„Was wir vor 2027 produziert und eingelagert haben, fällt nicht unter den CRA." Dieser Satz fällt mir immer häufiger in Gesprächen mit Herstellern, die auf eine Art Grandfathering hoffen. Meine Gegenfrage ist immer dieselbe: Wann genau wird Ihr Produkt denn in Verkehr gebracht, bei der Produktion oder beim Verkauf?
An dieser Stelle wird ein zentraler Irrtum sichtbar. Und der kann teuer werden.
Was bedeutet „in Verkehr bringen" im CRA?
„In Verkehr bringen" ist im EU Cyber Resilience Act ein klar definierter Rechtsbegriff. Er bezeichnet nicht das Produktionsdatum, sondern den Moment der erstmaligen tatsächlichen Bereitstellung eines Produkts auf dem EU-Markt, den Übergang an Händler, Integrator oder Endkunden.
Der Begriff wird in Artikel 3 der Verordnung definiert und ist konsistent mit dem horizontalen EU-Produktrecht (New Legislative Framework). Wichtig: Die Pflicht gilt pro Einzelstück. Jede Seriennummer, jede physische Einheit wird separat betrachtet, nicht das Produktmodell als abstrakte Kategorie.
Der aktuelle EU-Guidance-Draft zum CRA stellt das ausdrücklich klar: Die Konformitätspflicht greift zum Zeitpunkt des tatsächlichen Marktzugangs der jeweiligen Einheit. Hinweis: Der CRA-Text selbst lässt hier Interpretationsspielraum, die EU-Guidance ist aber eindeutig.
Warum das Produktionsdatum für die CRA-Anwendbarkeit irrelevant ist
Stellen Sie sich folgende Situation vor: Eine speicherprogrammierbare Steuerung (SPS) oder eine smarte Waschmaschine wird im Jahr 2026 produziert und ins Lager gestellt. Erst 2028 verlässt das Gerät das Lager Richtung Kunde.
Das Inverkehrbringen findet 2028 statt, nicht 2026. Das bedeutet:
- Die Einheit muss zum Auslieferungszeitpunkt 2028 den vollen CRA-Anforderungen entsprechen
- Alle bis dahin bekannten ausnutzbaren Schwachstellen müssen adressiert sein
- Die technische Dokumentation muss zum Auslieferungstag aktuell sein
- Vulnerability-Disclosure-Prozesse müssen für genau diese Einheit funktionieren
Das Produktionsdatum spielt rechtlich keine Rolle. Was zählt, ist der Tag, an dem die Einheit den Hersteller in Richtung Markt verlässt.
Mythos vs. Fakt
Mythos: Was vor dem CRA-Stichtag produziert wurde, ist vom CRA nicht betroffen.
Fakt: Es gibt kein Grandfathering nach Produktionsdatum. Was nach dem Stichtag in Verkehr gebracht wird, muss konform sein. Die Pflicht greift pro Einzelstück, nicht pro Produktmodell.
Konkrete Konsequenzen für Ihren Lagerbestand
Wer heute Geräte produziert, die voraussichtlich erst nach Dezember 2027 ausgeliefert werden, braucht klare Prozesse für die letzte Meile vor dem Inverkehrbringen. Klassische Lagerhaltung wird zur digitalen Logistikaufgabe.
Drei Dinge, die jetzt strategisch wichtig sind:
1. Bestandsaudit jetzt durchführen. Welche Geräte stehen im Lager? Welche Auslieferungszeiträume sind realistisch? Welche Modelle werden voraussichtlich nach Dezember 2027 verkauft? Diese Liste ist die Basis für alle weiteren Entscheidungen.
2. Update-Prozesse direkt vor Auslieferung etablieren. Für jedes Gerät, das nach dem Stichtag verkauft wird, müssen Sie in der Lage sein, kurz vor Auslieferung den aktuellen Softwarestand aufzuspielen, inklusive aller Sicherheitspatches für bis dahin bekannte Schwachstellen. Das betrifft nicht nur die Firmware, sondern alle in der Software Bill of Materials (SBOM) gelisteten Komponenten: Bibliotheken, Drittsoftware, Betriebssystem-Layer.
3. Strategische Auslieferungsentscheidungen treffen. Manchmal ist es wirtschaftlicher, eine Lieferung bewusst vorzuziehen und vor dem Stichtag in Verkehr zu bringen, als nachträglich die volle CRA-Konformität herzustellen. Diese Abwägung sollte aber bewusst getroffen werden.
Was bedeutet das für Ihre CRA-Roadmap?
Wenn Sie heute mit Ihrer CRA-Compliance-Planung beginnen, sollten Sie zwei Stichtage im Kopf behalten:
- 11. September 2026: Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle treten in Kraft, und gelten für alle Produkte mit digitalen Elementen auf dem EU-Markt, auch für bereits ausgelieferte
- 11. Dezember 2027: Volle Anwendbarkeit der CRA-Pflichten, ab diesem Tag muss jede neu in Verkehr gebrachte Einheit konform sein
Hersteller, die ihre Produkte erst kurz nach dem 11.12.2027 ausliefern und sich auf das Produktionsdatum verlassen, riskieren empfindliche Bußgelder, bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.
Häufig gestellte Fragen
Was bedeutet „in Verkehr bringen" im CRA? Der CRA definiert „in Verkehr bringen" als die erstmalige tatsächliche Bereitstellung eines Produkts auf dem EU-Markt, also den Übergang an Händler, Integrator oder Endkunden. Die Pflicht gilt pro Einzelstück, nicht pro Produktmodell.
Gilt der CRA für Geräte, die vor dem Stichtag produziert wurden? Ja, sofern sie nach dem Stichtag in Verkehr gebracht werden. Es gibt kein Grandfathering nach Produktionsdatum. Relevant ist ausschließlich der Tag der erstmaligen Marktbereitstellung.
Wann ist der wichtigste CRA-Stichtag für Hersteller? Der 11. Dezember 2027 markiert die volle Anwendbarkeit des CRA. Ab diesem Tag muss jede in Verkehr gebrachte Einheit den vollständigen CRA-Anforderungen entsprechen.
Was passiert mit Lagerbestand, der nach Dezember 2027 ausgeliefert wird? Dieser Lagerbestand fällt vollständig unter den CRA, unabhängig vom Produktionsdatum. Hersteller müssen Update-Prozesse für die letzte Meile vor Auslieferung etablieren, um den aktuellen Softwarestand inklusive aller bekannten Sicherheitspatches aufzuspielen.
Fazit
Verlassen Sie sich nicht auf das Produktionsdatum als Stichtag. Der CRA kennt kein Grandfathering nach Herstellungstag, was zählt, ist der Moment des Inverkehrbringens.
Prüfen Sie Ihren Lagerbestand jetzt. Etablieren Sie Prozesse, die Softwarestände kurz vor Auslieferung aktualisieren können. Und treffen Sie strategische Auslieferungsentscheidungen bewusst.
Eine strukturierte CRA-Roadmap hilft dabei, diese Punkte systematisch abzuarbeiten, bevor der Stichtag aus der Theorie in die Praxis kippt.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.