Eine neue Ära der digitalen Sicherheit für in der Europäischen Union verkaufte Produkte
Der CRA ist die Antwort der EU auf ein wachsendes globales Problem. Er legt verbindliche Cybersicherheitsanforderungen für alle Hardware- und Softwareprodukte mit digitalen Elementen fest.
Der Cyber Resilience Act wird sicherstellen, dass vernetzte Produkte, die auf den europäischen Markt gebracht werden, von Grund auf sicher sind.
— Thierry Breton, ehem. EU-Kommissar für Binnenmarkt
Der Cyber Resilience Act (CRA) ist eine bahnbrechende EU-Verordnung, die verbindliche, horizontale Cybersicherheitsanforderungen für alle Hardware- und Softwareprodukte mit digitalen Elementen festlegt. Ziel ist es, Verbraucher und Unternehmen zu schützen, indem sichergestellt wird, dass Produkte von Grund auf sicher sind und während ihres gesamten Lebenszyklus bleiben.
Globale Auswirkungen
Geschätzte jährliche globale Kosten der Cyberkriminalität bis 2021 (Quelle: CRA Erwägungsgrund 2, Verordnung (EU) 2024/2847).
Die geschätzten weltweiten jährlichen Kosten der Cyberkriminalität beliefen sich 2021 auf 5,5 Billionen EUR. Vernetzte Produkte weisen ein niedriges Cybersicherheitsniveau auf, das sich in weit verbreiteten Schwachstellen und der unzureichenden Bereitstellung von Sicherheitsupdates widerspiegelt.
— Verordnung (EU) 2024/2847, Erwägungsgrund 2
Der CRA gilt für alle 'Wirtschaftsakteure', die Produkte auf den EU-Markt bringen. Während Hersteller die Hauptverantwortung tragen, haben Importeure und Händler wichtige Überprüfungsaufgaben.
Entwerfen, entwickeln und produzieren konforme Produkte. Müssen Risikobewertung, Schwachstellenmanagement und Berichterstattung durchführen.
Überprüfen die Konformität des Herstellers (z.B. CE-Kennzeichnung, Dokumentation), bevor sie Produkte auf den Markt bringen.
Stellen sicher, dass Produkte die erforderlichen Kennzeichnungen und Informationen haben, bevor sie sie Endnutzern zur Verfügung stellen.
Die meisten Produkte fallen unter eine Standardkategorie, in der Hersteller ihre Sicherheitskonformität selbst bewerten. Kritischere Produkte erfordern strengere, unabhängige Überprüfung.
Standard-Produkte
Wichtige & kritische Produkte
Machen Sie diese schnelle Bewertung, um herauszufinden, ob Ihr Produkt CRA-Konformität erfordert
Anforderungen
Der CRA verschiebt das Sicherheitsparadigma von reaktiven Korrekturen zu proaktiver, lebenslanger Verantwortung. Dies sind die grundlegenden Anforderungen.
Produkte müssen von Anfang an mit Sicherheit als Kernkomponente entwickelt werden und mit aktivierten sicheren Konfigurationen ausgeliefert werden.
Hersteller müssen Prozesse haben, um Schwachstellen effektiv über den erwarteten Lebenszyklus des Produkts (mind. 5 Jahre) zu behandeln und kostenlose, zeitnahe Sicherheitsupdates bereitzustellen.
Jede aktiv ausgenutzte Schwachstelle oder schwerwiegender Sicherheitsvorfall muss innerhalb von 24 Stunden nach Kenntnis den zuständigen EU-Behörden (wie ENISA) gemeldet werden.
Klare Dokumentation, einschließlich einer Software-Stückliste (SBOM) und Benutzeranweisungen zur sicheren Verwendung, muss bereitgestellt werden.
Produkte müssen einer Konformitätsbewertung unterzogen werden und die CE-Kennzeichnung tragen, um zu zeigen, dass sie CRA-Standards erfüllen, bevor sie in der EU verkauft werden.
Produkte müssen Mechanismen enthalten, um unbefugten Zugriff zu verhindern und die Vertraulichkeit und Integrität von Daten zu gewährleisten.
Zeitplan
Der Cyber Resilience Act tritt offiziell in Kraft und startet die Uhr für die Implementierung.
Die 24-Stunden-Schwachstellen- und Vorfallmeldepflichten für Hersteller beginnen.
Vollständige Durchsetzung beginnt. Alle neuen Produkte, die auf den EU-Markt gebracht werden, müssen alle CRA-Anforderungen erfüllen.
Die Verordnung sieht erhebliche finanzielle Strafen vor, um die Einhaltung sicherzustellen und Abkürzungen bei der Sicherheit abzuschrecken.
Des weltweiten Jahresumsatzes
Strafen werden auf nationaler Ebene durchgesetzt
EU-Mitgliedstaaten haben die Befugnis, diese Bußgelder bei Nichteinhaltung der Anforderungen des Cyber Resilience Act zu verhängen.
Der CRA betrifft zahlreiche Sektoren — von Maschinenbau und IoT über Software und SaaS bis hin zu Smart Home. Erfahren Sie, was der CRA konkret für Ihre Branche bedeutet.
Branchen entdeckenFAQ
Häufige Fragen zur CRA-Compliance
Meilensteine, Mittelstands-Herausforderungen und wie Sie die Meldefrist September 2026 einhalten.
Artikel lesenEin 5-Schritte-Umsetzungsplan vom Produktinventar bis zur Audit-fertigen Dokumentation.
Artikel lesenSkalierungsprobleme und warum Excel den CRA im Unternehmensmaßstab nicht bewältigt.
Artikel lesenDer EU Cyber Resilience Act stellt den bedeutendsten Wandel in der Produktcybersicherheitsregulierung seit Einführung der CE-Kennzeichnung dar. Erstmals schafft die Europäische Union einen einheitlichen Rechtsrahmen, der alle Hersteller, Importeure und Distributoren von Produkten mit digitalen Elementen verpflichtet, umfassende Cybersicherheitsstandards zu erfüllen, bevor Produkte auf den EU-Markt gebracht werden. Die Verordnung erfasst Hardwareprodukte mit eingebetteter Software (Industriesteuerungen, IoT-Geräte, Netzwerkausrüstung), eigenständige Software (Desktop-Anwendungen, mobile Apps, SaaS-Plattformen) und Fernverarbeitungslösungen. Zu den Kernforderungen gehören: Risikoanalysen während der Produktentwicklung, Auslieferung mit sicheren Standardkonfigurationen, Erstellung und Bereitstellung von Software Bills of Materials (SBOMs), Aufbau koordinierter Schwachstellen-Offenlegungsprozesse, kostenlose Sicherheitsupdates über die erwartete Produktlebensdauer (mindestens fünf Jahre) und Meldung aktiv ausgenutzter Schwachstellen an die ENISA innerhalb von 24 Stunden. Produkte werden in die Kategorien Standard, Wichtig Klasse I, Wichtig Klasse II und Kritisch eingeteilt, wobei höhere Kategorien Konformitätsbewertungen durch Dritte erfordern. Der CRA trat am 10. Dezember 2024 in Kraft, mit einer Übergangsfrist bis zum 11. Dezember 2027 für die meisten Anforderungen. Die Meldepflichten für Schwachstellen beginnen am 11. September 2026. Kunnus unterstützt Unternehmen bei der Navigation durch diese regulatorische Landschaft mit automatisierten Compliance-Tools, die auf die spezifischen Bedürfnisse jeder Branche zugeschnitten sind.
Unsere kostenlose Reifegradanalyse zeigt Ihnen in 15 Minuten, wo Ihre Organisation steht — und was als Nächstes zu tun ist.
Kostenlose Bewertung startenRegulation (EU) 2024/2847 — Cyber Resilience Act — Amtsblatt der Europäischen Union
ENISA — European Union Agency for Cybersecurity — Zuständig für CRA-Schwachstellenmeldungen
European Commission — CRA Overview — Offizielle CRA-Informationsseite der EU-Kommission
Unsere Plattform macht CRA-Compliance unkompliziert durch automatisiertes SBOM-Management, kontinuierliche Schwachstellenüberwachung und Expertenberatung bei jedem Schritt.