Lexikon · Recht & Normen

Cyber Resilience Act (CRA)

Verordnung (EU) 2024/2847

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.

Ausführliche Erklärung

Der CRA (Verordnung (EU) 2024/2847) reguliert nicht Organisationen, sondern Produkte. Betroffen sind Hersteller, Importeure und Händler von Hardware und Software mit digitalen Elementen, die in der EU auf den Markt kommen. Ziel ist ein durchgängig hohes Sicherheitsniveau über den gesamten Produktlebenszyklus.

Der CRA ist am 10. Dezember 2024 in Kraft getreten und gilt gestaffelt: Die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle greift ab dem 11. September 2026, die übrigen Pflichten ab dem 11. Dezember 2027. Verstöße gegen die grundlegenden Anforderungen können mit bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden.

Anders als NIS2, das Betreiber und Einrichtungen adressiert, setzt der CRA am Produkt an. Ein IT-Hersteller kann daher zugleich als NIS2-Einrichtung und als CRA-pflichtiger Hersteller in beide Regelwerke fallen.

Verwandte Begriffe

Cyber Resilience Act (CRA) in der Praxis umsetzen

CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.