norppa.io
Leitfäden

CRA-Leitfaden · 11 Min.

Der EU Cyber Resilience Act (CRA): was er verlangt, ab wann er gilt und was er für Ihre Lieferkette bedeutet

Der Cyber Resilience Act ist das erste horizontale Cybersicherheitsgesetz der EU für Produkte. Während NIS2 regelt, wie Organisationen ihre Sicherheit betreiben, regelt der CRA die Sicherheit der Hardware und Software, die auf dem EU-Markt bereitgestellt wird (von vernetzten Geräten bis hin zu eigenständiger Software. Er ist bereits in Kraft, seine ersten Meldepflichten beginnen im September 2026, und ab Dezember 2027 darf ein Produkt, das seine Anforderungen nicht erfüllt, in der EU nicht mehr rechtmäßig verkauft werden. Dieser Leitfaden erläutert den Anwendungsbereich, den Zeitplan und die Pflichten) und für die Teams, die diese Produkte beschaffen und von ihnen abhängen, was Sie von Ihren Anbietern verlangen sollten und wie Sie es nachweisen.

Die wichtigsten Punkte

  • Der CRA regelt Produkte mit digitalen Elementen (Hardware und Software), die in der EU verkauft werden; er richtet sich zuerst an Hersteller, mit Pflichten auch für Einführer und Händler.
  • Gestaffelte Termine: in Kraft seit Dezember 2024, Schwachstellen- und Vorfallmeldungen ab dem 11. September 2026, alle wesentlichen Pflichten ab dem 11. Dezember 2027.
  • Reine SaaS-Angebote fallen in der Regel nicht unter den CRA, aber wenn Sie Produkte oder Komponenten beschaffen, weisen Ihre NIS2-Lieferkettenpflicht und der CRA nun in dieselbe Richtung: Verlangen Sie Nachweise für Security by Design und Schwachstellenbehandlung.

Was der CRA ist

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) legt verbindliche Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ fest: jedes Software- oder Hardwareprodukt sowie dessen Datenfernverarbeitungslösungen, das mit einem Gerät oder Netz verbunden werden kann und auf dem EU-Markt bereitgestellt wird. Es handelt sich um eine Verordnung, sie gilt daher unmittelbar in allen 27 Mitgliedstaaten ohne nationale Umsetzung.

Der Großteil der Pflichten liegt beim Hersteller, der das Produkt sicher konzipieren, herstellen und warten sowie die Konformität nachweisen muss (die CE-Kennzeichnung). Einführer und Händler tragen eigene Pflichten. Sie dürfen nur konforme Produkte bereitstellen und müssen tätig werden, wenn sie erfahren, dass ein Produkt nicht konform ist. Die Verordnung definiert außerdem zwei Klassen mit höherem Risiko, „wichtige“ und „kritische“ Produkte (zum Beispiel Passwortmanager, Netzmanagementsysteme oder Hardware-Sicherheitsmodule), für die strengere Konformitätsverfahren gelten.

Im Anwendungsbereich

Auf dem EU-Markt bereitgestellte Hardware- und Softwareprodukte, die mit einem Gerät oder Netz verbunden werden können: vernetzte Geräte, Betriebssysteme, Anwendungen, Bibliotheken und die ihnen wesentlich zugehörigen Datenfernverarbeitungslösungen.

Außerhalb des Anwendungsbereichs (insbesondere SaaS)

Reine Software-as-a-Service ist in der Regel kein „Produkt“ im Sinne des CRA und wird stattdessen von NIS2 erfasst. Es sei denn, eine Datenfernverarbeitungslösung ist für die Funktion eines Produkts wesentlich und wird vom Hersteller dieses Produkts entwickelt. Auch Produkte, die bereits unter sektorspezifische Vorschriften fallen (z. B. Medizinprodukte, Kraftfahrzeuge, bestimmte Luftfahrtprodukte), sind ausgenommen.

Der entscheidende Zeitplan

Der CRA gilt in Stufen. Zwei Termine bestimmen den Großteil der Planung:

10. Dez. 2024

In Kraft getreten. Die Frist beginnt zu laufen; wesentliche Pflichten gelten noch nicht.

11. Sep. 2026

Die Meldepflichten beginnen. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden (eine Frühwarnung binnen 24 Stunden, eine Meldung binnen 72 Stunden und einen Abschlussbericht binnen 14 Tagen) an ihr nationales CSIRT und die ENISA über die einheitliche Meldeplattform.

11. Dez. 2027

Vollständige Anwendung. Alle wesentlichen Anforderungen gelten; nicht konforme Produkte mit digitalen Elementen dürfen nicht mehr auf dem EU-Markt bereitgestellt werden.

Was Hersteller tun müssen

Die wesentlichen Anforderungen erstrecken sich über den gesamten Produktlebenszyklus. Zusammengefasst muss ein konformer Hersteller:

  • Sicher konzipieren (Security by Design und by Default): mit einer sicheren Konfiguration ausliefern, die Angriffsfläche minimieren sowie Vertraulichkeit und Integrität schützen.
  • Schwachstellen über den gesamten Unterstützungszeitraum behandeln. Sie erkennen, dokumentieren und beheben sowie Sicherheitsupdates kostenlos für einen Unterstützungszeitraum bereitstellen, der die erwartete Lebensdauer des Produkts widerspiegelt (die Kommission nennt für viele Produkte mindestens fünf Jahre).
  • Eine Software-Stückliste (SBOM) bereitstellen: ein maschinenlesbares Verzeichnis der Komponenten führen, damit bei einer neuen Schwachstelle in einer Abhängigkeit betroffene Produkte schnell gefunden werden.
  • Eine Richtlinie zur koordinierten Offenlegung von Schwachstellen betreiben: eine Kontaktstelle und ein Verfahren zur Meldung von Schwachstellen veröffentlichen (die Rolle, die security.txt in der Praxis übernimmt).
  • Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden: nach dem Zeitplan 24 Std. / 72 Std. / 14 Tage, ab dem 11. September 2026.
  • Die Konformität nachweisen und die CE-Kennzeichnung anbringen: für die meisten Produkte durch Selbstbewertung, für die Klassen „wichtig“ und „kritisch“ durch eine Bewertung durch Dritte, gestützt auf technische Unterlagen.

Wie sich der CRA zu NIS2 verhält

NIS2 und der CRA ergänzen einander, sie konkurrieren nicht. NIS2 betrifft Einrichtungen (wie eine wesentliche oder wichtige Organisation ihre eigene Sicherheit steuert und betreibt, einschließlich des Cyberrisikos ihrer Lieferanten (Art. 21 Abs. 2 Buchst. d). Der CRA betrifft Produkte) ob die in Verkehr gebrachten Dinge sicher konzipiert und ordnungsgemäß gewartet sind. Das eine reguliert den Betreiber, das andere das, was der Betreiber kauft und einsetzt.

Genau dort treffen sie sich. Die Lieferkettenpflicht einer NIS2-Einrichtung umfasst zunehmend die Frage „sind die Produkte und Komponenten, die wir beschaffen, CRA-bereit?“: behandelt der Anbieter Schwachstellen, liefert er Updates, veröffentlicht er einen Offenlegungskanal und stellt er eine SBOM bereit? Ab Dezember 2027 beantwortet die CE-Kennzeichnung einen Teil davon; bis dahin und auch danach durchgehend brauchen Käufer ihre eigene Gewissheit, dass die Sicherheit eines Anbieters in der Praxis standhält.

Der CRA ist eine Verordnung nach Art des Produktsicherheitsrechts, und einige Abgrenzungen (insbesondere die Grenze zwischen SaaS und Datenfernverarbeitung sowie die Klassen „wichtig“ und „kritisch“) können nuanciert sein. Klären Sie mit fachkundiger Beratung und anhand des amtlichen Textes, wie er auf ein bestimmtes Produkt anzuwenden ist.

Was das für Sie bedeutet

Ihre Pflichten hängen von Ihrer Rolle in der Kette ab. Eine kurze Orientierung:

Ein Hersteller von Produkten mit digitalen Elementen

Der CRA gilt unmittelbar. Bauen Sie die Fähigkeiten für Security by Design, Schwachstellenbehandlung, SBOM, Offenlegung und Meldung jetzt auf: die Meldepflicht gilt ab September 2026 und die vollständige Konformität ist bis Dezember 2027 erforderlich.

Ein Einführer oder Händler

Sie dürfen nur konforme, CE-gekennzeichnete Produkte auf dem EU-Markt bereitstellen, müssen prüfen, ob der Hersteller seine Pflichten erfüllt hat, und müssen tätig werden, und die Behörden informieren —, wenn Sie erfahren, dass ein Produkt ein erhebliches Cybersicherheitsrisiko birgt.

Ein Käufer oder Betreiber (insbesondere unter NIS2)

Der CRA reguliert Sie als Käufer nicht unmittelbar, verändert aber, was bei der Beschaffung als „gut“ gilt. Verlangen Sie Nachweise für Schwachstellenbehandlung, eine SBOM, eine Offenlegungsrichtlinie und einen Unterstützungszeitraum, und überwachen Sie, ob die Anbieter tatsächlich liefern.

Ein reiner SaaS-Anbieter

In der Regel außerhalb des CRA (Sie fallen stattdessen unter NIS2). Es sei denn, Ihr Dienst ist eine Datenfernverarbeitungslösung, die für ein reguliertes Produkt wesentlich ist. So oder so wird die Sorgfaltsprüfung Ihrer Kunden dieselben Sicherheitsfragen stellen.

Quellen: Verordnung (EU) 2024/2847 (Cyber Resilience Act) sowie die Seiten der Europäischen Kommission zum Cyber Resilience Act. Termine und Anwendungsbereich entsprechen der veröffentlichten Verordnung; klären Sie Einzelheiten für Ihre Produkte mit fachkundiger Beratung.

Wie norppa.io hilft

norppa.io macht ein Produkt nicht CRA-konform (das ist Aufgabe des Herstellers) aber es liefert Käufern und Betreibern den externen Nachweis, den Beschaffung und NIS2-Sorgfaltsprüfung nun verlangen. Die Signale, auf denen der CRA aufbaut, sind genau jene, die wir kontinuierlich überwachen: Software am Ende ihres Lebenszyklus und ungepatchte Schwachstellen (schwache Schwachstellenbehandlung), ein fehlender Kanal zur koordinierten Offenlegung sowie exponierte oder fehlkonfigurierte Dienste.

Selbstbewertungsfragebögen erfassen die Teile, die kein externer Scan sieht (Verfügbarkeit der SBOM, den angegebenen Unterstützungs- und Aktualisierungszeitraum, den Konformitätsstatus) und jede Antwort wird neben das aktuelle technische Profil gestellt. Das Ergebnis ist ein aktueller, bestätigter Nachweis des Sicherheitsniveaus eines Anbieters, bereit für Ihre Lieferantenakte, statt einer einmaligen Behauptung.

Nachweis, dass Ihre Anbieter wirklich standhalten

Sehen Sie sich einen Beispiel-Lieferantenbericht an (Befunde, Nachweise und Artikelzuordnung) in etwa zwei Minuten.

Beispielbericht ansehen
Beispiel-Dashboard ansehen

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.