Hersteller Sie tragen die Hauptverantwortung für die Einhaltung der CRA-Anforderungen – von der Konzeption bis zur Ausmusterung des Produkts.
Importeure Sie müssen sicherstellen, dass Produkte aus Drittländern den Anforderungen des CRA entsprechen.
Händler Auch sie müssen sicherstellen, dass sie keine Produkte verkaufen, die den Vorgaben widersprechen.
Betreiber kritischer Infrastrukturen Bei Nutzung sicherheitsrelevanter Produkte kann auch für sie eine Mitverantwortung entstehen.
Cyber Security by Design & by Default umsetzen Sicherheitsaspekte müssen schon in der Konzeptionsphase mitgedacht werden – und nicht erst als Add-on am Ende.
Risikoanalysen durchführen Noch vor der Markteinführung sind systematische Bedrohungs- und Schwachstellenanalysen Pflicht.
Schwachstellenmanagement etablieren Entdeckte Sicherheitslücken müssen nicht nur dokumentiert, sondern auch umgehend behoben werden. Dazu zählt auch ein klarer Patch-Management-Prozess.
Dokumentation & technische Nachweise liefern Alle Maßnahmen müssen sorgfältig dokumentiert werden – inklusive Konformitätserklärungen und leicht zugängliche Informationsbereitstellung für die Verbraucher. Bei bestimmten Produktkategorien braucht es sogar eine externe Evaluierung.
Sicherheitsupdates bereitstellen – über Jahre hinweg Unternehmen sind verpflichtet, Updates bereitzustellen und ihre Produkte über einen definierten Zeitraum hinweg abzusichern.
Meldepflicht bei Sicherheitsvorfällen einhalten Schwerwiegende Vorfälle müssen binnen 24 Stunden an die zuständige Behörde gemeldet werden – spätestens, sobald sie davon Kenntnis erlangen.
Hohe Geldbuße Hersteller riskieren Bußgelder von bis zu 15 Millionen Euro oder 2,5 % ihres weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für Importeure und Händler gelten Strafrahmen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Wer falsche, unvollständige oder irreführende Informationen bereitstellt, muss mit bis zu 5 Millionen Euro oder 1 % des Umsatzes rechnen.
Rufschädigung & Vertrauensverlust Ein gemeldeter Verstoß oder ein öffentlich bekannt gewordener Sicherheitsvorfall kann das Vertrauen in die Marke dauerhaft beschädigen.
Marktzugang wird verwehrt Produkte, die nicht den Anforderungen entsprechen, dürfen nicht in der EU vermarktet oder betrieben werden. Das kann gerade für global agierende Unternehmen massive wirtschaftliche Folgen haben.
Rückrufpflicht & Haftung Bei sicherheitsrelevanten Mängeln droht nicht nur der Rückruf von Produkten. Es können auch Haftungsansprüche geltend gemacht werden, insbesondere bei Folgeschäden.
01 Geltungsbeginn Der CRA gilt ab dem 11. Dezember 2027 verbindlich für alle betroffenen Produkte, die neu auf den EU-Markt gebracht werden.
02 Übergangszeit Unternehmen haben ab Inkrafttreten am 11. Dezember 2024 36 Monate Zeit, um ihre Produkte und Prozesse an die neuen Anforderungen anzupassen.
03 Frühere Pflichten Einzelne Berichtspflichten – wie die Meldung schwerwiegender Schwachstellen – greifen bereits ab September 2026.
04 Bestandsprodukte Für Produkte, die vor dem Stichtag bereits auf dem Markt sind, gilt keine unmittelbare Rückrufpflicht. Aber: Bei wesentlichen Updates oder Veränderungen kann eine Neubewertung erforderlich werden.
CRA-Readiness-Check durchführen Prüfen Sie, welche Ihrer Produkte unter den Anwendungsbereich des CRA fallen. Nutzen Sie eine systematische GAP-Analyse, um den Status quo zu erheben.
Verantwortlichkeiten klären & ein Team aufbauen Der CRA betrifft viele Abteilungen – IT, Produktentwicklung, Einkauf, Compliance. Setzen Sie ein interdisziplinäres Projektteam auf und definieren Sie klare Zuständigkeiten.
Cyber Security by Design etablieren Integrieren Sie Sicherheitsanforderungen frühzeitig in den Produktentwicklungsprozess. Dabei helfen gängige Standards wie ISO/IEC 27001 oder IEC 62443.
Dokumentation & Prozesse standardisieren Entwickeln Sie interne Prozesse für Risikobewertung, Schwachstellenmanagement, Konformitätsbewertung und Reporting. Sorgen Sie dafür, dass alles dokumentierbar und auditierbar ist.
Schulungen & Awareness-Programme starten Sensibilisieren Sie Ihre Mitarbeitenden – nicht nur im Development, sondern auch im Vertrieb und Service. Der CRA betrifft das ganze Unternehmen.
Externe Unterstützung einholen Nutzen Sie das Know-how von Cyber-Security-Expert:innen, um Lücken zu schließen und Ihre Strategie zu schärfen.
Mehr Vertrauen bei Kunden Produkte mit nachweislich hoher Cyber-Sicherheit stärken Ihre Marke – und machen den Unterschied im Verkaufsprozess. Gerade im B2B-Bereich wächst die Nachfrage nach zertifizierten, sicheren Lösungen. Um ihre Produkte mit digitalen Elementen vor Cyberangriffen zu schützen, sollten Nutzer die neuesten Sicherheitsupdates so schnell wie möglich installieren. Hersteller sollten ihre Produkte so gestalten, dass sie automatisch Sicherheitsbenachrichtigungen senden und Updates selbstständig herunterladen und installieren können, vor allem bei Verbraucherprodukten.
Vorsprung statt Nachbesserung Wer frühzeitig CRA-konforme Standards etabliert, ist dem Markt voraus – und kann bei öffentlichen Ausschreibungen oder internationalen Partnerschaften souverän punkten.
Effizientere Prozesse durch klare Anforderungen “Security by Design” wird zur Leitlinie – und sorgt für weniger Krisen, Rückrufe und Feuerlöscher-Mentalität im Produktmanagement. Produkte mit digitalen Elementen werden so konzipiert, entwickelt und hergestellt, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleisten.
Transparenz in der Lieferkette Der CRA bringt Klarheit – auch bei Drittanbietern. Wer in Ihrer Supply Chain mitspielen will, muss mitziehen. Sicherheit wird zur Eintrittskarte. Durch die neuen Anforderungen wird die Cybersicherheit bei Produkten mit digitalen Elementen in der gesamten Lieferkette verbessert. Besonders bei schutzbedürftigen Verbrauchern wie Kindern und im Gesundheitssystem sind strengere Kontrollen für Produkte wie smarte Türschlösser, Babyphone, vernetztes Spielzeug und Wearables vorgesehen, um Risiken für Gesundheit und Sicherheit zu minimieren.
Zukunftssicherheit Der CRA ist nicht das Ende, sondern der Anfang. Wer heute vorbereitet ist, bleibt morgen relevant – auch im globalen Wettbewerb. Die Cybersicherheit stellt eine der größten Herausforderungen für die Europäische Union dar. In den kommenden Jahren wird die Anzahl und Vielfalt der vernetzten Geräte exponentiell steigen. Cyberangriffe sind ein Thema von öffentlichem Interesse, da sie nicht nur die Wirtschaft der Union beeinträchtigen, sondern auch die Demokratie, die Sicherheit sowie die Gesundheit der Verbraucher ernsthaft gefährden können.