EU Cyber Resilience Act: Was Hersteller und Software-Anbieter jetzt tun müssen
Kurz gesagt: Der EU Cyber Resilience Act (CRA) macht Cybersicherheit zur Voraussetzung für den Marktzugang. Wer Produkte mit digitalen Elementen in der EU herstellt, importiert oder vertreibt, muss sie künftig von der Entwicklung bis zum Support-Ende absichern und das nachweisen. Die erste bindende Pflicht ist die Meldepflicht ab dem 11. September 2026, die Hauptpflichten folgen ab dem 11. Dezember 2027. Dieser Beitrag zeigt, wer betroffen ist, welche drei Fristen zählen und wie ein realistischer Fahrplan für den Mittelstand aussieht.
Worum es beim Cyber Resilience Act geht
Bisher war Cybersicherheit bei vernetzten Produkten weitgehend Sache des Herstellers und des Marktes. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ändert das grundlegend: Er stellt erstmals verbindliche, EU-weite Cybersicherheitsanforderungen an Produkte mit digitalen Elementen und knüpft die CE-Kennzeichnung an ihre Erfüllung. Ohne diese Kennzeichnung darf ein betroffenes Produkt ab Ende 2027 nicht mehr auf den EU-Markt.
Der entscheidende Perspektivwechsel: Der CRA reguliert nicht Ihr Unternehmen, sondern Ihre Produkte. Sicherheit hört nicht mehr mit dem Verkauf auf, sondern muss über den gesamten Lebenszyklus gewährleistet und dokumentiert werden, von der sicheren Entwicklung über das Schwachstellenmanagement bis zu kostenlosen Sicherheitsupdates während eines festgelegten Support-Zeitraums.
Wer ist betroffen?
Der Anwendungsbereich ist bewusst breit. Erfasst sind Produkte mit digitalen Elementen, also Software- und Hardwareprodukte, deren bestimmungsgemäße Verwendung eine direkte oder indirekte Daten- oder Netzwerkverbindung einschließt. In der Pflicht stehen drei Rollen: Hersteller (mit den weitreichendsten Pflichten), Importeure und Händler.
Gerade im deutschen Mittelstand unterschätzen viele Unternehmen ihre Betroffenheit. Ein paar konkrete Beispiele:
- Maschinen- und Elektronikhersteller (WZ 26 und angrenzend): Ein mittelständischer Hersteller von Industriesteuerungen, Sensorik, Netzwerktechnik oder vernetzten Geräten fällt mit fast seinem gesamten Portfolio unter den CRA. Betroffen ist nicht nur das Endgerät, sondern auch die mitgelieferte Firmware und Konfigurationssoftware.
- Software-Häuser und IT-Dienstleister (WZ 62): Wer eine Anwendung, ein Tool oder eine Plattform kommerziell auf den Markt bringt, ist Hersteller im Sinne des CRA, unabhängig davon, ob Hardware im Spiel ist. Reine Software zählt ausdrücklich mit.
- Software-Verlage und -Anbieter (WZ 58.29): Standardsoftware, die als Produkt verkauft oder lizenziert wird, ist erfasst. Das gilt auch für kleinere Anbieter mit einem einzigen Produkt.
- Wiederverkäufer und Systemhäuser: Wer Produkte importiert oder unter eigenem Namen weitervertreibt, übernimmt eigene Pflichten. Wer ein Produkt unter eigener Marke anbietet oder wesentlich verändert, gilt sogar als Hersteller mit allen Konsequenzen.
Eine generelle Ausnahme für kleine Unternehmen gibt es nicht. Der CRA sieht zwar Erleichterungen vor, etwa bei den Meldefristen für Kleinst- und Kleinunternehmen, die grundlegenden Pflichten bleiben aber bestehen. Ausgenommen sind vor allem Produkte, die bereits sektorspezifisch reguliert sind, etwa Medizinprodukte, Kraftfahrzeuge oder die zivile Luftfahrt. Für freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit bereitgestellt wird, gelten Sonderregeln.
Wenn Sie unsicher sind, ob und in welcher Rolle Sie betroffen sind, liefert der kostenlose CRA-Check in wenigen Minuten eine erste Einordnung.
Was der CRA konkret von Ihren Produkten verlangt
Hinter dem CRA steht kein diffuser Sicherheitsanspruch, sondern ein konkreter Katalog. Anhang I der Verordnung beschreibt die grundlegenden Anforderungen in zwei Teilen: Teil I betrifft die Eigenschaften des Produkts, Teil II die Prozesse des Herstellers beim Umgang mit Schwachstellen.
Auf der Produktseite verlangt der CRA unter anderem, dass ein Produkt ohne bekannte ausnutzbare Schwachstellen ausgeliefert wird, mit einer sicheren Standardkonfiguration startet, seine Angriffsfläche minimiert und die verarbeiteten Daten in Vertraulichkeit und Integrität schützt. Zugriffe müssen kontrolliert, sicherheitsrelevante Ereignisse protokollierbar und Updates sicher einspielbar sein. Für einen mittelständischen Gerätehersteller heißt das konkret: keine fest eingebauten Standardpasswörter mehr, ein sauberer Update-Mechanismus und die Möglichkeit, das Gerät auf einen sicheren Ausgangszustand zurückzusetzen.
Auf der Prozessseite fordert der CRA, dass Sie Schwachstellen in Ihren Produkten systematisch identifizieren und behandeln, eine Software-Stückliste führen, Sicherheitsupdates ohne Verzögerung bereitstellen und eine Richtlinie zur koordinierten Schwachstellen-Offenlegung veröffentlichen. Diese Prozesspflichten sind es, die den größten organisatorischen Wandel auslösen, weil sie ein dauerhaftes Betriebsmodell statt einer einmaligen Anstrengung verlangen.
Wichtig ist die Verhältnismäßigkeit: Der CRA schreibt nicht für jedes Produkt dieselbe Tiefe vor, sondern koppelt den Aufwand an das Risiko. Grundlage ist immer eine dokumentierte Cybersicherheits-Risikobewertung, aus der sich ergibt, welche Anforderungen in welcher Ausprägung für ein konkretes Produkt gelten.
Die drei Fristen-Wellen
Der CRA ist am 10. Dezember 2024 in Kraft getreten, gilt aber nicht auf einen Schlag. Die Anwendung erfolgt gestaffelt in drei Wellen. Diese Reihenfolge sollten Sie kennen, denn sie bestimmt, was Sie zuerst angehen müssen.
Welle 1 - ab 11. Juni 2026: Konformitätsbewertungsstellen. Zunächst treten die Regeln zu den benannten Stellen (Notified Bodies) in Kraft, also der Bewertungsinfrastruktur (Kapitel IV der Verordnung). Für die meisten Hersteller ist das mittelbar relevant: Es zeigt, dass die für wichtige und kritische Produkte nötige externe Prüfkapazität erst aufgebaut wird. Wer eine solche Prüfung braucht, sollte früh planen.
Welle 2 - ab 11. September 2026: Meldepflicht. Ab diesem Datum müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden. Das ist die erste Pflicht, die für den Alltag praktisch bindend wird, und der dringendste Punkt (dazu gleich mehr).
Welle 3 - ab 11. Dezember 2027: Hauptpflichten. Ab hier gilt der CRA in vollem Umfang. Betroffene Produkte dürfen nur noch auf den Markt, wenn sie die grundlegenden Sicherheitsanforderungen erfüllen, eine Konformitätsbewertung durchlaufen haben, technisch dokumentiert und CE-gekennzeichnet sind.
Eine ausführliche Aufschlüsselung aller Pflichten und Stichtage finden Sie in der Übersicht Übergangsfristen und Anwendungsdaten.
Der 11. September 2026 als dringendster Punkt
Wer nur auf den großen Stichtag Ende 2027 schaut, macht einen strategischen Fehler. Die Meldepflicht nach Artikel 14 greift schon gut fünfzehn Monate früher, und sie hat eine Besonderheit, die sie besonders unangenehm macht.
Der entscheidende Unterschied zu allen anderen CRA-Pflichten: Die Meldepflicht gilt nicht nur für neue Produkte. Sie erfasst alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt wurden, einschließlich Bestandsprodukten, die bereits vor dem Stichtag verkauft wurden. Ihr gesamtes aktives Produktportfolio ist also ab September 2026 im Anwendungsbereich, nicht nur das, was Sie ab 2028 ausliefern.
Die Fristen sind eng gestaffelt:
- Frühwarnung binnen 24 Stunden nach Kenntnis einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls,
- ausführliche Meldung binnen 72 Stunden,
- Abschlussbericht binnen 14 Tagen bei Schwachstellen beziehungsweise binnen eines Monats bei schwerwiegenden Vorfällen.
Gemeldet wird gleichzeitig an das zuständige nationale CSIRT und die ENISA über eine zentrale Meldeplattform. Eine 24-Stunden-Frist lässt sich nicht improvisieren. Wer im Ernstfall erst klärt, wer wann an wen meldet, hat die Frist schon verpasst. Deshalb gehört ein vorbereiteter Meldeprozess an die Spitze jeder CRA-Roadmap.
5-Schritte-Plan für den Mittelstand
Der CRA wirkt umfangreich, lässt sich aber in eine klare Reihenfolge bringen. Die folgenden fünf Schritte helfen, ohne Aktionismus voranzukommen.
Schritt 1: Betroffenheit und Rollen klären
Erfassen Sie Ihr Produktportfolio und prüfen Sie je Produkt, ob es digitale Elemente mit Datenverbindung hat. Legen Sie fest, in welcher Rolle Sie stehen: Hersteller, Importeur oder Händler, oft in Kombination. Ordnen Sie jedes betroffene Produkt anschließend einer Risikoklasse zu (Standard, wichtig, kritisch), denn davon hängt ab, ob eine Selbstbewertung genügt oder eine benannte Stelle einzubinden ist. Das Ergebnis ist eine belastbare Produktliste mit Verantwortlichen.
Schritt 2: Meldeprozess bis September 2026 aufsetzen
Ziehen Sie diesen Schritt bewusst vor. Definieren Sie einen Meldeprozess mit klaren Rollen, Eskalationswegen und den Fristen 24h/72h/14 Tage. Legen Sie fest, was bei Ihnen als aktiv ausgenutzte Schwachstelle oder schwerwiegender Vorfall gilt, und stellen Sie sicher, dass solche Ereignisse überhaupt erkannt werden. Spielen Sie den Prozess einmal in einer Übung durch. So halten Sie die 24-Stunden-Frist auch im Stress.
Schritt 3: Schwachstellenmanagement und SBOM etablieren
Das Schwachstellenmanagement ist die dauerhafteste CRA-Pflicht, weil sie über die gesamte Produktlebensdauer läuft. Bauen Sie einen Prozess auf, um Schwachstellen zu erkennen, zu priorisieren und über zeitnahe, in der Regel kostenlose Sicherheitsupdates zu beheben. Führen Sie dazu eine SBOM, also eine Software-Stückliste aller Fremd- und Open-Source-Komponenten, denn nur so lässt sich schnell feststellen, ob ein Produkt von einer neuen Schwachstelle betroffen ist. Richten Sie außerdem eine koordinierte Schwachstellen-Offenlegung mit einer veröffentlichten Kontaktstelle ein und legen Sie den Support-Zeitraum je Produkt fest.
Schritt 4: Security by Design in die Entwicklung bringen
Verankern Sie Sicherheit von der Konzeption an. Grundlage ist eine dokumentierte Cybersicherheits-Risikobewertung je Produkt, aus der Sie die konkreten Maßnahmen ableiten. Dazu zählen sichere Voreinstellungen ab Werk (keine Standardpasswörter, keine offenen Dienste ohne Not), eine minimierte Angriffsfläche und der Schutz der verarbeiteten Daten. Wer diese Prinzipien früh in den Entwicklungsprozess einbaut, spart am Ende den teuren Nachbau kurz vor Marktstart.
Schritt 5: Konformität und Dokumentation für Dezember 2027 vorbereiten
Beginnen Sie rechtzeitig mit der Konformitätsbewertung und CE-Kennzeichnung. Erstellen Sie die technische Dokumentation nach Anhang VII (Produktbeschreibung, Risikobewertung, Support-Zeitraum, Schwachstellenprozess, angewandte Normen) und halten Sie sie aktuell. Für Standardprodukte reicht in der Regel die interne Kontrolle, für wichtige und kritische Produkte kann eine benannte Stelle nötig sein. Kalkulieren Sie hier Vorlauf ein: Externe Prüfkapazitäten werden bis 2027 voraussichtlich knapp.
Einen vollständigen Überblick über alle Pflichten mit Umsetzungsschritten und Nachweisen bietet die Seite Die CRA-Pflichten im Überblick.
Abgrenzung zu NIS2
Viele Unternehmen fragen sich, wie sich der CRA zu NIS2 verhält, weil beide EU-Cybersicherheitsrecht sind. Die Antwort ist einfacher, als es zunächst scheint: NIS2 reguliert Organisationen, der CRA reguliert Produkte.
NIS2 verpflichtet Betreiber und Einrichtungen in kritischen Sektoren, ihren IT-Betrieb sicher aufzustellen, mit Risikomanagement, Meldepflichten und Leitungsverantwortung. Der CRA verpflichtet Hersteller, Importeure und Händler, ihre Produkte sicher zu bauen und zu warten. Ein IT-Hersteller, der zugleich als wichtige Einrichtung gilt, muss beides erfüllen: NIS2 für den eigenen Betrieb und den CRA für seine Produkte.
Die gute Nachricht: Ein sauber aufgebautes Fundament aus Risikomanagement, Schwachstellenprozess und Meldewegen zahlt auf beide Regelwerke ein. Die Meldewege und Nachweise unterscheiden sich aber, deshalb sollten Sie beide Fragen getrennt prüfen. Die Details stehen im direkten Vergleich NIS2 vs CRA und in der Übersicht der 10 NIS2-Pflichten.
Drei häufige Irrtümer
In Gesprächen mit Herstellern begegnen uns immer wieder dieselben Fehleinschätzungen. Drei davon sind besonders folgenreich.
"Wir machen nur Software, uns betrifft das nicht." Das Gegenteil ist der Fall. Der CRA erfasst eigenständig vertriebene Software ausdrücklich. Ein Software-Anbieter ohne jede Hardware ist Hersteller im Sinne der Verordnung und muss die vollen Herstellerpflichten erfüllen.
"Bis Dezember 2027 haben wir noch Zeit." Die Meldepflicht greift bereits ab September 2026, und sie gilt auch für Bestandsprodukte. Wer den früheren Stichtag übersieht, riskiert genau bei der Pflicht ein Versäumnis, die zur höchsten Bußgeldstufe zählt. Zudem brauchen Konformitätsbewertung und Dokumentation Monate an Vorlauf.
"Als kleines Unternehmen sind wir ausgenommen." Der CRA kennt keine generelle Größenausnahme. Kleinst- und Kleinunternehmen erhalten Erleichterungen, etwa bei den Meldefristen, die grundlegenden Anforderungen an sichere Produkte und ein funktionierendes Schwachstellenmanagement gelten aber unabhängig von der Unternehmensgröße.
Fazit
Der Cyber Resilience Act ist kein Randthema für Konzerne, sondern trifft den produzierenden und den softwareschaffenden Mittelstand ins Zentrum. Wer Produkte mit digitalen Elementen anbietet, sollte jetzt handeln, und zwar in der richtigen Reihenfolge: zuerst die Betroffenheit klären, dann den Meldeprozess bis September 2026 aufsetzen und parallel Schwachstellenmanagement und Security by Design etablieren. Die aufwendige Konformitäts- und Dokumentationsarbeit für den Dezember 2027 braucht Vorlauf, sollte also früh starten. Der Zeitpuffer ist kleiner, als er wirkt.
Einen strukturierten Einstieg bietet der kostenlose CRA-Check: Er zeigt Ihnen in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie ansetzen sollten.
Weiterführend
Bereit für weniger Excel
und mehr Struktur?
CompliantDesk bündelt NIS2, DSGVO, ISO 27001 in einem Tool - mit automatischen Folgeschritten aus Ihren Checks.
