Cyber Resilience Act verstehen & umsetzen: Was Hersteller jetzt tun müssen

Was der Cyber Resilience Act von Herstellern fordert, wen er betrifft und warum Unternehmen, die jetzt handeln, bei Marktzugang, Haftung und Lieferkette klar im Vorteil sind. Mit konkreten Umsetzungsschritten, FAQ und Zeitplan.

  • ca. 8 Minuten
  • Illustration eines Wookiee-Maskottchens auf einem goldenen SchutzschildRedaktion carmasec
  • 08. Juli 2025

Der CRA verändert die Anforderungen an digitale Produkte tiefgreifend. Welche Pflichten auf Hersteller zukommen, erfährst du hier kompakt zusammengefasst.

Digitale Illustration eines Roboterarms, der das CE-Kennzeichen auf einen Mikrochip graviert, in Orange und Blau

Was ist der Cyber Resilience Act?

Der EU Cyber Resilience Act (EU CRA) ist eine rechtsverbindliche EU-Verordnung. Er legt ein Mindestmaß an Cybersicherheit für Produkte mit digitalen Elementen fest und verfolgt das Ziel eines einheitlichen Sicherheitsstandards innerhalb des europäischen Binnenmarktes. Durch Minimierung von Sicherheitslücken und Verringerung der Angriffsflächen sollen die Produkte und deren Nutzer besser vor Cyberangriffen und deren Auswirkungen geschützt werden.

Der CRA ist eine ergänzende Regulierung zu bereits bestehenden Anforderungen wie der NIS2-Richtlinie oder der RED-Directive und verknüpft sie miteinander. Zudem ist der EU CRA mit der CE-Kennzeichnung verbunden: Bei fehlender Compliance kann diese aberkannt oder von vornherein nicht erteilt werden.

 

Definition: Produkte mit digitalen Elementen

Gemeint sind Hardware- und Softwareprodukte, die eine direkte oder indirekte, logische oder physische Datenverbindung mit einem Gerät oder Netzwerk eingehen. Dazu zählen IoT-Geräte, industrielle Steuerungen, Betriebssysteme, Apps, Router, Wearables und Unternehmenssoftware mit Netzwerkanbindung.

Ohne belegbare CRA-Konformität entfällt die CE-Kennzeichnung. Ohne CE-Kennzeichnung kein Marktzugang in der EU.

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

  • Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
  • Medizinische Geräte
  • Produkte für die nationale Sicherheit / Militär
  • Produkte für die Verarbeitung von Verschlusssachen
Zeitstrahl mit den wichtigsten Meilensteinen des Cyber Resilience Act (CRA) von Oktober 2024 bis Dezember 2027

Inkrafttreten und Übergangsfristen

Der Cyber Resilience Act tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Für Unternehmen beginnt damit eine gestaffelte Umsetzungsphase. Die Übergangszeit sollte gezielt genutzt werden, um Sicherheitsarchitektur, Produktprozesse und Nachweisführung konform aufzustellen.

Fakten auf einen Blick

  • Verabschiedung: 13. März 2024 durch das Europäische Parlament
  • Inkrafttreten: 10. Dezember 2024 (anschließend 36 Monate Übergangsfrist)
  • Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle
  • Ab 11. Dezember 2027: Alle CRA-Anforderungen für neu in Verkehr gebrachte Produkte verpflichtend
  • Rechtsform: EU-Verordnung (direkt verbindlich, ohne nationale Umsetzung)
  • Zielsetzung: Einheitliches Mindestniveau an Cybersicherheit für digitale Produkte

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

  • Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
  • Medizinische Geräte
  • Produkte für die nationale Sicherheit / Militär
  • Produkte für die Verarbeitung von Verschlusssachen

Diese Anforderungen müssen erfüllt sein

Technische und organisatorische Sicherheitsanforderungen an Produkte:

  • Security by Default: Das Produkt muss in einer sicheren Standardkonfiguration auf den Markt gebracht werden.
  • Security by Design: Das Produkt wird unter Beachtung der Cybersicherheit konzipiert.
  • Vulnerability Management: Schwachstellen müssen in einem Regelprozess behandelt werden. Nur unter bestimmten Voraussetzungen dürfen bekannte Schwachstellen im Produkt enthalten sein.
  • Risk Management: Risiken durch Schwachstellen werden analysiert, bewertet und getrackt. Jede Entscheidung über den Umgang mit diesen Risiken ist dokumentationspflichtig.
  • Secure Software Development Lifecycle: Das Produkt muss für die gesamte Lebensdauer sicher sein. Das schließt lange Update-Unterstützung, Schutz vor bekannten Schwachstellen aus externen Quellen und automatische oder einfach installierbare Sicherheitsaktualisierungen ein.

Diese Infrastrukturen brauchst du

Der CRA verlangt Sicherheit entlang des gesamten Produktlebenszyklus. Das gelingt nur, wenn Unternehmen passende Infrastrukturen aufbauen. Sie sichern die Umsetzung technischer und organisatorischer Anforderungen und schaffen die Grundlage für dauerhafte Compliance.

Infrastruktur für Dokumentation und Transparenz

  • Erstellung und Pflege einer SBOM (Software Bill of Materials / Software-Stückliste)
  • Technische Dokumentation
  • Risikoanalysen und Risikomanagement
  • Kundeninformationen und Anwendungshinweise
  • Meldeprozesse gegenüber Behörden wie der ENISA

Infrastruktur für Schwachstellenmanagement

  • Schwachstellen müssen ohne Zeitverzug identifiziert, priorisiert und behoben werden.
  • Sicherheitslücken, die von außen gemeldet werden, erfordern eine strukturierte und dokumentierte Reaktion (Incident Response).
  • Informationen über behobene Schwachstellen müssen öffentlich nachvollziehbar gemacht werden (Incident Disclosure).
  • Sicherheitsupdates müssen sicher, kostenfrei und sofort nach Bereitstellung verfügbar gemacht werden.

Infrastruktur für Sicherheitsprüfungen

  • Statische Codeanalyse (SAST)
  • Dynamische Tests (DAST)
  • Penetrationstests

Infrastruktur für Transparenz und Meldungen

  • Bereitstellung klarer Sicherheitsinformationen und Handlungsempfehlungen für Kunden
  • Fristgerechte und strukturierte Meldungen an Behörden wie ENISA oder nationale Marktüberwachungsstellen
  • Nachvollziehbare und dokumentierte Kommunikationsprozesse für Audit und Nachweisführung

Infrastruktur für Konformitätsbewertung

  • Bewertung je nach Risikoklasse
  • Selbstbewertung oder externe Prüfung durch notifizierte Stelle
  • Nachweis der Konformität und CE-Kennzeichnung

Cyber Resilience Act umsetzen: Diese Schritte sind jetzt wichtig

Die Anforderungen des Cyber Resilience Act sind umfangreich. Mit einem strukturierten Vorgehen lassen sie sich klar priorisieren und umsetzen. Wichtig ist, früh zu klären, welche Produkte betroffen sind, welche Lücken bestehen und welche Maßnahmen notwendig sind. carmasec begleitet Unternehmen entlang des gesamten Prozesses von der Analyse bis zur Umsetzung sicherheitsrelevanter Maßnahmen.

Häkchen-Icon

Betroffenheit analysieren

Allgemeine Betroffenheitsanalyse auf Organisationsebene. Produktspezifische Bewertung inklusive Risikoklassifizierung.

 

Häkchen-Icon

Lücken identifizieren

Durchführung einer Gap-Analyse und eines EU CRA Impact Assessments.

Häkchen-Icon

Maßnahmen planen

Abgleich mit den Fristen des CRA. Priorisierung nach Kritikalität und verfügbaren Ressourcen.

Unendlichkeitszeichen-Icon

Umsetzung vorbereiten

Die wichtigsten Maßnahmen für CRA-Compliance:

  • Schulungen für relevante Rollen und Fachbereiche
  • Aufbau der vollständigen Sicherheitsdokumentation
  • Erstellung einer SBOM (Software Bill of Materials)
  • Einführung und Verbesserung von Schwachstellenmanagementprozessen
  • Integration von Security by Design und Default in Entwicklungsprozesse
  • Implementierung automatisierter Sicherheitsprüfungen in CI/CD-Pipelines
  • Aufbau von Strukturen für Security Monitoring und Incident Response
  • Sicherstellung regelmäßiger, sicherer und kostenloser Sicherheitsupdates
  • Durchführung von Security Tests (SAST, DAST, Penetrationstests) nach Bedarf, ergänzt durch Threat-Informed Defense zur Überprüfung der Wirksamkeit gegenüber realen Angriffsmethoden

Nur wer vorbereitet ist bleibt am Markt. Das droht bei Nichteinhaltung des CRA

Der Cyber Resilience Act ist kein Papiertiger. Wer ihn ignoriert oder nur oberflächlich umsetzt, bringt sein Geschäftsmodell in Gefahr. Produkte ohne CRA-Konformität erhalten keine CE-Kennzeichnung und dürfen nicht auf den europäischen Markt. Unternehmen verlieren den Zugang zu Kunden und Umsätzen. Rückrufe und Vertriebsstopps verursachen hohe Kosten und reißen Lücken in Lieferketten und Roadmaps.

Verstöße gegen die Anforderungen führen zu empfindlichen Geldbußen. Die Strafen reichen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Händler und Importeure zahlen bis zu 10 Millionen Euro oder 2 Prozent.

Hinzu kommt der Vertrauensverlust. Kunden stellen Fragen. Partner springen ab. Behörden schauen genauer hin. Aus einem Compliance-Fehler wird schnell ein Reputationsproblem.

Wer trägt die Verantwortung?

  • CISOs: volle Verantwortung für technische Nachweise und ein funktionierendes Schwachstellenmanagement
  • CEOs: wirtschaftliche Haftung, strategische Vorsorge
  • IT-Leiter:innen: belastbare Prozesse, die das Produkt absichern

 

Ohne Vorbereitung wird der CRA zum Geschäftsrisiko.

FAQ zum Cyber Resilience Act

Wann tritt der CRA in Kraft?

Der CRA trat am 10. Dezember 2024 in Kraft. Es gibt gestufte Übergangsfristen: Ab 11. September 2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen. Ab 11. Dezember 2027 müssen alle neuen Produkte vollständig konform sein.

Gilt der CRA auch für mein Produkt?

Ja, wenn Dein Produkt eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netzwerk eingeht und nach Dezember 2024 neu in Verkehr gebracht wird. Ausnahmen: Kraftfahrzeuge, Medizinprodukte, Militär. Im Zweifel gilt: Wenn es vernetzt ist, ist es betroffen.

Wie funktioniert die Konformitätsbewertung?

Die meisten Produkte (Standardkategorie) können sich per Selbstbewertung zertifizieren. Produkte der Klasse I und II erfordern eine externe Prüfung durch eine notifizierte Stelle. Die Einstufung hängt vom Risikopotenzial des Produkts ab.

Was ändert sich beim CE-Kennzeichen?

Die CRA-Konformität ist ab Dezember 2027 Voraussetzung für die CE-Kennzeichnung bei Produkten mit digitalen Elementen. Ohne nachweisbare Compliance kein CE-Zeichen und kein Marktzugang in der EU.

Was ist eine SBOM?

Eine Software Bill of Materials ist die vollständige Auflistung aller Software-Komponenten eines Produkts. Sie ist Pflichtbestandteil der technischen Dokumentation nach CRA, muss maschinenlesbar vorliegen, aber nicht veröffentlicht werden. Sie dient als Frühwarnsystem für Schwachstellen in der Lieferkette.

Wie schnell müssen Vorfälle gemeldet werden?

Bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen: initiale Meldung an ENISA innerhalb von 24 Stunden. Vollständige Meldung mit Details zu Ursache, Auswirkungen und Gegenmaßnahmen innerhalb von 72 Stunden.

Gilt der CRA auch für Hersteller außerhalb der EU?

Ja. Wer Produkte mit digitalen Elementen auf dem EU-Markt vertreiben will, muss den CRA erfüllen, unabhängig vom Unternehmenssitz. Ohne EU-Niederlassung ist die Benennung eines bevollmächtigten EU-Vertreters verpflichtend.

Reicht eine ISO 27001-Zertifizierung als CRA-Nachweis?

Nein. ISO 27001 adressiert das Informationssicherheitsmanagementsystem einer Organisation, nicht die produktspezifischen Anforderungen des CRA. Beide Frameworks ergänzen sich, ersetzen sich aber nicht gegenseitig.

Was ist TID und wie ergänzt es den CRA?

Threat-Informed Defense (TID) ist ein Ansatz, der Security-Maßnahmen an realen Angriffsmethoden ausrichtet. Im CRA-Kontext hilft TID dabei, die Wirksamkeit technischer Maßnahmen wie Penetrationstests und Schwachstellenmanagement gegenüber tatsächlichen Bedrohungsszenarien zu überprüfen.

Wie hilft carmasec bei der Umsetzung?

carmasec begleitet Unternehmen von der Betroffenheitsanalyse über die Gap-Analyse bis zur vollständigen Umsetzung aller CRA-Anforderungen. Das umfasst Risikoklassifizierung, SBOM-Aufbau, Schwachstellenmanagementprozesse, technische Sicherheitsmaßnahmen und Vorbereitung auf die Konformitätsbewertung.

Fazit

Der Cyber Resilience Act ist kein regulatorisches Randthema. Er verändert, wie digitale Produkte entwickelt, dokumentiert und auf den Markt gebracht werden. Wer bis Dezember 2027 nicht vorbereitet ist, verliert den Zugang zum EU-Markt. Das ist keine Drohkulisse, das ist Verordnungstext.

Die gute Nachricht: Die Anforderungen sind planbar. Betroffenheit analysieren, Lücken schließen, Prozesse aufbauen. Wer früh beginnt, vermeidet Zeitdruck, reduziert Haftungsrisiken und schafft Strukturen, die länger halten als eine Übergangsfrist.

Drei Dinge, die du aus diesem Artikel mitnimmst: Der CRA gilt für fast jedes vernetzte Produkt. Die ersten Pflichten greifen bereits ab September 2026. Und Unternehmen, die Schwachstellenmanagement, SBOM und Security by Design jetzt aufbauen, sind compliant und wettbewerbsfähig.

 

Quellen: EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024, BSI TR-03183 Technische Richtlinie Cyber Resilience Requirements, Bundesamt fur Sicherheit in der Informationstechnik, BSI: Cyber Resilience Act, bsi.bund.de/CRA, Europäische Kommission: Cyber Resilience Act, digital-strategy.ec.europa.eu

Wo steht euer Unternehmen?

Wir analysieren eure Ausgangslage, identifizieren Lücken und zeigen euch den effizientesten Weg zu nachweisbarer IT-Sicherheit. Unverbindlich, konkret und auf den Punkt.

Jetzt Erstgespräch vereinbaren Zum carmasec Kontakt

Autoren

Porträtfoto von Holger Kühlwetter, Senior Security Consultant bei der carmasecSchwarzweißes Porträtfoto von Holger Kühlwetter, Senior Security Consultant bei der carmasec

Holger Kühlwetter

Senior Security Consultant

Illustration eines Wookiee-Maskottchens auf einem goldenen SchutzschildIllustration mit dem Spruch „May the Patch be with you

Noch Fragen?

carmasec Content & Marketing

Wir schreiben über Sicherheitsthemen, die bewegen, und lassen dabei kein Detail aus. Unsere Inhalte entstehen im Zusammenspiel aus Fachexpertise und redaktioneller Sorgfalt. Das Ergebnis: Wissen, das hält, was es verspricht.

Du hast Fragen oder wertvollen Input? Schreib uns.

Das könnte dich auch interessieren:

Hände tippen auf einer Laptop-Tastatur mit eingeblendeten Login‑Symbolen und Sicherheitsschloss, passend für Themen wie IT‑Sicherheit, Datenschutz und sicheres Login.

Defensive Security|16.04.2025

Passwörter war gestern. Sind Passkeys wirklich sicherer?

Was hinter dem neuen Anmeldestandard steckt, warum Tech-Giganten schon umgestiegen sind und ob Passkeys halten, was sie versprechen.

Mehr Informationen
Illustration eines Schutzschilds mit zentralem Schloss, um digitale Sicherheit darzustellen

Governance, Audit & Management|13.03.2024

BSI IT-Grundschutz: Das solide Fundament der IT-Sicherheit in Deutschland

Wann der IT-Grundschutz verbindlich ist, wann er sich freiwillig rechnet und warum Unternehmen, die ihn kennen, bei NIS-2 und DORA die Nase vorn haben.

Mehr Informationen

carmasec culture & company|16.09.2024

Impressionen von der carmasec Week 2024

Working abroad in Sainte-Cécile Bilderstory von unserem jährliches Team-Event in Belgien

Mehr Informationen
Blaues Muster mit leuchtenden Punkten und einem klaren weißen Quadrat. Text: Working at carmasec.

carmasec culture & company|16.04.2024

Vom Labor in die Beratung: Wie Wissenschaft auf Cybersecurity trifft

Vom Forschungslabor in die Sicherheitsberatung. Was Stefanie mitgenommen hat, was sie überrascht hat und was das über carmasec sagt.

Mehr Informationen