Unabhängiger Leitfaden zur Verordnung (EU) 2024/2847 · Status: in Kraft
Diese Seite ist eine automatische (KI-)Übersetzung und wurde nicht von einer Person geprüft.
Leitfaden · Offizielle Quellen

Leitfaden der Europäischen Kommission zur CRA

Ein leicht verständlicher Überblick über den Leitfaden, den die Europäische Kommission zur Auslegung der Verordnung (EU) 2024/2847 herausgegeben hat; was er umfasst und an welchen Stellen er die im Rechtstext genannten Pflichten klärt.

01Worum es sich handelt

Die Verordnung legt die Pflichten fest; die Leitfäden der Kommission erläutern, wie sie in der Praxis anzuwenden sind. Leitfäden sind unverbindlich und ändern das Gesetz nicht, doch Marktüberwachungsbehörden und notifizierte Stellen orientieren sich an ihnen für eine einheitliche Auslegung, sodass sie die natürliche Ergänzung zur Art. 1 Text.

So verwenden Sie es

Lesen Sie den Leitfaden stets zusammen mit dem Artikel, den er auslegt. Weichen der Leitfaden und Ihre eigene Auslegung voneinander ab, so ist der verbindliche Bezugspunkt immer der Wortlaut der Verordnung und letztlich die Gerichte.

02Die FAQ der Kommission

Die Kommission führt ein Dokument mit häufig gestellten Fragen, das die häufigsten Auslegungsfragen bündelt: Grenzfälle des Anwendungsbereichs, die Behandlung von Ersatzteilen und Komponenten sowie die Frage, wie der Zeitplan für bereits auf dem Markt befindliche Produkte gilt. Erstmals im Dezember 2025 veröffentlicht, ist es ein „lebendes Dokument“, das laufend aktualisiert wird, sobald neue Fragen auftauchen.

Offizielle Quelle

Lesen Sie die FAQ der Kommission zur Umsetzung der CRA: Umsetzung der Cyberresilienz-Verordnung: häufig gestellte Fragen ↗

03Klarstellungen zum Anwendungsbereich

Ein Großteil des Leitfadens behandelt Anwendungsbereich, dem mit Abstand am häufigsten nachgefragten Bereich. Er stellt klar, was als „Produkt mit digitalen Elementen“ gilt, wie Fernverarbeitungslösungen behandelt werden und wo die Grenze zu sektorspezifischen Rechtsvorschriften verläuft. Art. 2

  • Datenverbindung; eine direkte oder indirekte logische oder physische Verbindung genügt, um ein Produkt in den Anwendungsbereich zu bringen.
  • Ausgeschlossene Branchen; Medizinprodukte, Kraftfahrzeuge und die Zivilluftfahrt unterliegen weiterhin ihren eigenen Rechtsrahmen.
  • SaaS; eigenständige Dienste fallen in der Regel nicht unter den CRA, jedoch wird eine für das Funktionieren eines Produkts erforderliche Verarbeitung als Teil des Produkts behandelt. Art. 3

04Open-Source-Software

Der Leitfaden erläutert die maßgeschneiderte, leichtere Regelung für Open Source. Nichtkommerzielle Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt wird, fällt weitgehend nicht in den Anwendungsbereich; „Verwalter von Open-Source-Software“ haben eine festgelegte, verhältnismäßige Reihe von Pflichten.

Wesentliche Unterscheidung

Auslöser ist die gewerbliche Tätigkeit. Eine kostenlos, aber im Rahmen einer gewerblichen Tätigkeit bereitgestellte Komponente kann dennoch in den Anwendungsbereich fallen.

05Unterstützungszeitraum und Updates

Der Leitfaden gibt an, wie ein vertretbarer Unterstützungszeitraum: Er muss widerspiegeln, wie lange das Produkt voraussichtlich in Gebrauch sein wird, und sollte in der Regel mindestens fünf Jahre betragen, sofern die erwartete Nutzungsdauer nicht kürzer ist. Sicherheitsupdates müssen kostenlos und getrennt von Funktionsupdates bereitgestellt werden. Art. 13

06Meldung und ENISA

Die Meldung erfolgt über die zentrale Meldeplattform, die ENISA einrichtet gemäß Art. 16. Sobald ein Hersteller von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall mit Auswirkungen auf die Sicherheit des Produkts Kenntnis erlangt, benachrichtigt er ENISA und das nationale CSIRT über diese Plattform innerhalb einer Frist von 24 Stunden / 72 Stunden / 14 Tagen. Ein Leitfaden legt fest, was die Frühwarnung, die Meldung und der Abschlussbericht jeweils enthalten sollten. Art. 14

Gilt ab dem 11. September 2026

Die Meldepflichten werden am 11. September 2026 durchsetzbar, und die zentrale Meldeplattform der ENISA soll bis zu diesem Zeitpunkt betriebsbereit sein.

07Harmonisierte Normen

Die grundlegenden Anforderungen in Anhang I sind ergebnisorientiert formuliert. Harmonisierte Normen begründen, sobald sie im Amtsblatt zitiert werden, eine Konformitätsvermutung für Produkte, die ihnen entsprechen.

Der Normungsauftrag der Kommission M/606 wurde 2025 von CEN, CENELEC und ETSI angenommen und umfasst rund 41 Normen: etwa 15 horizontale (produktunabhängige) und die übrigen vertikalen (produktspezifischen). Die beiden zentralen horizontalen Normen zur sicheren Entwicklung und zur Schwachstellenbehandlung werden bis zum 30. August 2026 erwartet; die vertikalen Normen bis zum 30. Oktober 2026; und die übrigen horizontalen Normen bis zum 30. Oktober 2027, etwa ein Jahr vor der vollständigen Anwendung.

Warum es wichtig ist

Solange keine Normen zitiert sind, muss die Konformität unmittelbar anhand der Anforderungen von Anhang I nachgewiesen werden. Sobald eine einschlägige Norm zitiert ist, ist deren Einhaltung der einfachste Weg zu einer Konformitätsvermutung.