Cyber Resilience Act — aktueller Stand: Juli 2026
Wo der EU Cyber Resilience Act gerade steht: welche Pflichten schon gelten, welche Frist als Nächstes kommt und was Hersteller jetzt tun sollten.
Schnellantwort
Stand Juli 2026: Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist in Kraft und befindet sich in der Übergangsphase. Die Regelungen zu notifizierten Stellen gelten seit dem 11. Juni 2026. Die nächste Frist ist der 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen an die ENISA. Die volle Geltung für alle neuen Produkte folgt am 11. Dezember 2027.
Ist der Cyber Resilience Act schon in Kraft?
Ja. Der CRA ist am 10. Dezember 2024 in Kraft getreten und gilt unmittelbar in allen EU-Mitgliedstaaten — nationale Umsetzungsgesetze sind nicht nötig. Die Pflichten greifen gestaffelt über eine dreijährige Übergangsphase; die meisten Hersteller befinden sich deshalb aktuell im Vorbereitungsfenster, nicht in der vollen Durchsetzung.
Welche CRA-Fristen gelten — und welche kommt als Nächstes?
Die Verordnung legt vier Meilensteine fest. So stehen sie im Juli 2026:
| Datum | Meilenstein | Status |
|---|---|---|
| 10.12.2024 | CRA tritt in Kraft — die Übergangsphase für alle Hersteller beginnt | Erreicht |
| 11.06.2026 | Regelungen zu notifizierten Stellen gelten (Kapitel IV) — Konformitätsbewertungsstellen können notifiziert werden | Erreicht |
| 11.09.2026 | Meldepflichten nach Artikel 14 beginnen: aktiv ausgenutzte Schwachstellen und schwere Vorfälle müssen binnen 24 Stunden an die ENISA gemeldet werden — auch für Produkte, die bereits auf dem Markt sind | Als Nächstes |
| 11.12.2027 | Volle Geltung: Jedes neue Produkt mit digitalen Elementen auf dem EU-Markt muss alle CRA-Anforderungen erfüllen | Kommt noch |
Was müssen Hersteller jetzt tun?
Weniger als zwei Monate bis zur Meldepflicht — die Prioritäten im Juli 2026 sind klar:
- 1
Meldeprozess vor dem 11. September 2026 aufbauen
Die 24h/72h/14-Tage-ENISA-Kaskade gilt auch für Bestandsprodukte. Sie brauchen Schwachstellenüberwachung, einen Bewertungsweg und einen Meldeworkflow — laufend, nicht geplant.
- 2
Produktinventar und Risikoklassifizierung abschließen
Welche Produkte fallen unter den CRA, und in welche Anhang-III-Klasse? Die Klassifizierung entscheidet, ob die Selbstbewertung reicht oder eine notifizierte Stelle beteiligt werden muss — deren CRA-Kapazität baut sich gerade erst auf.
- 3
Rückwärts vom Dezember 2027 planen
Ein CRA-Compliance-Projekt dauert typischerweise 9–12 Monate. Produkte, die ab dem 11. Dezember 2027 in Verkehr gehen, brauchen die volle Nachweiskette: Risikobewertung, SBOM, Anhang-VII-Dokumentation, Konformitätserklärung.
Häufige Fragen zum aktuellen Stand des CRA
Ab wann gilt der Cyber Resilience Act?+
Der CRA ist seit dem 10. Dezember 2024 in Kraft, die Pflichten greifen gestaffelt: Die Regelungen zu notifizierten Stellen gelten seit dem 11. Juni 2026, die ENISA-Meldepflichten beginnen am 11. September 2026, die volle Geltung für alle neuen Produkte auf dem EU-Markt am 11. Dezember 2027.
Ist der Cyber Resilience Act schon in Kraft?+
Ja, seit dem 10. Dezember 2024. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedstaaten, ohne nationale Umsetzungsgesetze. Die meisten Pflichten greifen aber erst nach der Übergangsphase — die nächste verbindliche Frist ist die Meldepflicht ab dem 11. September 2026.
Was ändert sich am 11. September 2026?+
Ab diesem Datum müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Vorfälle an die ENISA melden: Frühwarnung binnen 24 Stunden, ergänzende Details binnen 72 Stunden, Abschlussbericht binnen 14 Tagen (Schwachstellen) bzw. einem Monat (Vorfälle). Das gilt auch für Produkte, die bereits auf dem Markt sind.
Gilt der CRA für Produkte, die schon auf dem Markt sind?+
Die vollen Produktanforderungen gelten für Produkte, die ab dem 11. Dezember 2027 auf den EU-Markt kommen. Die Meldepflichten nach Artikel 14 ab dem 11. September 2026 erfassen jedoch auch Bestandsprodukte — Schwachstellen in bereits verkauften Produkten müssen überwacht und gemeldet werden.
Wo finde ich den offiziellen CRA-Text auf Deutsch?+
Der offizielle Text der Verordnung (EU) 2024/2847 ist auf EUR-Lex in allen EU-Sprachen veröffentlicht, inklusive PDF-Fassung aus dem Amtsblatt. Unsere Wissensdatenbank spiegelt den Volltext — alle Artikel, Erwägungsgründe und Anhänge — mit verständlichen Erläuterungen und FAQ.
Wie bereit sind Sie für die nächste Frist?
Die kostenlose CRA-Reifegradanalyse zeigt Ihnen in rund 15 Minuten, wo Ihre Organisation gegenüber den Meilensteinen September 2026 und Dezember 2027 steht — mit priorisierter Roadmap.