„Der Cyber Resilience Act gilt nicht für unsere Bestandsprodukte. Die sind schon auf dem Markt." Das höre ich oft. Und es klingt erst mal logisch. Aber es stimmt so nicht.
Gilt der CRA für Produkte, die schon auf dem Markt sind?
Teilweise, und das macht den Unterschied. Der EU Cyber Resilience Act trifft Bestandsprodukte über drei Mechanismen:
1. Meldepflichten ab 11. September 2026. Bereits ab diesem Datum gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Innerhalb von 24 Stunden an ENISA, innerhalb von 72 Stunden ein vollständiger Bericht. Auch für Produkte, die bereits auf dem Markt sind und seit Jahren ausgeliefert werden.
2. Volle Anwendbarkeit ab 11. Dezember 2027. Ab diesem Tag müssen alle in Verkehr gebrachten Einheiten die vollen CRA-Anforderungen erfüllen. Wer also weiterhin Bestandsmodelle verkauft, muss diese auf CRA-Konformität bringen. Produktionsdatum spielt keine Rolle (mehr dazu im Beitrag Kein CRA-Grandfathering).
3. Wesentliche Änderungen als Auslöser. Wird ein Bestandsprodukt wesentlich geändert, fällt es vollständig unter den CRA, auch dann, wenn es ursprünglich vor dem Stichtag in Verkehr gebracht wurde.
Was ist eine wesentliche Änderung im Sinne des CRA?
Eine wesentliche Änderung liegt vor, wenn die ursprüngliche Konformitätsbewertung in Frage gestellt wird. Das passiert schneller als man denkt:
- Funktionserweiterungen, die neue Risiken einführen
- Neue Schnittstellen (z. B. ein zusätzlicher Cloud-Anschluss für einen neuen Kunden)
- Geänderte Sicherheitseigenschaften durch substanzielle Software-Updates
- Wechsel zentraler Komponenten oder Software-Bibliotheken mit Sicherheitsrelevanz
- Neue Nutzungsszenarien, die im ursprünglichen Risikoassessment nicht abgedeckt waren
Ein klassisches Beispiel: Ein neuer Kunde will sein System anbinden, also wird eine neue Schnittstelle implementiert. Schon gilt das Produkt als wesentlich verändert und muss alle Anforderungen des CRA erfüllen, inklusive SBOM, Schwachstellenmanagement, technischer Dokumentation und EU-Konformitätserklärung.
Mythos vs. Fakt
Mythos: Bestandsprodukte sind vom CRA ausgenommen.
Fakt: Die Meldepflicht gilt auch für Bestandsprodukte. Und bei wesentlichen Änderungen greift der volle CRA.
Wie lange dauert ein CRA-Compliance-Projekt realistisch?
Auf der LogiMAT und anderen Branchen-Events habe ich mit Unternehmen gesprochen, deren CRA-Compliance-Projekte 2024 gestartet sind und erst Anfang dieses Jahres abgeschlossen wurden. Typische Projektlaufzeit: 12 bis 18 Monate, von der Ist-Analyse bis zum nachweisbar konformen Produkt.
Wer also glaubt, das lässt sich mal eben nebenbei umsetzen, sollte jetzt anfangen. Die Schritte sind nicht trivial:
- Ist-Aufnahme der Produktportfolios und Schnittstellen
- Risikobewertung pro Produktfamilie
- SBOM-Aufbau und Pflegeprozess
- Schwachstellenmanagement-Pipeline inklusive Reporting-Workflow
- Technische Dokumentation und Konformitätsbewertung
- Lieferketten-Anpassung (siehe Lieferanten-Haftung)
Wer Anfang 2027 anfängt, kommt nicht mehr in den Stichtag. Mehr zur CRA-Roadmap bis 2026/2027 habe ich an anderer Stelle aufbereitet.
Was Sie konkret prüfen sollten
1. Bestandsportfolio durchgehen. Welche Produkte sind aktuell am Markt? Welche haben digitale Elemente? Welche fallen unter die Meldepflicht ab 11.09.2026?
2. Produkt-Roadmap auf wesentliche Änderungen prüfen. Jede geplante Funktionserweiterung, Schnittstelle oder Software-Aktualisierung könnte den vollen CRA auslösen. Diese Trigger müssen Sie kennen, bevor das Engineering loslegt.
3. Vulnerability-Disclosure-Prozess aufsetzen. Spätestens ab 11. September 2026 müssen Sie aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden können. Das ist ein Prozess, kein Tool.
4. Meldekanäle vorbereiten. ENISA-Zugang, CSIRT-Kontakte, interner Eskalationspfad. Wer das erst im Schadensfall klärt, schafft die 24-Stunden-Frist nicht.
Häufig gestellte Fragen
Gilt der CRA für Produkte, die schon auf dem Markt sind? Teilweise. Die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gilt ab 11. September 2026 für alle Produkte mit digitalen Elementen am EU-Markt. Die vollen Herstellerpflichten greifen ab 11. Dezember 2027 für neue Auslieferungen, sowie immer bei wesentlichen Änderungen.
Was ist eine wesentliche Änderung im Sinne des CRA? Eine wesentliche Änderung liegt vor, wenn die ursprüngliche Konformitätsbewertung in Frage gestellt wird, typischerweise bei Funktionserweiterungen, neuen Schnittstellen, geänderten Sicherheitseigenschaften oder substanziellen Software-Updates.
Was sind die CRA-Meldepflichten ab 11. September 2026? Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an ENISA und die zuständigen CSIRTs melden, innerhalb von 72 Stunden vollständiger Bericht.
Wie lange dauert ein CRA-Compliance-Projekt typischerweise? 12 bis 18 Monate, von der Ist-Analyse bis zum nachweisbar konformen Produkt. Wer 2026 startet, schafft den Stichtag 2027 knapp.
Fazit
Bestandsprodukte sind nicht aus dem CRA raus. Die Meldepflicht greift bereits 2026, die volle Anwendbarkeit 2027, und jede wesentliche Änderung am Produkt zieht den vollen CRA nach.
Prüfen Sie Ihre Produkt-Roadmap genau. Jede geplante Änderung an bestehenden Produkten könnte den CRA auslösen. Wer den Trigger erkennt, kann ihn bewusst steuern. Wer ihn übersieht, bringt sein Produkt versehentlich in den vollen CRA-Scope.
Eine strukturierte CRA-Roadmap hilft, Bestand und Roadmap systematisch zu verzahnen, bevor der erste Vorfall die Theorie in die Praxis kippt.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.