Wo der CRA heute steht
Ein laufender Überblick über die Umsetzung der Cyberresilienz-Verordnung; was geschehen ist, was sich in Arbeit befindet und welche Termine noch bevorstehen.
Juni 2026
Meilensteine
Vollständige Anwendung
Der Großteil der Pflichten gilt; in Verkehr gebrachte Produkte müssen die grundlegenden Anforderungen erfüllen und die CE-Kennzeichnung tragen.
AnstehendÜbrige Normen erwartet
Die verbleibenden horizontalen harmonisierten Normen stehen an; rund ein Jahr vor der vollständigen Anwendung, damit sich die Hersteller darauf stützen können.
ErwartetVertikale Normen erwartet
Die produktspezifischen (vertikalen) harmonisierten Normen sollen geliefert werden.
ErwartetMeldepflichten gelten
Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle an ENISA und das nationale CSIRT melden. Die zentrale Meldeplattform von ENISA (Artikel 16) soll bis zu diesem Datum betriebsbereit sein.
AnstehendErste Kernnormen erwartet
Die beiden wichtigsten horizontalen Normen (sichere Entwicklung und Schwachstellenbehandlung) sollen vor den übrigen horizontalen Normen geliefert werden.
ErwartetLeitfaden und Normungsarbeit
Die Kommission veröffentlicht Leitfäden (eine fortlaufend aktualisierte FAQ sowie Leitlinien nach Artikel 26), während die europäischen Normungsgremien die harmonisierten Normen ausarbeiten.
In BearbeitungNormungsauftrag angenommen
CEN, CENELEC und ETSI haben den Auftrag M/606 der Kommission angenommen, rund 41 harmonisierte Normen zu erarbeiten (15 horizontale und die übrigen vertikal, also produktspezifisch).
AbgeschlossenIn Kraft getreten
Der CRA wurde EU-weit zum Gesetz; die Umsetzungsfrist begann zu laufen.
AbgeschlossenAngenommen und in Kraft gesetzt
Die Verordnung wurde vom Europäischen Parlament und vom Rat förmlich angenommen.
Abgeschlossen