Erfüllen Sie die grundlegenden Anforderungen aus Anhang I, klassifizieren Sie Ihre Produkte, führen Sie die Konformitätsbewertung für die CE-Kennzeichnung durch und melden Sie Schwachstellen und schwerwiegende Vorfälle nach Artikel 14 — in einem einzigen Arbeitsbereich.
Wichtige Termine
Meldung ab 11. Sep. 2026; Hauptpflichten ab 11. Dez. 2027
Wer muss handeln
Hersteller (sowie Einführer und Händler) von Produkten mit digitalen Elementen auf dem EU-Markt
Höchststrafen
Bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes (Art. 64)
Der CRA betrifft Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Produkte, die bereits sektoralem Recht unterliegen — Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt — sind ausgenommen, und Verwalter quelloffener Software unterliegen einem leichteren Regime. Dies ist eine Orientierungshilfe, keine Rechtsberatung.
Der CRA legt horizontale Cybersicherheitsregeln für Produkte mit digitalen Elementen über ihren gesamten Lebenszyklus fest:
Produkte standardmäßig sicher gestalten und herstellen, ohne bekannte ausnutzbare Schwachstellen bei der Veröffentlichung, und Schwachstellen über den gesamten Unterstützungszeitraum behandeln (Anhang I, Teile I und II).
Eine Cybersicherheits-Risikobewertung durchführen, einen Unterstützungszeitraum von mindestens fünf Jahren festlegen, Sicherheitsupdates bereitstellen, eine Software-Stückliste (SBOM) bereitstellen und eine Richtlinie zur koordinierten Offenlegung von Schwachstellen betreiben.
Das Produkt klassifizieren (Standard, wichtig der Klasse I oder II oder kritisch), das entsprechende Konformitätsbewertungsverfahren durchführen, die EU-Konformitätserklärung ausstellen und die CE-Kennzeichnung anbringen.
Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle dem koordinierenden CSIRT und der ENISA melden — eine Frühwarnung innerhalb von 24 Stunden und eine ausführlichere Meldung innerhalb von 72 Stunden.
Verwandeln Sie die Verordnung in ein nachverfolgtes Konformitätsprogramm — von den Anhang-I-Anforderungen bis zur CE-Kennzeichnungsakte.
Verfolgen Sie jede grundlegende Anforderung aus Anhang I — Sicherheitseigenschaften und Schwachstellenbehandlung — im Abgleich mit Ihren Nachweisen, mit klarer Lückentransparenz.
Klassifizieren Sie jedes Produkt nach den CRA-Risikostufen (Standard, wichtig, kritisch), um den erforderlichen Konformitätsweg zu bestimmen.
Erfassen Sie das gewählte Konformitätsbewertungsverfahren, stellen Sie die technische Dokumentation zusammen und verfolgen Sie die EU-Konformitätserklärung und die CE-Kennzeichnung.
Erstellen Sie die Meldungen zu aktiv ausgenutzten Schwachstellen und schwerwiegenden Vorfällen an das CSIRT und die ENISA gemäß den Fristen von 24 und 72 Stunden.
Der CRA (Verordnung (EU) 2024/2847) ist das horizontale EU-Cybersicherheitsgesetz für Produkte mit digitalen Elementen — Hardware und Software mit einer Datenverbindung. Er legt grundlegende Cybersicherheitsanforderungen, Pflichten zur Schwachstellenbehandlung und Meldung sowie eine Konformitätsbewertung fest, die zur CE-Kennzeichnung führt.
Der CRA ist im Dezember 2024 in Kraft getreten. Seine Meldepflichten (Artikel 14) gelten ab dem 11. September 2026, und die Hauptpflichten — grundlegende Anforderungen, Konformitätsbewertung und CE-Kennzeichnung — gelten ab dem 11. Dezember 2027.
Jedes Hardware- oder Softwareprodukt, dessen bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netz umfasst. Produkte, die bereits sektoralem Recht unterliegen — etwa Medizinprodukte, Kraftfahrzeuge und zivile Luftfahrt — sind ausgenommen.
Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle dem benannten koordinierenden CSIRT und der ENISA melden: eine Frühwarnung innerhalb von 24 Stunden und eine ausführlichere Meldung innerhalb von 72 Stunden, gefolgt von einem Abschlussbericht (Artikel 14).
Die Nichteinhaltung der grundlegenden Anforderungen aus Anhang I oder der Pflichten der Artikel 13 und 14 kann Geldbußen von bis zu 15 Millionen € oder 2,5% des gesamten weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist; andere Verstöße bis zu 10 Millionen € oder 2% und irreführende Angaben bis zu 5 Millionen € oder 1% (Artikel 64).
Machen Sie die kostenlose Selbsteinschätzung, um Ihre CRA-Bereitschaft in wenigen Minuten einzuschätzen — ohne Konto.