daraus resultierende DDoS-Angriff auf den DNS-Provider Dyn legte zeitweise Amazon, Twitter und Netflix lahm. Unter dem CRA wäre die Vermarktung von Geräten mit Standard-Passwörtern verboten — Secure by Default ist eine Kernpflicht.
Log4Shell — Dezember 2021

CVE-2021-44228: CVSS 10.0, fehlende SBOM-Transparenz

Die kritische Schwachstelle in der Java-Logging-Bibliothek Log4j (CVSS 10.0) betraf Millionen von Produkten und Diensten weltweit. Das zentrale Problem: Viele Hersteller wussten nicht einmal, dass sie Log4j in ihren Produkten verwendeten. Mit einer vollständigen SBOM hätten betroffene Komponenten innerhalb von Stunden identifiziert werden können. Die CRA-SBOM-Pflicht zielt direkt auf dieses Problem ab.
Kaseya VSA — Juli 2021

Supply-Chain-Ransomware: 1.500 MSPs, 50.000 Endkunden

Die REvil-Ransomware-Gruppe nutzte eine Zero-Day-Schwachstelle in der MSP-Management-Software Kaseya VSA, um über einen einzigen Angriffspunkt 1.500 Managed-Service-Provider und deren 50.000 Endkunden zu kompromittieren. Lösegeldforderung: 70 Millionen US-Dollar. Unter dem CRA wären Vulnerability-Disclosure-Prozesse und zeitnahe Patch-Veröffentlichung verpflichtend gewesen.
VPN-Appliance 0-Days — 2023/2024

Fortinet, Ivanti, Palo Alto: Kritische Schwachstellen in Perimeter-Geräten

Mehrere führende Hersteller von VPN-Appliances und Netzwerk-Security-Produkten (Fortinet FortiGate, Ivanti Connect Secure, Palo Alto GlobalProtect) wurden durch aktiv ausgenutzte Zero-Day-Schwachstellen kompromittiert. Staatliche Angreifer exploitierten diese Produkte als Einstiegspunkt in Behörden und kritische Infrastrukturen. CRA-Klasse-II-Produkte wie VPN-Gateways unterliegen künftig verpflichtenden Third-Party-Audits und 24h-Meldepflichten.

Beratungsleistungen

Wie AWARE7 bei der CRA-Compliance hilft

Wir begleiten Hersteller digitaler Produkte vom ersten Assessment bis zur CE-Kennzeichnung — mit technischer Expertise, Prozessberatung und Penetration Testing auf Produktebene.

Produkt-Penetrationstest

Technische Sicherheitsprüfung Ihrer Produkte gegen CRA Anhang I Anforderungen — IoT, Embedded, Software, Netzwerkkomponenten. Ergebnis: Prüfbericht für die technische Dokumentation.

Pentest anfragen

CRA Gap-Analyse & Readiness Assessment

Strukturierter Abgleich Ihrer Produkte und Prozesse gegen alle CRA-Anforderungen. Produktklassifizierung, Lückenanalyse, priorisierter Maßnahmenplan mit Festpreisangebot.

Gap-Analyse starten

SBOM-Einführung & Supply Chain Security

Aufbau einer CRA-konformen SBOM-Toolchain (SPDX/CycloneDX), Integration in CI/CD-Pipelines, CVE-Monitoring und Supplier-Risk-Assessment für Ihre Lieferkette.

SBOM-Beratung

Secure Development Life Cycle (SDLC)

Einführung und Optimierung sicherheitsorientierter Entwicklungsprozesse: Threat Modeling, Security Reviews, Secure Coding Guidelines — CRA Anhang I Grundlage.

SDLC-Beratung anfragen

Technische Dokumentation & EU-Konformitätserklärung

Erstellung und Prüfung der gesamten technischen Dokumentation nach Art. 31 CRA — Risikoanalyse, Testberichte, SBOM, EU DoC — bereit für Marktüberwachungsbehörden.

Dokumentation anfragen

NIS-2 & CRA — kombiniertes Compliance-Programm

Für Unternehmen, die gleichzeitig NIS-2 (als Betreiber) und CRA (als Hersteller) betreffen: kombiniertes Assessment, gemeinsame Maßnahmenumsetzung, maximale Synergien.

Kombiniertes Programm

„Der Cyber Resilience Act ist die wichtigste Produktsicherheitsregulierung seit der CE-Kennzeichnung. Hersteller, die jetzt handeln, bauen einen nachhaltigen Wettbewerbsvorteil auf — denn sichere Produkte werden zum Marktstandard. Wer wartet, riskiert Rückrufe und Bußgelder.“

Chris Wojzechowski

Prüfer mit §8a BSIG Prüfverfahrenskompetenz · AWARE7 GmbH

FAQ

Häufige Fragen zum Cyber Resilience Act

Die wichtigsten Fragen zum CRA — fachlich fundiert und praxisnah für Hersteller digitaler Produkte beantwortet.

Wer ist vom Cyber Resilience Act betroffen?

Der CRA betrifft alle Hersteller, Importeure und Händler, die Produkte mit digitalen Elementen in der EU in Verkehr bringen. Dazu zählen physische Produkte mit Software oder Firmware (IoT-Geräte, Industriesteuerungen, Netzwerkkomponenten) sowie reine Software-Produkte, die eigenständig auf dem Markt platziert werden. Open-Source-Software, die nicht kommerziell vertrieben wird, ist ausgenommen. Auch Importeure und Händler tragen Mitverantwortung: Wenn ein Hersteller außerhalb der EU sitzt, rückt der Importeur in die Herstellerposition.

Was ist der Unterschied zwischen Klasse I und Klasse II Produkten?

Klasse-I-Produkte (normale Kritikalität nach Anhang I Teil I CRA) umfassen Produkte mit begrenzten Sicherheitsrisiken wie Consumer-Router, Smart-Home-Geräte oder einfache Browser. Sie können per Selbstbewertung des Herstellers (EU-Konformitätserklärung) CE-gekennzeichnet werden. Klasse-II-Produkte (erhöhte Kritikalität, Anhang I Teil II) wie Firewalls, ICS/SCADA-Systeme, VPN-Gateways oder Betriebssysteme mit Sicherheitsfunktionen müssen durch eine unabhängige, notifizierte Stelle geprüft werden. Für kritische Produkte des Anhangs III (wie bestimmte Chipkarten oder Hardware-Sicherheitsmodule) gelten die strengsten Anforderungen.

Wann gilt der Cyber Resilience Act vollständig?

Der CRA (Verordnung (EU) 2024/2847) wurde am 14. Dezember 2024 veröffentlicht und trat am 12. Dezember 2024 offiziell in Kraft. Es gibt gestaffelte Umsetzungsfristen: Ab September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und die Pflicht zur Benennung einer zentralen Anlaufstelle. Ab Dezember 2027 müssen alle Konformitätsbewertungsanforderungen und CE-Kennzeichnungen erfüllt sein. Hersteller sollten also bereits jetzt mit der Umsetzung beginnen, da der Aufbau konformer Prozesse erhebliche Vorlaufzeit erfordert.

Welche Bußgelder drohen bei CRA-Verstößen?

Der CRA sieht dreistufige Sanktionen vor: Für die schwerwiegendsten Verstöße - Nichterfüllung der wesentlichen Cybersicherheitsanforderungen - drohen Bußgelder bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes (der höhere Betrag gilt). Für andere Verstöße wie Nichterfüllung der Konformitätsbewertungspflichten: bis 10 Mio. EUR oder 2 % Jahresumsatz. Für die Bereitstellung falscher oder unvollständiger Informationen für Behörden: bis 5 Mio. EUR oder 1 % Jahresumsatz. In Deutschland ist das BSI die zuständige Marktüberwachungsbehörde.

Wie hängen Cyber Resilience Act und NIS-2 zusammen?

CRA und NIS-2 ergänzen sich, richten sich aber an unterschiedliche Adressaten. NIS-2 verpflichtet Betreiber wichtiger Dienste und Einrichtungen zur Absicherung ihrer eigenen IT-Infrastruktur. Der CRA verpflichtet Hersteller von Produkten mit digitalen Elementen zur Produktsicherheit. In der Praxis bedeutet das: NIS-2-betroffene Unternehmen, die auch Software oder vernetzte Geräte herstellen, müssen beide Regelwerke einhalten. Gleichzeitig profitieren NIS-2-Betreiber vom CRA - sicherere Produkte am Markt reduzieren das Risiko für die gesamte Lieferkette. Das BSI koordiniert die Aufsicht über beide Regelwerke.

Was muss eine SBOM im Sinne des CRA enthalten?

Die Software Bill of Materials (SBOM) nach CRA Art. 13 muss alle Software-Komponenten des Produkts erfassen - direkte und transitive Abhängigkeiten, Versionsnummern, Lizenzen und ggf. bekannte Schwachstellen (CVE-Referenzen). Als anerkannte Formate gelten SPDX (ISO/IEC 5962) und CycloneDX. Die SBOM muss mit jeder neuen Produktversion aktualisiert werden. Sie muss nicht standardmäßig veröffentlicht werden, muss aber Marktüberwachungsbehörden auf Anfrage vorgelegt und bei Schwachstellenoffenbarung intern genutzt werden, um betroffene Komponenten schnell identifizieren zu können.

Was kostet die CRA-Compliance?

Der Aufwand für CRA-Compliance hängt stark vom Produkt und dem aktuellen Reifegrad ab. Für einfache Klasse-I-Produkte mit bestehenden Entwicklungsprozessen kann die Umsetzung mit 20.000 bis 80.000 EUR kalkuliert werden. Für Klasse-II-Produkte, die eine unabhängige Prüfung durch eine notifizierte Stelle erfordern, sind typischerweise 80.000 bis 250.000 EUR einzuplanen - je nach Produktkomplexität und Umfang der Dokumentation. Unternehmen, die bereits ISO 27001 oder IEC 62443 implementiert haben, können erhebliche Synergien nutzen und den Aufwand deutlich reduzieren.

Gilt der CRA auch für Open-Source-Software?

Der CRA nimmt Open-Source-Software, die nicht kommerziell vertrieben wird, explizit aus dem Anwendungsbereich aus (Erwägungsgrund 18 CRA). Das bedeutet: Reine Open-Source-Community-Projekte ohne kommerzielle Absicht sind nicht direkt betroffen. Sobald jedoch ein Unternehmen Open-Source-Komponenten in ein kommerziell vertriebenes Produkt integriert, fällt das Endprodukt unter den CRA. Der Hersteller muss dann die SBOM-Pflichten für alle enthaltenen Open-Source-Komponenten erfüllen. Für Open-Source-Stiftungen und -Organisationen, die Software kommerziell unterstützen, gelten spezifische Ausnahmeregelungen.

Welche Rolle spielt das BSI beim Cyber Resilience Act?

In Deutschland fungiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nationale Marktüberwachungsbehörde für den CRA. Das BSI kann Produkte auf dem Markt überprüfen, bei Nichtkonformität den Rückruf oder die Marktrücknahme anordnen, Bußgelder verhängen und als Meldestelle für aktiv ausgenutzte Schwachstellen (ab September 2026) fungieren. Das BSI hat außerdem die Möglichkeit, eigene technische Richtlinien (BSI TR) zu erlassen, die als konformitätsvermutende Standards anerkannt werden können. Bei schwerwiegenden Verstößen koordiniert das BSI mit der EU-Ebene (ENISA, anderen nationalen Behörden).

Wie bereitet AWARE7 Hersteller auf den CRA vor?

Unser CRA-Readiness-Programm folgt vier Phasen: (1) Betroffenheitsanalyse - Produktklassifizierung (Klasse I / II / Kritisch), Anwendungsbereichsprüfung und erste Gap-Analyse. (2) Prozessaufbau - Einführung eines Secure Development Life Cycle (SDLC), Vulnerability-Management-Prozesse, SBOM-Toolchain-Einführung. (3) Dokumentation - technische Dokumentation, Risikoanalyse, EU-Konformitätserklärung, interne Audits. (4) Zertifizierungsbegleitung - Vorbereitung auf die Prüfung durch notifizierte Stellen bei Klasse-II-Produkten, Koordination mit dem BSI. In der Regel ist eine vollständige CRA-Compliance in 6 bis 18 Monaten erreichbar.

Aus dem Blog

Alle Artikel

Offensive Security

CRA Readiness Check vereinbaren

In einem kostenlosen 30-minütigen Gespräch klassifizieren wir Ihre Produkte, bewerten Ihre CRA-Compliance-Lücke und skizzieren den realistischen Weg zur CE-Kennzeichnung — mit Zeitplan und Festpreisangebot.

Jetzt CRA Readiness Check buchen Mehr über SBOM & Supply Chain Security

Kostenlos · 30 Minuten · Unverbindlich