Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
Cyber Resilience Act: Fristen & CRA-Anforderungen | vsca
CRAZuletzt aktualisiert: 2026-06-23

Cyber Resilience Act: Anforderungen, Fristen und Pflichten im Überblick

Zuletzt aktualisiert: 23.06.2026

Der Cyber Resilience Act (CRA) ist die EU-Verordnung, die erstmals einheitliche Cybersicherheits-Anforderungen für „Produkte mit digitalen Elementen" über deren gesamten Lebenszyklus vorschreibt – von Software und Apps über vernetzte Maschinen bis hin zu IoT-Geräten. Anders als bei vielen anderen Regelwerken gibt es hier keine KMU-Ausnahme: Wer ein vernetztes Produkt herstellt, importiert oder vertreibt, wird betroffen sein. Die ersten verbindlichen Pflichten greifen ab dem 11. September 2026 mit der Meldekaskade für aktiv ausgenutzte Schwachstellen, die Vollanwendung folgt am 11. Dezember 2027. Auf dieser Seite erklären wir verständlich, was der Cyber Resilience Act ist, wer betroffen ist, welche Fristen und CRA-Anforderungen gelten – und warum es sich gerade jetzt lohnt, als Early Mover zu handeln.

Zur CRA-Beratungtabea@vsquadrat.de · +49 151 40701461

Inhaltsverzeichnis

  1. Was ist der Cyber Resilience Act?
  2. Wer ist vom CRA betroffen?
  3. Fristen und rechtlicher Stand 2026/2027
  4. Die zentralen Pflichten unter dem CRA
  5. Die CRA-Meldekaskade: 24 Stunden, 72 Stunden, 14 Tage
  6. CRA-Anforderungen: was Sie konkret nachweisen müssen
  7. In sechs Schritten zur CRA-Konformität
  8. Warum sich Early-Mover-Vorbereitung lohnt
  9. Der CRA im Zusammenspiel mit NIS2, DORA und ISO 27001
  10. Häufige Fragen zum Cyber Resilience Act

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act ist eine EU-Verordnung, die horizontale Cybersicherheits-Anforderungen für „Produkte mit digitalen Elementen" einführt. Gemeint sind damit Hard- und Softwareprodukte, die direkt oder indirekt mit einem Gerät oder Netz verbunden werden können – also nahezu alles, was Daten verarbeitet und kommuniziert: Software und Apps, Betriebssysteme, vernetzte Maschinen und Anlagen, Industriesteuerungen, smarte Geräte und IoT-Hardware.

Bislang gab es für die Cybersicherheit solcher Produkte keinen einheitlichen Rahmen. Sicherheit war oft Verhandlungssache zwischen Hersteller und Kund:in – und endete häufig mit der Auslieferung. Der CRA dreht diese Logik um: Cybersicherheit wird zur gesetzlichen Produktanforderung über den gesamten Lebenszyklus. Hersteller müssen Produkte sicher entwickeln („security by design"), Schwachstellen während eines definierten Unterstützungszeitraums beheben und ihre Konformität dokumentieren.

Zwei Eigenschaften machen den CRA besonders relevant:

  • Er ist eine Verordnung, keine Richtlinie: Das bedeutet: Er gilt unmittelbar in allen EU-Mitgliedstaaten und muss nicht erst – wie etwa NIS2 – in nationales Recht umgesetzt werden. Es gibt keinen Spielraum für eine abweichende deutsche Auslegung.
  • Er knüpft an das CE-Kennzeichen an: Künftig wird die CE-Kennzeichnung für betroffene Produkte auch die Einhaltung der CRA-Cybersicherheitsanforderungen bestätigen. Ohne CRA-Konformität dürfen betroffene Produkte ab der Vollanwendung nicht mehr in der EU in Verkehr gebracht werden.

Kurz gesagt: Der Cyber Resilience Act macht Produktsicherheit zur Marktzugangsvoraussetzung. Wer betroffene Produkte verkauft, kann den CRA nicht ignorieren – sondern muss ihn als festen Bestandteil von Entwicklung, Vertrieb und Support einplanen.

Wer ist vom CRA betroffen?

Die wichtigste Botschaft zuerst: Der CRA kennt keine generelle Ausnahme für kleine und mittlere Unternehmen. Auch der Mittelstand und kleinere Hersteller fallen in den Anwendungsbereich, sobald sie ein betroffenes Produkt in der EU bereitstellen.

Betroffene Wirtschaftsakteure

Der CRA adressiert nicht nur Hersteller, sondern die gesamte Wertschöpfungskette eines Produkts:

  • Hersteller von Produkten mit digitalen Elementen – sie tragen die Hauptlast der Pflichten.
  • Importeure, die solche Produkte aus Drittländern in die EU einführen.
  • Händler / Distributoren, die betroffene Produkte auf dem EU-Markt bereitstellen.

Wer ein fremdes Produkt unter eigenem Namen oder eigener Marke vertreibt oder es wesentlich verändert, kann dabei selbst zum Hersteller im Sinne des CRA werden – mit allen damit verbundenen Pflichten.

Typische betroffene Branchen

Aus unserer Beratungspraxis sind besonders diese Bereiche betroffen:

  • Maschinen- und Anlagenbau mit vernetzten Anlagen, Steuerungen und Industrie-4.0-Komponenten.
  • Software- und SaaS-Anbieter – kommerzielle Software fällt grundsätzlich in den Anwendungsbereich.
  • IoT- und Hardwarehersteller – von smarten Geräten bis zu industriellen Sensoren.

Gerade Maschinenbauer, die sich bislang vor allem mit der Maschinenrichtlinie und funktionaler Sicherheit beschäftigt haben, unterschätzen den CRA häufig: Sobald eine Anlage vernetzt ist und Software enthält, kommen Cybersicherheitspflichten hinzu, die vorher kein Thema waren.

Risikoklassen und Konformitätsbewertung

Der CRA unterscheidet Produkte nach ihrem Risiko. Für die große Mehrheit der Produkte genügt eine Selbstbewertung der Konformität durch den Hersteller. Für bestimmte als kritisch oder besonders sensibel eingestufte Produkte (etwa Sicherheitskomponenten) gelten strengere Konformitätsbewertungsverfahren, teils unter Einbindung einer benannten Stelle. Die richtige Einordnung Ihres Produktportfolios ist deshalb einer der ersten und wichtigsten Schritte – sie entscheidet darüber, wie aufwendig der Nachweis wird.

Ob und wie stark Ihre Produkte betroffen sind, klären wir gemeinsam mit Ihnen in der CRA-Beratung – produktbezogen, risikobasiert und dokumentiert.

Fristen und rechtlicher Stand 2026/2027

Beim Cyber Resilience Act gilt eine gestufte Einführung. Zwei Termine sind für Ihre Planung entscheidend:

TerminEreignis
11.9.2026CRA-Meldepflichten (Art. 14) gelten: Meldekaskade für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.
11.12.2027CRA-Vollanwendung: alle Anforderungen gelten, inklusive CE-Kennzeichnung, Konformitätsnachweis und Software-Stückliste (SBOM).

Das bedeutet konkret: Ab dem 11. September 2026 müssen Sie aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle in einem engen Zeitfenster melden können (dazu unten mehr). Ab dem 11. Dezember 2027 muss jedes betroffene Produkt, das Sie in der EU in Verkehr bringen, vollständig CRA-konform sein – inklusive CE-Kennzeichnung und der zugehörigen technischen Dokumentation.

Der Zeithorizont täuscht über den realen Vorlauf hinweg: Wer „security by design", Schwachstellenmanagement und eine vollständige Software-Stückliste erst kurz vor dem Stichtag aufbaut, kommt zu spät. Diese Strukturen entstehen über Produktentwicklungszyklen hinweg – nicht über Nacht. Deshalb ist der CRA ein klassisches Early-Mover-Thema: Der richtige Zeitpunkt zu beginnen ist nicht Ende 2027, sondern jetzt.

Die zentralen Pflichten unter dem CRA

Der Cyber Resilience Act bündelt mehrere Pflichten, die über den gesamten Produktlebenszyklus reichen. Diese sollten Sie kennen.

1. Security by Design und by Default

Produkte müssen so entwickelt, hergestellt und ausgeliefert werden, dass sie ein angemessenes Cybersicherheitsniveau bieten – von Anfang an und in der Standardkonfiguration. Sicherheit ist kein optionales Add-on mehr, sondern Konstruktionsprinzip.

2. Schwachstellenmanagement über den Support-Zeitraum

Hersteller müssen Schwachstellen während eines definierten Unterstützungszeitraums systematisch erkennen, behandeln und – etwa durch Sicherheitsupdates – beheben. Der Support endet also nicht mit dem Verkauf, sondern begleitet das Produkt über seinen Nutzungszeitraum.

3. Melde- und Berichtspflichten

Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen in einem gestuften Verfahren gemeldet werden. Diese Pflicht greift bereits ab dem 11. September 2026 – früher als die übrigen Anforderungen.

4. Konformitätsbewertung, CE-Kennzeichnung und Dokumentation

Hersteller müssen die Konformität ihrer Produkte bewerten, dokumentieren und mit dem CE-Kennzeichen bestätigen. Dazu gehört eine technische Dokumentation, die den Nachweis der Einhaltung belegbar macht – inklusive einer Software-Stückliste (SBOM, Software Bill of Materials), die offenlegt, welche Software-Komponenten in einem Produkt enthalten sind.

Was bei Verstößen droht

Die Sanktionen sind empfindlich: Bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen drohen Geldbußen bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Hinzu kommen marktbezogene Konsequenzen: Behörden können das Inverkehrbringen nicht-konformer Produkte beschränken oder untersagen. Für Hersteller bedeutet das im Extremfall den Verlust des EU-Marktzugangs.

Die CRA-Meldekaskade: 24 Stunden, 72 Stunden, 14 Tage

Die Meldepflichten sind die erste verbindliche Hürde – und in der Praxis besonders anspruchsvoll, weil die Fristen sehr kurz sind. Bei einer aktiv ausgenutzten Schwachstelle gilt ab dem 11. September 2026 folgende gestufte Meldekaskade:

FristMeldung
innerhalb von 24 StundenFrühwarnung an die zuständige Stelle nach Kenntnis der aktiv ausgenutzten Schwachstelle.
innerhalb von 72 StundenVollständigere Meldung mit den verfügbaren Informationen zum Vorfall bzw. zur Schwachstelle.
innerhalb von 14 TagenAbschlussbericht mit Details, Auswirkungen und ergriffenen bzw. geplanten Abhilfemaßnahmen.

Dieser enge Takt – 24 Stunden / 72 Stunden / 14 Tage – lässt sich nicht improvisieren. Sie brauchen vorab definierte Prozesse, klare Verantwortlichkeiten und die Fähigkeit, Schwachstellen überhaupt zeitnah zu erkennen. Wer erst im Ernstfall klärt, wer was bis wann meldet, verliert wertvolle Stunden – und riskiert die Frist. Deshalb gehört der Aufbau eines belastbaren Melde- und Vorfallprozesses zu den ersten Maßnahmen, die wir gemeinsam mit Ihnen angehen.

CRA-Anforderungen: was Sie konkret nachweisen müssen

Die CRA-Anforderungen sind kein abstrakter Wunschzettel, sondern lassen sich in konkrete Handlungsfelder übersetzen. Dazu gehören insbesondere:

  • Sichere Standardkonfiguration und Auslieferung ohne bekannte ausnutzbare Schwachstellen
  • Schutz vor unbefugtem Zugriff durch geeignete Kontroll- und Authentifizierungsmechanismen
  • Schutz der Vertraulichkeit und Integrität verarbeiteter und gespeicherter Daten
  • Datenminimierung – Verarbeitung nur der für den Zweck erforderlichen Daten
  • Schwachstellenmanagement mit einer Coordinated-Vulnerability-Disclosure-Policy und einem Kontaktpunkt für Meldungen
  • Bereitstellung von Sicherheitsupdates über den definierten Unterstützungszeitraum, möglichst automatisiert
  • Software-Stückliste (SBOM) als Bestandteil der technischen Dokumentation
  • Technische Dokumentation und Konformitätserklärung als prüffester Nachweis
  • Wiederherstellbarkeit und Resilienz, etwa durch Schutz vor und Reaktion auf Denial-of-Service-Situationen

Viele dieser Felder müssen nicht von Grund auf neu erfunden werden. Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022 betreibt oder sichere Entwicklungsprozesse etabliert hat, deckt einen Teil dieser Anforderungen bereits ab und kann den Nachweis erleichtern. Ein ISMS ist jedoch kein automatischer CRA-Nachweis – die produktbezogenen CRA-Lücken müssen identifiziert und gezielt geschlossen werden. Mehr zum Managementsystem-Ansatz auf unserer Seite zur ISO 27001.

In sechs Schritten zur CRA-Konformität

Der Weg zur CRA-Konformität lässt sich strukturieren. Wir empfehlen dieses Vorgehen:

  1. Produktportfolio sichten und einordnen: Bestimmen Sie, welche Ihrer Produkte „Produkte mit digitalen Elementen" sind und in welche Risikoklasse sie fallen – das entscheidet über den Aufwand des Nachweises.
  2. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Entwicklungs-, Sicherheits- und Supportprozesse mit den CRA-Anforderungen und legen Sie die Lücken offen.
  3. Meldeprozesse aufsetzen: Richten Sie die Prozesse für die Meldekaskade (24 h / 72 h / 14 Tage) ein und klären Sie Verantwortlichkeiten – diese Pflicht greift bereits ab dem 11. September 2026.
  4. Security by Design und Schwachstellenmanagement verankern: Integrieren Sie sichere Entwicklung, Coordinated Vulnerability Disclosure und ein Update-Management in Ihre Produktentwicklung.
  5. SBOM und technische Dokumentation aufbauen: Erstellen Sie die Software-Stückliste und die technische Dokumentation, die Ihre Konformität belegbar machen.
  6. Konformität bewerten und CE-Kennzeichnung vorbereiten: Führen Sie die passende Konformitätsbewertung durch und bereiten Sie CE-Kennzeichnung und Konformitätserklärung rechtzeitig vor der Vollanwendung am 11. Dezember 2027 vor.

Wenn Sie diese Schritte nicht allein gehen möchten, begleiten wir Sie in der CRA-Beratung durch den gesamten Prozess – pragmatisch, risikobasiert und nach dem Baukastenprinzip: Sie kombinieren genau die Bausteine, die Ihr Reifegrad und Ihr Produktportfolio erfordern.

Warum sich Early-Mover-Vorbereitung lohnt

Der Cyber Resilience Act wirkt mit seinen Stichtagen 2026 und 2027 noch weit entfernt. Genau das ist die Falle. Drei Gründe sprechen dafür, schon jetzt zu beginnen:

  • Produktzyklen sind länger als Compliance-Fristen: Security by Design lässt sich nicht nachträglich in ein fertiges Produkt einbauen. Wer die Anforderungen in die nächste Entwicklungsgeneration einplant, spart später teure Nacharbeit – und vermeidet, ein Produkt kurz vor dem Stichtag nicht ausliefern zu dürfen.
  • Die Meldepflicht kommt zuerst: Schon ab dem 11. September 2026 müssen Sie innerhalb von 24 Stunden reagieren können. Diese Reaktionsfähigkeit ist organisatorisch, nicht über Nacht aufzubauen.
  • CRA-Konformität wird zum Wettbewerbsargument: Geschäftskund:innen werden zunehmend nachweisbare Produktsicherheit verlangen – schon vor der gesetzlichen Pflicht. Wer früh liefert, gewinnt Vertrauen und Aufträge.

Wir verstehen Compliance nicht als Formalismus, sondern als funktionierende Struktur im Alltag Ihres Unternehmens – und sichern Ihr Wachstum ab, bevor Risiken entstehen. Gerade bei einem Thema wie dem CRA, das Recht, Technik und Produktentwicklung verbindet, zahlt sich ganzheitliche Expertise aus.

Der CRA im Zusammenspiel mit NIS2, DORA und ISO 27001

Der Cyber Resilience Act steht selten allein. Er gehört zu einem Bündel von EU-Cybersicherheitsregeln, die ineinandergreifen – mit einem wichtigen Unterschied im Blickwinkel:

  • NIS2 betrifft die Organisation und ihre Netz- und Informationssysteme: Wer in einem der betroffenen Sektoren ab einer bestimmten Größe tätig ist, muss seine eigene IT-Sicherheit risikobasiert absichern. Der CRA betrifft dagegen die Produkte, die ein Unternehmen herstellt oder vertreibt. Viele Unternehmen sind von beidem betroffen – als Organisation und als Hersteller. Mehr unter NIS2.
  • DORA ist das spezielle Cybersicherheitsregime für den Finanzsektor. IT- und Cloud-Dienstleister mit Finanzkunden können über vertragliche Anforderungen mittelbar betroffen sein. Details unter DORA.
  • ISO/IEC 27001:2022 liefert mit dem ISMS-Ansatz ein anerkanntes Gerüst, das Teile der CRA-Anforderungen flankiert und den Nachweis erleichtert. Mehr dazu unter ISO 27001.

Der pragmatische Weg ist, diese Anforderungen nicht in Silos abzuarbeiten, sondern gemeinsam zu denken. Genau dafür verbinden wir juristische Tiefe mit operativer Umsetzung – als Teil unseres Produkts CaaS (Compliance as a Service).

Häufige Fragen zum Cyber Resilience Act

Was ist der Cyber Resilience Act einfach erklärt? Der Cyber Resilience Act ist eine EU-Verordnung, die einheitliche Cybersicherheits-Anforderungen für „Produkte mit digitalen Elementen" – also Software, vernetzte Maschinen und IoT-Geräte – über deren gesamten Lebenszyklus vorschreibt. Hersteller müssen Produkte sicher entwickeln, Schwachstellen beheben, Sicherheitsvorfälle melden und ihre Konformität per CE-Kennzeichnung nachweisen.

Wer ist vom CRA betroffen? Betroffen sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der EU bereitgestellt werden – insbesondere im Maschinen- und Anlagenbau, bei Software- und SaaS-Anbietern sowie bei IoT- und Hardwareherstellern. Der CRA kennt keine generelle KMU-Ausnahme; auch der Mittelstand ist erfasst. Ob und wie stark Ihre Produkte betroffen sind, klären wir in der CRA-Beratung.

Welche Fristen gelten beim Cyber Resilience Act? Zwei Termine sind entscheidend: Ab dem 11. September 2026 gelten die Meldepflichten (Meldekaskade für aktiv ausgenutzte Schwachstellen). Die Vollanwendung mit CE-Kennzeichnung, Konformitätsnachweis und Software-Stückliste (SBOM) folgt am 11. Dezember 2027.

Wie funktioniert die CRA-Meldepflicht? Bei einer aktiv ausgenutzten Schwachstelle gilt ab dem 11. September 2026 eine gestufte Meldekaskade: Frühwarnung innerhalb von 24 Stunden, eine vollständigere Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen. Wegen der kurzen Fristen müssen Melde- und Vorfallprozesse vorab eingerichtet sein.

Welche Strafen drohen bei Verstößen gegen den CRA? Bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen drohen Geldbußen bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Zusätzlich können Behörden nicht-konforme Produkte vom Markt nehmen, was im Extremfall den Verlust des EU-Marktzugangs bedeutet.

Gibt es eine Ausnahme für kleine Unternehmen? Nein. Der Cyber Resilience Act sieht keine generelle Ausnahme für kleine und mittlere Unternehmen vor. Sobald Sie ein betroffenes Produkt in der EU bereitstellen, gelten die Pflichten – unabhängig von Ihrer Unternehmensgröße. Bei der Konformitätsbewertung wird allerdings nach Produktrisiko differenziert.

Bereiten Sie Ihre Produkte frühzeitig auf den CRA vor

Der Cyber Resilience Act macht Cybersicherheit zur Marktzugangsvoraussetzung – und die kurzen Vorlaufzeiten täuschen über den realen Aufwand hinweg. Wir klären die Betroffenheit Ihres Produktportfolios, schließen die Lücken zwischen Soll und Ist und bauen die Prozesse auf, die Sie ab 2026 und 2027 brauchen. Pragmatisch, risikobasiert, nachweisbar – und früh genug, um aus der Pflicht einen Wettbewerbsvorteil zu machen.

Zur CRA-Beratung – im kostenlosen Erstgespräch klären wir Ihren Bedarf und die nächsten Schritte.

Jetzt zur CRA-Beratung

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Diese Seite dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.