Zurück zum Blog
CRA ComplianceCyber Resilience ActCE-KennzeichnungSBOMIoTSmart HomeIndustrial MachineryEmbedded SystemsSoftware

20 Produkte, die Sie nicht auf dem Schirm haben – Warum der Cyber Resilience Act Ihr Geschäft verändern wird

RFID-Chips, Plüschtiere, Kaffeemaschinen – der CRA betrifft weit mehr als die IT-Branche. 20 überraschende Produktbeispiele und was Hersteller jetzt wissen müssen.

1. Februar 2026
9 min read
Think Ahead Team

Sie denken, Cybersicherheit ist ein Thema für Microsoft, Apple oder SAP? Sie wiegen sich in Sicherheit, weil Ihr Unternehmen keine Laptops oder Server herstellt? Dann sollten Sie jetzt aufmerksam weiterlesen.

Der CRA ist kein IT-Gesetz – er ist ein Produktsicherheitsgesetz

Die EU-Verordnung 2024/2847 – besser bekannt als Cyber Resilience Act – wird oft missverstanden. Viele Unternehmen ordnen ihn in die Schublade „betrifft die IT-Branche" ein und wenden sich wieder ihrem Tagesgeschäft zu.

Das ist ein teurer Irrtum.

Der CRA ist ein Produktsicherheitsgesetz, das fast alles betrifft, was einen Stecker, eine Batterie oder einen Funkchip hat. Die EU hat eine erstaunlich einfache Regel aufgestellt: Sobald ein Produkt eine direkte oder indirekte Datenverbindung hat – physisch oder logisch – greift das Gesetz.

Direkte oder indirekte Datenverbindung. Das ist kein Nischenkriterium. Das ist ein Schleppnetz.

Was das in der Praxis bedeutet

Stellen Sie sich vor, Sie liefern ein Bauteil, das seit 20 Jahren unverändert ist. Es funktioniert, Ihre Kunden sind zufrieden, niemand hat sich je über Cybersicherheit beschwert.

Plötzlich sind Sie verpflichtet, für die nächsten 5 Jahre Sicherheitsaktualisierungen zu garantieren, eine lückenlose Software-Stückliste (SBOM) vorzulegen und Schwachstellen innerhalb von 24 Stunden an die ENISA zu melden.

20 Produkte, bei denen Hersteller gerade aufwachen

Hier sind Produkte, bei denen viele Hersteller gerade erst – teilweise schmerzhaft – realisieren, dass sie voll im Visier der EU stehen.

1. Plüschtiere und Spielzeug mit Sprechfunktion

Der vernetzte Teddy ist keine bloße Spielware mehr. Spielzeug mit Internetverbindung – etwa Puppen mit Sprachfunktion oder Ortungsfunktionen – stuft die EU als „wichtiges Produkt" der Klasse I ein. Der Grund: Es gefährdet die Privatsphäre der schwächsten Nutzer direkt – unserer Kinder. Die Anforderungen an Konformitätsbewertung und Dokumentation steigen hier erheblich.

2. Smarte Türschlösser

Sicherheit bedeutet hier nicht mehr nur massiver Stahl. Ein gehacktes Schloss öffnet physische Türen – und damit steht die Sicherheit von Personen und Eigentum auf dem Spiel. Die EU stuft smarte Türschlösser als wichtige Produkte mit strengen Prüfpflichten ein.

3. RFID-Chips an Lagercontainern

Sie wirken wie einfache Aufkleber. Doch sie verarbeiten digitale Daten und stellen eine physische Funkverbindung zu Lesegeräten her – damit sind sie rechtlich ein Produkt mit digitalen Elementen. Selbst solche vermeintlich einfachen Komponenten können Angreifern als Einfallstor in größere Logistik- oder Informationssysteme dienen. Wird der Chip separat in Verkehr gebracht, muss er die grundlegenden Cybersicherheitsanforderungen erfüllen – inklusive CE-Kennzeichnung.

4. Industrielle Fräsmaschinen

Eine tonnenschwere Maschine, die plötzlich stillsteht, weil sie vernetzt ist? Der CRA gilt hier zusätzlich zur Maschinenverordnung (EU) 2023/1230, besonders bei Fernwartungsfunktionen. Ein heikler Punkt: Industrielle Systeme werden oft über Jahrzehnte genutzt. Hersteller müssen bei der Planung des Unterstützungszeitraums für Sicherheitsaktualisierungen diesen langen Lebenszyklus berücksichtigen.

5. Babyphones

Früher ein einfaches Funkgerät, heute ein hochgradig reguliertes „wichtiges Produkt". Was einst simples Radio war, ist heute ein vernetztes System mit App-Anbindung und Cloud-Funktionen. Schwachstellen hier sind für die EU ein untragbares Risiko für die Sicherheit von Kindern.

6. TV-Fernbedienungen

Moderne Fernbedienungen enthalten Firmware und kommunizieren per Infrarot, Bluetooth oder sogar WLAN mit dem Endgerät. Der Fernseher ist vernetzt, die Fernbedienung kommuniziert mit dem Fernseher – das reicht aus, um als indirekte Datenverbindung eingestuft zu werden. Hersteller müssen sicherstellen, dass diese Geräte bei Marktbereitstellung keine bekannten ausnutzbaren Schwachstellen aufweisen.

7. Smarte Kaffeemaschinen

Wenn eine App zur Steuerung nötig ist, gehört sogar das Cloud-Backend des Herstellers rechtlich zum Produkt und muss abgesichert werden. Das gilt für jedes Produkt, dessen Funktionen ohne eine vom Hersteller entwickelte Datenfernverarbeitung nicht erfüllt werden könnten.

8. Gaming-Headsets

Das überrascht viele: Gaming-Headsets werden am Körper getragen und übertragen Daten per Funk – als Wearables fallen sie direkt unter die Cybersicherheitsanforderungen. Sind sie speziell für die Verwendung durch Kinder bestimmt, werden sie sogar als „wichtige Produkte" der Klasse I eingestuft. Hersteller sind verpflichtet, für die voraussichtliche Nutzungsdauer – mindestens fünf Jahre – Sicherheitsaktualisierungen bereitzustellen.

9. Fitness-Tracker und Smartwatches

Sofern sie keine zertifizierten Medizinprodukte sind (denn für die gelten eigene Verordnungen), unterliegen diese Wearables zur Gesundheitsüberwachung dem CRA. Besonders kritisch bewertet die EU Modelle für Kinder.

10. Alarmanlagen

Klassische Sicherheitstechnik muss nun digitale Mindeststandards erfüllen, um überhaupt noch ein CE-Kennzeichen zu erhalten. Gleiches gilt für Sicherheitskameras und andere Smart-Home-Sicherheitsprodukte.

Die „unsichtbare" Software und Infrastruktur

Ab hier wird es für viele Unternehmen noch unbequemer – denn die folgenden Produkte sieht man nicht, fasst man nicht an, und doch stehen sie genauso im Visier des CRA.

11. Smart-Meter-Gateways

Diese unscheinbaren Kästen im Keller sind sogar als „kritische Produkte" (Annex IV) eingestuft – die höchste Kategorie des CRA. Der Grund: Sie können das Stromnetz beeinflussen. Hier gelten die strengsten Anforderungen, einschließlich verpflichtender Zertifizierung durch europäische Cybersicherheitszertifizierungsschemata. Für Hersteller im Energiebereich ist das besonders relevant.

12. Mikroprozessoren und Mikrocontroller

Die winzigen Bausteine tief in Ihrer Hardware. Haben sie sicherheitsrelevante Funktionen, müssen sie oft von Dritten zertifiziert werden. Komponentenhersteller, die bisher „nur Teile" geliefert haben, werden hier fundamental umdenken müssen.

13. Bootmanager

Die erste Software, die beim Starten eines Systems geladen wird – bevor Sie überhaupt etwas sehen. Da sie die gesamte Sicherheitskette kompromittieren kann, gilt sie als „wichtiges Produkt" mit verschärften Anforderungen. Mehr zur Absicherung von Embedded Systems unter dem CRA.

14. Netzwerk-Switches

Die oft verstaubten Verteiler in den IT-Schränken gelten als zentrale Infrastrukturkomponenten. Kaum ein Facility Manager denkt an CRA-Konformität, wenn er Switches beschafft. Das wird sich ändern müssen. Hersteller von Netzwerk- und Telekommunikationsausrüstung sind hier besonders gefordert.

15. Mobile Apps (iOS und Android)

Jede App im Store, die auf eine Datenbank oder API zugreift, unterliegt dem CRA als Teil einer Datenfernverarbeitungslösung. Egal ob Ihr Unternehmen die App selbst entwickelt oder von einem Dienstleister entwickeln lässt – wenn Sie sie im Rahmen einer Geschäftstätigkeit bereitstellen, haften Sie. Das Gleiche gilt für SaaS-Produkte und Cloud-Software.

16. PDF-Tools und Bildbearbeitungssoftware

Auch klassische installierbare Software ist betroffen. Sie verarbeitet Daten und kommuniziert meist über Update-Funktionen mit Servern des Herstellers. Damit greift der CRA – und mit ihm die vollen Dokumentations- und Sicherheitsanforderungen.

17. Messenger-Dienste

Die Sicherheit der Kommunikation muss durch modernste Verschlüsselungsmechanismen garantiert werden. Für Anbieter von Messaging-Software bedeutet das: Konformitätsbewertung, SBOM, Schwachstellenmanagement – das volle Programm.

18. Router und Modems

Die klassischen „Gateways" zu unserem digitalen Leben sind per Definition wichtige Produkte mit erhöhtem Risiko. Die Anforderungen an Hersteller gehen weit über das hinaus, was heute Branchenstandard ist.

19. Passwort-Manager

Software, die im Rahmen einer Geschäftstätigkeit bereitgestellt wird, unterliegt massiven Dokumentationspflichten. Auch wenn das Tool kostenlos ist – wird es geschäftlich angeboten, greift der CRA. Passwort-Manager fallen als wichtige Produkte der Klasse I unter besonders strenge Anforderungen.

20. Betriebssysteme

Egal wie klein – jedes Betriebssystem für ein digitales Gerät ist ein wichtiges Produkt der Klasse I. Vom Mini-RTOS im Industriesensor bis zum Smartphone-OS: Ohne Konformität kein EU-Marktzugang.

Der Elefant im Raum: Was gilt für Zulieferer?

Viele Unternehmen denken: „Wir bauen doch nur Komponenten. Für das Endprodukt ist jemand anders verantwortlich." Das ist nur die halbe Wahrheit.

Intel baut den Prozessor. Dell baut den Laptop. Wer haftet?

Beide. Die Verordnung will die Sicherheit der gesamten Lieferkette gewährleisten – und nimmt deshalb jeden Akteur in die Pflicht.

Intel als Komponentenhersteller bringt den Prozessor separat in Verkehr. Damit ist Intel Hersteller im Sinne des CRA und muss den Prozessor gemäß den grundlegenden Sicherheitsanforderungen entwickeln, eine eigene Konformitätsbewertung durchführen, die CE-Kennzeichnung anbringen, eine SBOM für den Prozessor (inklusive Mikrocode und Firmware) erstellen und während des gesamten Unterstützungszeitraums Schwachstellen beheben und Sicherheitsupdates liefern.

Dell als Endprodukthersteller bringt den Laptop unter eigenem Namen auf den Markt und trägt die Gesamtverantwortung. Dell muss bei der Integration prüfen, ob die Intel-Komponente die Sicherheit des Laptops nicht beeinträchtigt. Wird eine Schwachstelle im Prozessor bekannt, die den Laptop unsicher macht, muss Dell im Rahmen seines eigenen Schwachstellenmanagements darauf reagieren. Und Dell braucht eine eigene SBOM für den gesamten Laptop, in der Intels Prozessor als Abhängigkeit aufgeführt ist.

Das Zusammenspiel: Stellt Dell eine Schwachstelle in der Intel-Komponente fest, muss Dell Intel darüber informieren. Intel wiederum muss die Schwachstelle behandeln und Dell den notwendigen Sicherheits-Patch bereitstellen. Das Prinzip: Intel haftet für die Sicherheit des Bauteils. Dell haftet für die Sicherheit des Laptops. Und wenn Sie ein Softwaremodul, eine Firmware oder eine Hardware-Komponente separat verkaufen – egal ob kostenlos oder nicht – dann sind Sie in der gleichen Position wie Intel.

Was ist NICHT betroffen?

Um den Kontrast zu schärfen: Produkte wie Kraftfahrzeuge, Medizinprodukte oder Zivilluftfahrt-Ausrüstung fallen nicht unter den CRA. Aber nicht, weil sie keine Cybersicherheit bräuchten – sondern weil sie bereits durch spezifischere EU-Gesetze streng reguliert sind.

Der CRA schließt genau die Lücke, die bisher bestand: Alles, was digital kommuniziert, aber nicht bereits sektorspezifisch reguliert war. Eine vollständige Übersicht finden Sie in unserem Artikel zum Geltungsbereich des CRA.

Die Zeitbombe tickt

Die Fristen sind konkret und sie sind nah:

  • September 2026: Meldepflichten für Schwachstellen treten in Kraft. Ab dann müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA gemeldet werden.
  • Dezember 2027: Der CRA wird vollständig scharf geschaltet. Jedes Produkt mit digitalen Elementen, das danach auf den EU-Markt gebracht wird, muss konform sein.

Wer jetzt nicht plant, riskiert Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Einen detaillierten Zeitplan finden Sie in unserem CRA-Countdown 2026–2027.

Was Sie jetzt tun sollten

  1. Portfolio-Check: Gehen Sie systematisch durch, welche Ihrer Produkte unter den CRA fallen. Die Antwort wird Sie vermutlich überraschen.
  2. SBOM-Fähigkeit aufbauen: Eine Software-Stückliste ist keine Option, sie ist Pflicht. Beginnen Sie jetzt mit der Bestandsaufnahme Ihrer Software-Komponenten.
  3. Prozesse etablieren: Schwachstellenmanagement, Meldeprozesse, Update-Strategien – das alles muss stehen, bevor die Fristen greifen.
  4. Unterstützungszeitraum planen: Mindestens 5 Jahre Sicherheitsupdates. Bei langlebigen Industrieprodukten deutlich länger. Das hat Auswirkungen auf Ihr Geschäftsmodell.

Fazit

Der Cyber Resilience Act ist das umfassendste Cybersicherheitsgesetz, das die EU je verabschiedet hat. Er betrifft nicht nur die üblichen Verdächtigen der Tech-Branche, sondern zieht einen Kreis um praktisch jedes Produkt, das digital kommuniziert.

Die Frage ist nicht, ob Sie betroffen sind. Die Frage ist, ob Sie es schon wissen.

Kunnus unterstützt Hersteller bei der strukturierten Umsetzung der CRA-Anforderungen – von der automatisierten SBOM-Erstellung über kontinuierliches Schwachstellenmonitoring bis zur vollständigen Dokumentation. Wo stehen Sie bei der CRA-Compliance? Unsere kostenlose CRA-Reifegradanalyse gibt Ihnen in wenigen Minuten einen klaren Überblick über Ihren Status und die nächsten Schritte.

Teilen:

Weiterlesen

Cyber Resilience Act Anforderungen: Vollständige Übersicht für Hersteller

Alle CRA-Anforderungen auf einen Blick – von Security by Design über SBOM-Pflicht bis zu Meldepflichten. Die komplette Übersicht mit Verweisen auf Detailanleitungen für jede Anforderung.

Weiterlesen

Cyber Resilience Act Anwendungsbereich: Welche Produkte sind betroffen?

Fällt Ihr Produkt unter den Cyber Resilience Act? Erfahren Sie genau, welche Produkte vom CRA erfasst werden, welche Ausnahmen gelten und wie die Produktklassifizierung funktioniert.

Weiterlesen

Cyber Resilience Act Zusammenfassung: Das Wichtigste auf einen Blick

Eine kompakte Zusammenfassung des EU Cyber Resilience Act – Ziele, Anwendungsbereich, Kernpflichten, Fristen und Sanktionen. Mit Verweisen auf die Originaldokumente.

Weiterlesen

Bereit, Ihre CRA-Bereitschaft zu prüfen?

Machen Sie unsere kostenlose Reifegradanalyse und erfahren Sie in nur 15 Minuten, wo Ihre Organisation bei der CRA-Compliance steht.

Kostenlose Bewertung starten