Cyber Resilience Act (CRA)

Wir begleiten Sie – verlässlich, strukturiert und mit klarer Roadmap.

Zur kostenfreien Erstberatung

Was ist der Cyber Resilience Act?

Der CRA (Cyber Resilience Act) ist eine EU-Verordnung, die am 10. Dezember 2024 in Kraft trat und ab dem 11. Dezember 2027 verbindlich gilt. Das Ziel des Cyber Resilience Acts ist es, die Cybersicherheit von Produkten mit digitalen Elementen zu stärken und einheitliche Sicherheitsstandards im gesamten EU-Binnenmarkt zu etablieren. Der EU Cyber Resilience Act legt erstmals verbindliche Cybersicherheitsanforderungen für Hard- und Softwareprodukte fest. Er verpflichtet Hersteller, Importeure und Händler, Sicherheitsrisiken über den gesamten Produktlebenszyklus hinweg zu minimieren.

Wesentliche Anforderungen des Cyber Resilience Act

  • Sicherheits-by-Design-Prinzipien
  • Regelmäßige Sicherheitsupdates
  • Verpflichtende Risikoanalysen
  • Verpflichtende Konformitätsbewertung
  • CE-Kennzeichnung als Nachweis der Konformität
  • Dokumentationspflichten für Kontaktstellen und für Verbraucher
  • Verpflichtung zur Meldung der Schwachstellen und Incidents an ENISA

Wer ist vom Cyber Resilience Act betroffen?

Der CRA betrifft alle Akteure entlang der Lieferkette von Produkten mit digitalen Elementen. Dabei ist es unabhängig, ob sie in der EU ansässig sind oder nicht. Entscheidend ist, ob das Produkt auf dem europäischen Markt angeboten wird.

 

Besonders relevant ist der CRA für Unternehmen, die vernetzte Geräte, Software oder eingebettete digitale Systeme vertreiben. Dazu zählen z. B. Hersteller von IoT-Geräten, industrieller Automatisierungstechnik oder medizinischer Software. Aber auch kleinere Softwareanbieter und Start-ups sind betroffen.

Betroffene Gruppen im Überblick:

Hersteller

Sie tragen die Hauptverantwortung für die Einhaltung der CRA-Anforderungen – von der Konzeption bis zur Ausmusterung des Produkts.

Importeure

Sie müssen sicherstellen, dass Produkte aus Drittländern den Anforderungen des CRA entsprechen.

Händler

Auch sie müssen sicherstellen, dass sie keine Produkte verkaufen, die den Vorgaben widersprechen.

Betreiber kritischer Infrastrukturen

Bei Nutzung sicherheitsrelevanter Produkte kann auch für sie eine Mitverantwortung entstehen.

Was fällt unter den Cyber Resilience Act?

Produkte und ihre Risikozuordnung

Die Regelung durch den Cyber Resilience Act betrifft einen Großteil aller digitalen Produkte auf dem EU-Markt. Ausgenommen sind nichtkommerzielle sowie Open-Source Projekte und Websites oder Cloud-Dienste, die nicht vom Hersteller des Produkts entwickelt wurden oder die Funktionalität des Produkts nicht unterstützen. Cloud-Funktionen von Herstellern, Smart-Home-Geräte, mit denen man das Gerät aus der Ferne steuern kann, fallen ebenfalls unter die Verordnung.

 

Wichtige Produkte mit digitalen Elementen in Klasse II können bei Sicherheitsvorfällen größere negative Folgen haben als Produkte in Klasse I, weil sie oft wichtige Cybersicherheitsfunktionen oder risikoreichere Funktionen erfüllen. Deshalb werden Produkte in Klasse II und kritische Produkte strenger geprüft, um die Sicherheit zu gewährleisten.

Produkte werden nach der EU-Verordnung 2024/2847 in unterschiedliche Risikokategorien eingeteilt:

  • Standardprodukte: Selbstbewertung durch den Hersteller mit grundlegenden Sicherheitsanforderungen
  • Wichtige Produkte Klasse I: Selbstbewertung oder* externe Prüfung und zusätzliche Sicherheitsanforderungen
  • Wichtige Produkte Klasse II: Externe Prüfung zwingend erforderlich oder Zertifizierung nach einem europäischen Zertifizierungsschema, vorausgesetzt alle Produktanforderungen sind erfasst.
  • Kritische Produkte: strengeres Konformitätsverfahren mit einer Zertifizierung nach einem europäischen Zertifizierungsschema zwingend vorgeschrieben.

*Produkte in Klasse I können vom Hersteller selbst anhand einer europäischen Norm bewertet werden. Falls keine Norm vorhanden ist, erfolgt die Bewertung durch eine notifizierte Stelle. Derzeit arbeiten die europäischen Standardisierungsgremien an der Entwicklung der erforderlichen Normen.

Je höher das Risiko, desto klarer muss Ihre Strategie sein.

Cyber Resilience Act vs. bestehende Cyber-Sicherheitsregulierungen

Wo liegt der Unterschied?

Der Cyber Resilience Act ist ein Bestandteil des EU Cyber Security Act, dessen Ziel ist die Stärkung der Cybersicherheit in der Europäischen Union. Zu den weiteren Säulen dieses Gesetzespaketes gehören die DORA (Digital Operational Resillience Act), CER (Critical Entities Resilience Derective) und die NIS2 Directive (Network and Information Security Directive).

Cyber Resilience Act Timeline

CRA und NIS2

Die NIS2-Richtlinie (Network and Information Security Directive) verpflichtet Unternehmen aus bestimmten Sektoren – wie Energie, Gesundheit oder Verkehr zur Absicherung ihrer IT-Systeme. Dabei soll ein hohes Cybersicherheitsniveau und die Resilienz der kritischen Infrastrukturen erreicht werden.

 

Der CRA hingegen greift viel früher an: Er adressiert die Sicherheit von Produkten selbst – unabhängig davon, in welcher Branche sie eingesetzt werden. Er ist produktbezogen, nicht sektorspezifisch.

CRA und DORA

Mit Hilfe der DORA (Digital Operational Resillience Act) soll die digitale Betriebsstabilität des Finanzsektors erreicht werden. Dabei wurden die Cybersicherheit und die Finanzstabilität verknüpft.

 

CRA und CER

Im Fokus des CER (Critical Entities Resilience Derective) steht die physische Resilienz der kritischen Infrastruktur. Das inkludiert den Schutz z.B. vor Naturkatastrophen, Sabotagen, terroristischen Anschlägen und hybriden Bedrohungen.

Welche Anforderungen stellt der CRA an Unternehmen?

Der Cyber Resilience Act bringt klare, rechtlich bindende Anforderungen mit sich. Und zwar für den gesamten Lebenszyklus eines Produkts mit digitalen Elementen.

Was bedeutet das konkret? Unternehmen müssen:

Cyber Security by Design & by Default umsetzen

Sicherheitsaspekte müssen schon in der Konzeptionsphase mitgedacht werden – und nicht erst als Add-on am Ende.

Schwachstellenmanagement etablieren

Entdeckte Sicherheitslücken müssen nicht nur dokumentiert, sondern auch umgehend behoben werden. Dazu zählt auch ein klarer Patch-Management-Prozess.

Dokumentation & technische Nachweise liefern

Alle Maßnahmen müssen sorgfältig dokumentiert werden – inklusive Konformitätserklärungen und leicht zugängliche Informationsbereitstellung für die Verbraucher. Bei bestimmten Produktkategorien braucht es sogar eine externe Evaluierung.

Sicherheitsupdates bereitstellen – über Jahre hinweg

Unternehmen sind verpflichtet, Updates bereitzustellen und ihre Produkte über einen definierten Zeitraum hinweg abzusichern.

Meldepflicht bei Sicherheitsvorfällen einhalten

Schwerwiegende Vorfälle müssen binnen 24 Stunden an die zuständige Behörde gemeldet werden – spätestens, sobald sie davon Kenntnis erlangen.

Komplex? Ja. Aber lösbar – mit einem klaren Fahrplan.

CRA entlang des Produktlebenszyklus

Ob IoT-Türklingel, industrielle Steuerungseinheit oder Software-as-a-Service – der Cyber Resilience Act macht klar: Wenn ein digitales Produkt auf den EU-Markt kommt, ist Cyber Security kein “Nice-to-have” mehr, sondern gesetzliche Pflicht. Die folgende Grafik zeigt auf einen Blick im Produktlebenszyklus, welche Sicherheitsmaßnahmen verpflichtend umgesetzt werden müssen – von der Entwicklung bis zur Marktüberwachung – und welche Übergangsfristen gelten. Klingt nach viel Aufwand? Ja. Aber auch nach klaren Spielregeln, die Orientierung geben, Vertrauen schaffen – und langfristig echte Wettbewerbsvorteile ermöglichen.

Risiken bei Nichteinhaltung – welche Konsequenzen drohen?

Die Umsetzung und Einhaltung des CRA wird von Marktüberwachungsbehörden in den EU-Mitgliedstaaten kontrolliert. Zusätzlich verpflichtet der CRA zur aktiven Zusammenarbeit mit diesen Behörden.

Welche Konsequenzen drohen bei Verstößen?

Hohe Geldbuße

Hersteller riskieren Bußgelder von bis zu 15 Millionen Euro oder 2,5 % ihres weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für Importeure und Händler gelten Strafrahmen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Wer falsche, unvollständige oder irreführende Informationen bereitstellt, muss mit bis zu 5 Millionen Euro oder 1 % des Umsatzes rechnen.

Rufschädigung & Vertrauensverlust

Ein gemeldeter Verstoß oder ein öffentlich bekannt gewordener Sicherheitsvorfall kann das Vertrauen in die Marke dauerhaft beschädigen.

Marktzugang wird verwehrt

Produkte, die nicht den Anforderungen entsprechen, dürfen nicht in der EU vermarktet oder betrieben werden. Das kann gerade für global agierende Unternehmen massive wirtschaftliche Folgen haben.

Rückrufpflicht & Haftung

Bei sicherheitsrelevanten Mängeln droht nicht nur der Rückruf von Produkten. Es können auch Haftungsansprüche geltend gemacht werden, insbesondere bei Folgeschäden.

Fristen und Übergangszeiten des Cyber Resilience Act

Cyber Resilience Act Timeline

 

Geltungsbeginn:

Der CRA gilt ab dem 11. Dezember 2027 verbindlich für alle betroffenen Produkte, die neu auf den EU-Markt gebracht werden.

 

Übergangszeit:

Unternehmen haben ab Inkrafttreten am 11. Dezember 2024 36 Monate Zeit, um ihre Produkte und Prozesse an die neuen Anforderungen anzupassen.

 

Frühere Pflichten:

Einzelne Berichtspflichten – wie die Meldung schwerwiegender Schwachstellen – greifen bereits ab September 2026.

 

Bestandsprodukte:

Für Produkte, die vor dem Stichtag bereits auf dem Markt sind, gilt keine unmittelbare Rückrufpflicht. Aber: Bei wesentlichen Updates oder Veränderungen kann eine Neubewertung erforderlich werden.

 

Wichtig:

Wer plant, neue Produkte in den nächsten Jahren auf den Markt zu bringen, sollte den CRA jetzt schon berücksichtigen. Denn spätestens ab 2027 ist die Einhaltung der CRA-Vorgaben eine zwingende Voraussetzung für die Marktzulassung.

Wie können Sie sich auf den CRA vorbereiten?

CRA-Readiness-Check durchführen

Prüfen Sie, welche Ihrer Produkte unter den Anwendungsbereich des CRA fallen. Nutzen Sie eine systematische GAP-Analyse, um den Status quo zu erheben.

Verantwortlichkeiten klären & ein Team aufbauen

Der CRA betrifft viele Abteilungen – IT, Produktentwicklung, Einkauf, Compliance. Setzen Sie ein interdisziplinäres Projektteam auf und definieren Sie klare Zuständigkeiten.

Cyber Security by Design etablieren

Integrieren Sie Sicherheitsanforderungen frühzeitig in den Produktentwicklungsprozess. Dabei helfen gängige Standards wie ISO/IEC 27001 oder IEC 62443.

Dokumentation & Prozesse standardisieren

Entwickeln Sie interne Prozesse für Risikobewertung, Schwachstellenmanagement, Konformitätsbewertung und Reporting. Sorgen Sie dafür, dass alles dokumentierbar und auditierbar ist.

Externe Unterstützung einholen

Nutzen Sie das Know-how von Cyber-Security-Expert:innen, um Lücken zu schließen und Ihre Strategie zu schärfen.

Der Cyber Resilience Act als Chance für die Zukunft

Warum sich der CRA für Ihr Unternehmen lohnt:

Mehr Vertrauen bei Kunden

Produkte mit nachweislich hoher Cyber-Sicherheit stärken Ihre Marke – und machen den Unterschied im Verkaufsprozess. Gerade im B2B-Bereich wächst die Nachfrage nach zertifizierten, sicheren Lösungen.

Um ihre Produkte mit digitalen Elementen vor Cyberangriffen zu schützen, sollten Nutzer die neuesten Sicherheitsupdates so schnell wie möglich installieren. Hersteller sollten ihre Produkte so gestalten, dass sie automatisch Sicherheitsbenachrichtigungen senden und Updates selbstständig herunterladen und installieren können, vor allem bei Verbraucherprodukten.

Vorsprung statt Nachbesser

Wer frühzeitig CRA-konforme Standards etabliert, ist dem Markt voraus – und kann bei öffentlichen Ausschreibungen oder internationalen Partnerschaften souverän punkten.

Effizientere Prozesse durch klare Anforderungen

“Security by Design” wird zur Leitlinie – und sorgt für weniger Krisen, Rückrufe und Feuerlöscher-Mentalität im Produktmanagement.

Produkte mit digitalen Elementen werden so konzipiert, entwickelt und hergestellt, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleisten.

Transparenz in der Lieferkette

Der CRA bringt Klarheit – auch bei Drittanbietern. Wer in Ihrer Supply Chain mitspielen will, muss mitziehen. Sicherheit wird zur Eintrittskarte.

Durch die neuen Anforderungen wird die Cybersicherheit bei Produkten mit digitalen Elementen in der gesamten Lieferkette verbessert. Besonders bei schutzbedürftigen Verbrauchern wie Kindern und im Gesundheitssystem sind strengere Kontrollen für Produkte wie smarte Türschlösser, Babyphone, vernetztes Spielzeug und Wearables vorgesehen, um Risiken für Gesundheit und Sicherheit zu minimieren.

Zukunftssicherheit

Der CRA ist nicht das Ende, sondern der Anfang. Wer heute vorbereitet ist, bleibt morgen relevant – auch im globalen Wettbewerb.

Die Cybersicherheit stellt eine der größten Herausforderungen für die Europäische Union dar. In den kommenden Jahren wird die Anzahl und Vielfalt der vernetzten Geräte exponentiell steigen. Cyberangriffe sind ein Thema von öffentlichem Interesse, da sie nicht nur die Wirtschaft der Union beeinträchtigen, sondern auch die Demokratie, die Sicherheit sowie die Gesundheit der Verbraucher ernsthaft gefährden können.

Sie haben die Wahl: Abwarten oder Handeln

Unsere Unterstützung für Produkt-Hersteller:

  • Erstellung von Risikobewertungen – individuell und normgerecht
  • GAP–Analyse zur Bestimmung der Ausgangssituation
  • Unterstützung bei der Implementierung von Produktentwicklungsprozessen
  • Durchführung von Sicherheitstests & Konformitätsbewertungen (für Standard- und Klasse-1-Produkte)
  • Erstellung der erforderlichen Dokumentation – von der Konformitätserklärung bis zur technischen Dokumentation und Informationsbereitstellung für die Verbraucher
  • Ansprechpartner rund um das Thema Cyber Resilience Act

 

Unsere Services für Marktaufsichtsbehörden:

  • Technische Prüfungen & Penetrationstests zur Überprüfung von Produkten
  • Erkennung & Meldung fehlender Dokumente – schnell und präzise

 

Lassen Sie uns gemeinsam starten – mit einem starken Partner in Deutschland an Ihrer Seite!

axians-secure.de | Compliance & Regulations | Cyber Resilience Act