Bereiten Sie sich mit Zuversicht auf den Cyber Resilience Act vor und bringen Sie Produkte mit digitalen Elementen konform mit den neuen EU-Cybersicherheitsanforderungen auf den Markt.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA), formal Verordnung (EU) 2024/2847, führt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein, die auf dem EU-Markt bereitgestellt werden. Er gilt sowohl für Hardware als auch für Software und umfasst die Cybersicherheitsverantwortung über den gesamten Produktlebenszyklus: von Design und Entwicklung über das Schwachstellenmanagement und Sicherheitsupdates bis hin zur technischen Dokumentation und Meldung von Sicherheitsvorfällen.
Der CRA wird ab dem 11. Dezember 2027 vollständig anwendbar. Ab diesem Datum müssen alle betroffenen Produkte die CRA-Anforderungen erfüllen, bevor sie auf dem EU-Markt bereitgestellt werden dürfen. Die CRA-Konformität wird Teil des CE-Kennzeichnungsrahmens.
Warum ist der Cyber Resilience Act für Ihr Unternehmen relevant?
Der CRA wandelt Cybersicherheit von einer empfohlenen Praxis in eine regulatorische Anforderung für eine breite Palette vernetzter und softwaregestützter Produkte. Für Hersteller bedeutet das: Sicherheit muss früher und systematischer in den Entwicklungsprozess eingebettet werden. Es reicht nicht mehr aus, Risiken erst nach dem Marktstart zu adressieren.
Unternehmen müssen nachweisen, dass Cybersicherheit bereits in der Produktkonzeption berücksichtigt, in die Entwicklungsprozesse integriert, angemessen dokumentiert und über den gesamten Unterstützungszeitraum aufrechterhalten wurde. Darüber hinaus führt der CRA laufende Pflichten im Bereich Schwachstellenmanagement und Vorfallmeldung ein – es handelt sich also um eine Lebenszyklusfrage und nicht um eine einmalige Zulassung.
Wichtige Termine zum Cyber Resilience Act
Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Pflichten gelten stufenweise:
- 11. September 2026 — Hersteller müssen mit der Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle beginnen, einschließlich Legacy-Produkte, die sich noch innerhalb ihres Unterstützungszeitraums befinden.
- 11. Dezember 2027 — Vollständige Anwendbarkeit des CRA. Alle betroffenen Produkte müssen vor der Bereitstellung auf dem EU-Markt konform sein.
Betroffene Branchen und Produkte
Der CRA gilt für jeden Hersteller, der Produkte mit digitalen Elementen auf dem EU-Markt bereitstellt – unabhängig vom Unternehmenssitz. Nicht-EU-Hersteller können einen bevollmächtigten Vertreter in der EU benennen. Auch Importeure und Händler in der EU haben spezifische Pflichten.
Medizin-, Automobil- und Luftfahrtprodukte können aufgrund separater sektorspezifischer Anforderungen ausgenommen sein.
In den Anwendungsbereich des CRA fallen unter anderem:
- IoT- und Smart Devices
- Unterhaltungselektronik
- Industrielle Steuerungssysteme
- Netzwerkgeräte
- Standalone-Software
- Mobile Anwendungen
- Firmware und eingebettete Systeme
- Komponenten (Prozessoren, Sicherheitschips)
- Produkte, die für ihre Funktion auf Cloud- oder Remote-Dienste angewiesen sind
Produktklassifizierung unter dem CRA
Der CRA unterteilt Produkte in risikobasierte Kategorien, die den Konformitätsbewertungsweg bestimmen.
| Kategorie | Risikoniveau | Beispielprodukte | Konformitätsweg |
| Standard (Allgemein) | Standard | IoT-Geräte, Software-Apps, Smart-Home-Produkte | Selbstbewertung |
| Wichtige Klasse I | Erhöht | Betriebssysteme, Browser, Router, Passwortmanager | Selbstbewertung mit harmonisierten Normen |
| Wichtige Klasse II | Hoch | Firewalls, IDS/IPS, Hypervisoren | Notifizierte Stelle erforderlich |
| Kritische Produkte | Höchst | Smartcards, Secure Elements, Hardware-Sicherheitsmodule | EU-Zertifizierungsschema oder Notifizierte Stelle |
Die korrekte Einordnung des Produkts ist ein entscheidender erster Schritt, da sie den Konformitätspfad, die Dokumentationsanforderungen und die Zeit bis zur Markteinführung unmittelbar beeinflusst.
Hauptpflichten für Hersteller
Hersteller müssen sicherstellen, dass ihre Produkte nach dem Prinzip Security by Design und Security by Default entwickelt werden, unter Anwendung sicherer Entwicklungspraktiken, ohne bekannte Schwachstellen bei der Bereitstellung, geschützt gegen unbefugten Zugriff und mit minimierter Angriffsfläche.
Darüber hinaus sind folgende Maßnahmen erforderlich: Durchführung und Dokumentation einer Cybersicherheits-Risikoabschätzung, Erstellung einer Software Bill of Materials (SBOM), Implementierung von Prozessen zum Schwachstellenmanagement, Erstellung vollständiger technischer Dokumentation sowie Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle innerhalb der vorgesehenen Fristen.
| Lebenszyklusphase | CRA-Anforderungen |
| Design & Entwicklung | Secure by Design und Default, Risikoabschätzung, Minimierung der Angriffsfläche |
| Vor der Markteinführung | Behebung bekannter Schwachstellen, technische Dokumentation, Definition des Unterstützungszeitraums |
| Markteinführung | CE-Kennzeichnung mit CRA-Konformität |
| Nach der Markteinführung | Überwachung von Schwachstellen, Bereitstellung von Updates, Pflege der Dokumentation |
| Vorfallreaktion | Meldung innerhalb von 24 Stunden (Frühwarnung), detaillierte Benachrichtigung innerhalb von 72 Stunden |
Erforderliche technische Dokumentation
Die technische Dokumentation muss mindestens umfassen: Produktbeschreibung, Architektur- und Designinformationen, Cybersicherheits-Risikoabschätzung, SBOM mit relevanten Komponenten und Abhängigkeiten, Richtlinie für Sicherheitsupdates, Verfahren zum Schwachstellenmanagement und zur Vorfallmeldung, Nachweise zur Konformität mit den wesentlichen Anforderungen gemäß Anhang I sowie benutzerorientierte Dokumentation zur sicheren Konfiguration, zum Unterstützungszeitraum und zur Update-Bereitstellung.
Die Dokumentation ist nicht statisch – sie muss über den gesamten Produktlebenszyklus aktuell gehalten werden.
Wie sollten Hersteller sich jetzt vorbereiten?
Die Vorbereitung auf den CRA sollte nicht bis 2027 aufgeschoben werden. Die Meldepflichten beginnen bereits im September 2026.
Konkrete erste Schritte: Produktklassifizierung bestimmen, CRA-Gap-Analyse durchführen, Cybersicherheits-Risikoabschätzungen erstellen, sichere Entwicklungsprozesse implementieren, Schwachstellenmanagement und Vorfallmeldeprozesse aufbauen, technische Dokumentation vorbereiten und den richtigen Konformitätsbewertungsweg sowie die CE-Kennzeichnungspflichten planen.
Wie Intertek Ihre CRA-Konformität unterstützt
Intertek begleitet Hersteller in jeder Phase des CRA-Konformitätsprozesses.
Produktklassifizierung
Prüfung, ob Ihr Produkt in die Kategorie Standard, Wichtige Klasse I/II oder Kritisch fällt, und Bestimmung des geeigneten Konformitätsbewertungswegs.
CRA-Gap-Analyse
Bewertung Ihrer bestehenden Prozesse, der Produktsicherheitslage und der Dokumentation anhand der CRA-Anforderungen – mit Identifikation von Lücken und Erstellung einer klaren Remediation-Roadmap.
Cybersicherheits-Risikoabschätzung
Unterstützung bei der Entwicklung und Überprüfung Ihrer Risikoabschätzung in Übereinstimmung mit den wesentlichen CRA-Anforderungen und den Erwartungen an den Produktlebenszyklus.
Sicherheitstests und Validierung
Prüfung von Produkten anhand anwendbarer Normen und CRA-Anforderungen, einschließlich Schwachstellenanalysen und Penetrationstests.
Technische Dokumentation
Überprüfung und Unterstützung bei der Erstellung technischer Dokumentation, einschließlich SBOM, Ergebnissen der Risikoabschätzung und Lebenszyklusdokumentation.
Konformitätsbewertung und CE-Kennzeichnung
Begleitung des Selbstbewertungs- oder Notifizierte-Stelle-Wegs je nach Produktklassifizierung und Sicherstellung der vollständigen Konformität mit der Verordnung.
Warum Intertek für Ihre CRA-Konformität wählen?
Intertek unterstützt Hersteller während des gesamten CRA-Konformitätsprozesses – von der Produktklassifizierung und Gap-Analyse über Sicherheitstests und technische Dokumentation bis zur Konformitätsbewertung.
Unsere Cybersicherheitskompetenzen umfassen IEC 62443, EN 18031, ETSI EN 303 645, IEC 81001-5-1, Schwachstellenanalysen, Penetrationstests, Secure-Architecture-Reviews, Threat Modeling, Common Criteria, Bewertung kryptografischer Module nach FIPS 140-3, AI Red Teaming und Ransomware-Resilienz.
Diese Erfahrung ermöglicht es Herstellern, CRA-Pflichten zu erfüllen und gleichzeitig ihre Cybersicherheitsprogramme auf weitere Standards und Marktanforderungen auszurichten.
Häufig gestellte Fragen zum Cyber Resilience Act (CRA)
Der CRA, Verordnung (EU) 2024/2847, führt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen auf dem EU-Markt ein und gilt für Hardware und Software gleichermaßen.
Er ist am 10. Dezember 2024 in Kraft getreten. Meldepflichten gelten ab dem 11. September 2026; die vollständige Anwendbarkeit beginnt am 11. Dezember 2027.
Ja. Jeder Hersteller, der Produkte mit digitalen Elementen auf dem EU-Markt bereitstellt, muss die Anforderungen erfüllen – unabhängig vom Unternehmenssitz. Auch EU-Importeure und -Händler haben spezifische Pflichten.
Ein Produkt mit digitalen Elementen ist Hardware oder Software, deren bestimmungsgemäßer oder vernünftigerweise vorhersehbarer Einsatz eine direkte oder indirekte Datenverbindung zu einem anderen Gerät oder Netzwerk beinhaltet – einschließlich vernetzter Geräte, Software, Firmware, mobiler Apps und Produkte, die auf Cloud- oder Remote-Dienste angewiesen sind.
Ja. Der CRA schließt Standalone-Software ausdrücklich ein: Desktop-Anwendungen, Betriebssysteme, Firmware, mobile Apps, Entwicklungstools sowie kommerziell vertriebene Bibliotheken und SDKs.
Hersteller müssen Cybersicherheits-Risikoabschätzungen durchführen und dokumentieren, Produkte entsprechend der wesentlichen Anforderungen gestalten, sichere Entwicklungspraktiken umsetzen, Sicherheitsupdates bereitstellen, Schwachstellen verwalten, technische Dokumentation erstellen und Schwachstellen sowie Vorfälle innerhalb der vorgesehenen Fristen melden.
Der CRA verwendet risikobasierte Kategorien. Die meisten Produkte fallen in die Standardkategorie. Wichtige Klasse I und II sowie Kritische Produkte sind in den Anhängen III und IV aufgeführt und unterliegen strengeren Konformitätsbewertungsanforderungen.
Nicht immer. Viele Produkte der Standardkategorie können den Selbstbewertungsweg gehen. Produkte der Wichtigen Klasse II benötigen eine Konformitätsbewertung durch eine Notifizierte Stelle. Für Kritische Produkte ist ein EU-Zertifizierungsschema vorgesehen; existiert keines, ist eine Notifizierte Stelle erforderlich.
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden: Frühwarnung innerhalb von 24 Stunden, detaillierte Benachrichtigung innerhalb von 72 Stunden, mit Folgemeldungen über die von ENISA verwaltete EU-Plattform.
Die technische Dokumentation muss Cybersicherheits-Risikoabschätzung, Produkt- und Architekturbeschreibung, Lebenszyklus- und Update-Prozesse, Schwachstellenmanagementverfahren, SBOM, Benutzeranleitung, Konformitätserklärungsunterlagen und Nachweise zur Konformität mit Anhang I umfassen.
