Der CRA gilt für auf dem EU-Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung umfasst. Wenn Ihr Produkt Software oder Firmware enthält und auf den EU-Markt gelangt, fällt es sehr wahrscheinlich in den Anwendungsbereich. Art. 2 Der schnellste Weg zur Überprüfung ist die Selbstbewertung.
Hilfe · FAQ
Häufig gestellte Fragen
Kurze Antworten auf die Fragen, die Beteiligte am häufigsten zur Cyberresilienz-Verordnung stellen, mit Verweisen auf den Verordnungstext.
Fragen und Antworten
Die Klassifizierung richtet sich nach der Kernfunktion des Produkts, nicht nach jeder einzelnen Funktion, die es enthält. Entspricht die Kernfunktion einer in Anhang III genannten Kategorie, ist das Produkt „wichtig“ (Klasse I oder II); entspricht sie Anhang IV, ist es „kritisch“; andernfalls ist es ein „Standardprodukt“. Eine Funktion wie Identitätsmanagement oder ein VPN, die nur als Merkmal enthalten ist, macht das Produkt nicht „wichtig“, sofern dies nicht sein eigentlicher Zweck ist. Treffen mehrere Kategorien zu, gilt die strengere Klasse. Art. 7
Nicht kommerzielle Open-Source-Software, die außerhalb einer Geschäftstätigkeit entwickelt wird, fällt weitgehend nicht in den Anwendungsbereich. Verwalter von Open-Source-Software unterliegen einem leichteren, maßgeschneiderten Pflichtenkatalog. Open-Source-Komponenten, die im Rahmen einer Geschäftstätigkeit bereitgestellt werden, können in den Anwendungsbereich fallen.
Eigenständige Dienste fallen grundsätzlich nicht unter den CRA. Lösungen für die Fernverarbeitung von Daten, die für die Funktion eines Produkts erforderlich sind, werden jedoch als Teil dieses Produkts behandelt und fallen in den Anwendungsbereich. Art. 3(2)
Ja. Die CRA gilt für Produkte, die auf dem EU-Markt in Verkehr gebracht werden, unabhängig davon, wo der Hersteller niedergelassen ist. Hersteller außerhalb der EU müssen sicherstellen, dass ein in der Union niedergelassener Wirtschaftsakteur für die einschlägigen Verpflichtungen verantwortlich ist.
Sie gliedern sich in zwei Teile von Anhang I: Sicherheitseigenschaften, die das Produkt aufweisen muss (sicher in der Standardkonfiguration, Vertraulichkeit, Integrität, Verfügbarkeit, minimierte Angriffsfläche, Sicherheitsupdates), und Prozesse zur Schwachstellenbehandlung, die der Hersteller betreiben muss (SBOM, Behebung, koordinierte Offenlegung). Anhang I
Ja. Hersteller müssen die im Produkt enthaltenen Komponenten ermitteln und dokumentieren, unter anderem durch die Erstellung einer Software-Stückliste in einem gängigen, maschinenlesbaren Format. Anhang I · II(1)
Der Unterstützungszeitraum ist die Zeitspanne, in der ein Hersteller Sicherheitsupdates bereitstellen muss. Er muss den Zeitraum widerspiegeln, in dem die Verwendung des Produkts nach vernünftigem Ermessen zu erwarten ist; der Leitfaden der Kommission gibt an, dass dieser in der Regel mindestens fünf Jahre betragen sollte, sofern die erwartete Verwendung nicht kürzer ist. Art. 13(8)
Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit des Produkts beeinträchtigen, müssen der ENISA und dem zuständigen CSIRT gemeldet werden. Eine Frühwarnung ist innerhalb von 24 Stunden nach Kenntnisnahme fällig, gefolgt von einer ausführlicheren Meldung und einem Abschlussbericht. Art. 14
Die Verordnung ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten gelten ab September 2026 (21 Monate später) und der Großteil der Pflichten gilt ab Dezember 2027 (36 Monate später). Art. 71
Verstöße gegen die grundlegenden Anforderungen oder die Herstellerpflichten können Geldbußen von bis zu €15 Millionen oder 2,5 % des gesamten weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Für andere Verstöße und für die Übermittlung falscher Angaben gelten niedrigere Obergrenzen.
Die Meldepflichten nach Artikel 14 werden am 11. September 2026 durchsetzbar. Die ENISA richtet die einheitliche Meldeplattform nach Artikel 16 ein, über die Hersteller der ENISA und dem nationalen CSIRT aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden werden; sie soll bis zu diesem Zeitpunkt betriebsbereit sein. Art. 14
Der Normungsauftrag M/606 der Kommission wurde 2025 von CEN, CENELEC und ETSI angenommen und umfasst rund 41 Normen (horizontale und produktspezifische). Die beiden zentralen horizontalen Normen (sichere Entwicklung und Schwachstellenbehandlung) werden bis zum 30. August 2026 erwartet, die vertikalen Produktnormen bis zum 30. Oktober 2026 und die übrigen horizontalen Normen bis zum 30. Oktober 2027, vor der vollständigen Anwendung im Dezember 2027. Die Befolgung einer zitierten harmonisierten Norm begründet eine Konformitätsvermutung. Anhang I
Durchlaufen Sie den für Ihre Produktklasse geltenden Weg der Konformitätsbewertung, stellen Sie die technische Dokumentation zusammen, erstellen und unterzeichnen Sie die EU-Konformitätserklärung und bringen Sie anschließend die CE-Kennzeichnung an. Standardprodukte dürfen eine interne Kontrolle vornehmen; wichtige und kritische Produkte erfordern strengere Verfahren. Art. 28 · 32
Beginnen Sie mit dem CRA Fast Check, um Anwendungsbereich und Klasse zu bestätigen, folgen Sie dem für Ihre Rolle verfassten Leitfaden und nutzen Sie die Konformitätsmatrix, um die grundlegenden Anforderungen bis zur Erledigung nachzuverfolgen.
Keine Antwort gefunden?
Klären Sie die Einordnung Ihres Produkts mit der kostenlosen Selbstbewertung oder lesen Sie die leicht verständliche Erläuterung.