Am 11. September 2026 tritt die erste verbindliche Frist des EU Cyber Resilience Act in Kraft: Ab diesem Datum müssen Hersteller vernetzter Produkte aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden melden. Noch 85 Tage. Laut Branchenanalysen haben erst 30 Prozent der deutschen KMU konkrete Vorbereitungen gestartet. Bei Verstoß drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Der Countdown läuft.

Was ist der EU Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist die Verordnung (EU) 2024/2847 und das erste horizontale EU-Gesetz, das verbindliche Cybersicherheitsanforderungen für alle “Produkte mit digitalen Elementen” auf dem europäischen Markt festlegt. Die Verordnung wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und trat am 10. Dezember 2024 in Kraft.

Das Ziel: Unsichere digitale Produkte sollen aus dem EU-Binnenmarkt verschwinden. Der CRA behandelt unsichere Software erstmals wie ein physisch unsicheres Produkt. Hersteller, Importeure und Händler müssen Cybersicherheit über den gesamten Lebenszyklus eines Produkts gewährleisten, von der Planung bis zur Einstellung des Supports.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt den CRA als “erste europäische Verordnung, die ein Mindestniveau an Cybersicherheit für alle vernetzten Produkte auf dem EU-Markt festlegt.” Deutschland gilt damit als zuständige nationale Marktüberwachungsbehörde, die Konformitätsbewertungsstellen bis zum 11. Juni 2026 benennen musste.

Der Fahrplan: Alle CRA-Fristen auf einen Blick

Die Umsetzung des Cyber Resilience Act erfolgt in mehreren Phasen. Wer die Fristen kennt, kann gezielt priorisieren. Der kritischste Termin für die meisten Unternehmen ist der 11. September 2026, denn ab dann gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen.

DatumMeilensteinBetroffene
10. Dezember 2024CRA tritt in Kraft (Verordnung EU 2024/2847)Alle Hersteller
Frühjahr 2026Erste EU-Kommissions-Leitlinien veröffentlichtAlle Marktteilnehmer
11. Juni 2026Konformitätsbewertungsstellen benennen (Mitgliedstaaten)Nationale Behörden, BSI
11. September 2026Meldepflicht für Schwachstellen und Vorfälle (Art. 14 CRA)Alle Hersteller
Q3 2026Erste Normungslieferungen (horizontal und produktspezifisch)Normungsgremien
Q4 2026Delegierter Rechtsakt zum EUCC-KonformitätsvermutungZertifizierer
11. Dezember 2027Vollständige CRA-Anwendung, CE-Kennzeichnung verpflichtendAlle Hersteller

Besonders hervorzuheben: Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, unterliegen den vollen CRA-Anforderungen nur dann, wenn sie nach diesem Datum wesentlich verändert werden. Die Meldepflicht nach Artikel 14 gilt jedoch ab dem 11. September 2026 für alle Produkte, die zu diesem Zeitpunkt noch auf dem EU-Markt erhältlich sind.

Welche Produkte fallen unter den CRA?

Der Geltungsbereich des CRA ist bewusst weit gefasst. Erfasst werden alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Netz oder einem anderen Gerät verbunden werden können. Das BSI nennt konkret:

  • Vernetzte Konsumprodukte: Smartphones, Laptops, Smart-Home-Geräte, Smartwatches, vernetztes Spielzeug
  • Industriekomponenten: Speicherprogrammierbare Steuerungen (SPS), Firewalls, Smart-Meter-Gateways
  • Software: Buchhaltungssoftware, Computerspiele, mobile Apps, Firmware
  • B2B-Lösungen: Cloud-Dienste mit Remote-Datenverarbeitung, eingebettete Softwarekomponenten

Ausgenommen sind Produktkategorien mit eigenen Sicherheitsregeln: Medizinprodukte (MDR), Fahrzeuge (NIS2) und Luftfahrtprodukte. Allerdings gilt die Ausnahme nur für das Endprodukt. Eingebettete Software und Firmware-Komponenten in diesen Produkten können dennoch unter den CRA fallen, wenn sie als eigenständige digitale Elemente vermarktet werden.

Branchenanalysten schätzen, dass 50.000 bis 80.000 deutsche Unternehmen CRA-Pflichten unterliegen werden, darunter Maschinen- und Anlagenbauer, IoT-Hersteller, Automobilzulieferer und Softwareentwickler. Deutschland ist als größter Industrieexporteur der EU besonders stark betroffen.

Die 85-Tage-Frist: Was am 11. September 2026 passiert

Die Meldepflicht nach Artikel 14 CRA ist die operativ anspruchsvollste Anforderung des Gesetzes. Ab dem 11. September 2026 müssen Hersteller drei separate Meldungen erstatten, sobald sie von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall Kenntnis erlangen:

  1. Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme an ENISA und die nationale CSIRT (in Deutschland: BSI-CERT)
  2. Folgemeldung innerhalb von 72 Stunden mit aktualisierten technischen Details
  3. Abschlussbericht innerhalb von 14 Tagen mit vollständiger Analyse und ergriffenen Maßnahmen

Die ENISA (Europäische Agentur für Cybersicherheit) betreibt dafür eine zentrale Single Reporting Platform. Stand Anfang Juni 2026 befindet sich die Plattform in der finalen Testphase und soll pünktlich zum 11. September live gehen. Hersteller müssen sich vorab registrieren.

Das Kanzlei-Analyseunternehmen Crowell & Moring warnt: “Der CRA ist in seiner territorialen und sachlichen Reichweite sehr weit gefasst: Er gilt sowohl für Unternehmen innerhalb als auch außerhalb der EU, wenn ihre vernetzten Produkte in der EU verkauft werden. Und er ist ein horizontales Gesetz, das branchen- und industrieneutral ist.” Mit anderen Worten: Auch US-amerikanische oder asiatische Hersteller, die Produkte auf dem deutschen Markt anbieten, müssen ab dem 11. September melden.

Bußgelder: Bis zu 15 Millionen Euro oder 2,5 Prozent Umsatz

Die Sanktionsstruktur des CRA ist streng. Bei Verstößen gegen die wesentlichen Cybersicherheitsanforderungen (Anhang I) sowie die Meldepflichten nach Artikel 14 drohen:

  • Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes (der höhere Betrag gilt)
  • Bei Verstößen gegen andere CRA-Anforderungen: bis zu 10 Millionen Euro oder 2 Prozent des globalen Umsatzes
  • Bei falschen, unvollständigen oder irreführenden Informationen gegenüber Behörden: bis zu 5 Millionen Euro oder 1 Prozent des Umsatzes

Hinzu kommt: Nicht konforme Produkte werden vom Markt genommen. Die finanzielle Konsequenz für Unternehmen ist damit doppelt: Bußgeld plus Umsatzverlust durch Verkaufsverbot.

Das Analyse-Portal ComplyCRA.eu schätzt, dass in den ersten sieben Jahren nach vollständiger Anwendung (2027 bis 2034) zwischen 5.322 und 8.843 Bußgelder ausgesprochen werden. Das projizierte Bußgeldvolumen liegt bei 8,2 bis 13,6 Milliarden Euro. Die erwartete Durchschnittsgeldbuße beträgt 1,54 Millionen Euro, der Median liegt bei 5.000 bis 10.000 Euro. Das deutet darauf hin, dass viele kleine Verstöße, aber auch einige sehr große Fälle erwartet werden.

CRA vs. NIS2: Zwei Gesetze, ein Ziel

Eine häufige Verwechslung in deutschen Unternehmen: CRA und NIS2 sind verschiedene Rechtsinstrumente mit unterschiedlichem Anwendungsbereich. Wer NIS2 kennt, muss den CRA trotzdem neu lernen.

MerkmalCyber Resilience Act (EU 2024/2847)NIS2-Richtlinie (EU 2022/2555)
RegelungsgegenstandProduktsicherheit: vernetzte Hardware und SoftwareBetriebssicherheit: kritische Dienste und Infrastrukturen
AnwendungsbereichAlle Hersteller digitaler Produkte weltweit (EU-Markt)Wesentliche und wichtige Einrichtungen in der EU
Maximales Bußgeld€15 Mio. oder 2,5 % globaler Umsatz€10 Mio. oder 2 % globaler Umsatz
Meldepflicht ab11. September 2026 (Art. 14 CRA)Oktober 2024 (NIS2-Umsetzung)
Support-Pflicht5 Jahre oder ProduktlebensdauerKeine direkte Produktpflicht
CE-KennzeichnungVerpflichtend ab 11. Dezember 2027Nicht anwendbar
AusnahmenKfz, Medizinprodukte, LuftfahrtKeine (gilt für alle kritischen Sektoren)

Der entscheidende Unterschied: Der CRA zielt auf Produkthersteller, NIS2 auf Dienstleister und Betreiber kritischer Infrastrukturen. Ein deutsches Industrieunternehmen kann gleichzeitig beiden Gesetzen unterliegen: als Hersteller vernetzter Maschinen (CRA) und als Betreiber kritischer Produktionsanlagen (NIS2).

Freshfields Bruckhaus Deringer fasst zusammen: “Der CRA gilt für Hersteller, Importeure und Distributoren von kabelgebundenen und drahtlosen Produkten, die mit dem Internet verbunden sind.” Das unterscheidet ihn grundlegend von NIS2, das auf organisatorische Maßnahmen bei Dienstleistern abzielt.

Deutschland im Fokus: 50.000 Firmen, 30 Prozent Bereitschaft

Für die deutsche Wirtschaft ist der CRA von besonderer Bedeutung. Deutschland ist der größte Industrieexporteur der EU und produziert Millionen vernetzter Geräte, Maschinen und Software-Produkte, die auf dem EU-Markt vertrieben werden. Die Sektoren mit dem größten Anpassungsbedarf:

  • Maschinenbau und Industrie 4.0: SPS-Steuerungen, Industriefirewalls, Smart-Factory-Komponenten fallen direkt unter den CRA
  • IoT-Hersteller: Smart-Home-Geräte, Wearables, vernetzte Haushaltsgeräte unterliegen den höchsten Anforderungen
  • Automobilzulieferer: Während das fertige Fahrzeug ausgenommen ist, fallen Infotainment-Systeme, ECUs und Telematiksoftware unter den CRA
  • Mittelständische Softwarehäuser: ERP-Systeme, mobile Apps und Firmware-Updates erfordern neue Vulnerability-Disclosure-Prozesse

Laut Branchenanalysen aus dem Mai 2026 haben erst rund 30 Prozent der deutschen KMU konkrete CRA-Compliance-Maßnahmen eingeleitet. Das spiegelt ein europaweit beobachtetes Muster wider: Großkonzerne sind tendenziell weiter, kleine Hersteller mit weniger als 50 Mitarbeitern oft noch gar nicht vorbereitet. Die CRA-Compliance-Kosten werden auf 10.000 bis 50.000 Euro für kleine Unternehmen und 500.000 bis über 2 Millionen Euro für große Industriefirmen geschätzt, inklusive Konformitätsbewertung, Lieferketten-Audits und dauerhafter Update-Infrastruktur.

Das BSI hat bestätigt, nationale Konformitätsbewertungsstellen pünktlich zum 11. Juni 2026 zu benennen. Damit ist die formale Voraussetzung für spätere CE-Kennzeichnungen unter dem CRA geschaffen. Die eigentliche Belastungsprobe folgt am 11. September 2026.

Open-Source-Software: Was Entwickler wissen müssen

Eine der meistdiskutierten Fragen in der deutschen Tech-Community: Trifft der CRA auch Open-Source-Projekte wie Linux oder den Apache HTTP Server? Die Antwort ist differenziert.

Die Open Source Security Foundation (OpenSSF) stellt klar: “Der CRA bestraft Open-Source-Entwickler nicht, aber er verpflichtet kommerzielle Integratoren, Risiken zu managen.” Konkret bedeutet das:

  • Wer Open-Source-Software kostenlos und nicht-kommerziell anbietet, fällt nicht unter den CRA
  • Wer Open-Source-Komponenten in kommerzielle Produkte integriert und diese auf dem EU-Markt verkauft, ist als Hersteller nach CRA verantwortlich
  • Vulnerability-Handling-Prozesse müssen für alle Komponenten dokumentiert werden, einschließlich Open-Source-Abhängigkeiten
  • Software Bill of Materials (SBOM) wird faktisch zur Pflicht, auch wenn der CRA das Wort SBOM nicht explizit nennt

Für die Praxis bedeutet das: Ein deutsches Startup, das einen IoT-Sensor mit Linux-basierter Firmware vermarktet, ist vollumfänglich CRA-pflichtig. Es muss Schwachstellen in allen Komponenten, einschließlich dem Linux-Kernel, tracken und melden. Das treibt den Bedarf nach professionellen Software Composition Analysis (SCA)-Tools.

Die vier kritischen Compliance-Lücken

Welche konkreten Defizite zeigen sich in deutschen Unternehmen? Analysten und Rechtsberater identifizieren vier systematische Schwächen:

1. Fehlende Lieferkettentransparenz

Viele Hersteller können nicht vollständig nachverfolgen, welche Drittkomponenten (etwa chinesische Mikrochips oder externe Softwaremodule) in ihren Produkten stecken. Der CRA verlangt aber eine lückenlose Dokumentation aller Komponenten und deren Schwachstellen über den gesamten Produktlebenszyklus. Ohne SBOM ist das faktisch unmöglich.

2. Kein Security-by-Design-Prozess

Viele Produkte wurden ohne systematische Threat-Modeling-Phase entwickelt. Der CRA verlangt, dass Sicherheit von Anfang an in die Produktplanung eingebettet wird, nicht nachträglich aufgesetzt. Das erfordert neue Entwicklungsprozesse, neue Rollen (Product Security Engineers) und oft auch neue Tools.

3. Unklare Konformitätsbewertungspfade

Der CRA teilt Produkte in Risikokategorien ein. Für die meisten Standardprodukte reicht eine Selbstbewertung (Conformity Assessment). Für kritische Produkte (Klasse I und II, etwa Industriefirewalls oder Zutrittssysteme) ist eine Bewertung durch Dritte vorgeschrieben. Viele KMU wissen noch nicht, in welche Kategorie ihre Produkte fallen und welche Zertifizierungsstelle zuständig ist.

4. Keine 5-Jahres-Update-Infrastruktur

Der CRA verpflichtet Hersteller, Sicherheitsupdates für mindestens 5 Jahre oder die erwartete Produktlebensdauer bereitzustellen (der kürzere Zeitraum gilt). Für Unternehmen, die Produkte bisher ohne strukturiertes Patch-Management verkauft haben, bedeutet das erhebliche Infrastrukturkosten und personelle Aufstockungen.

Was die Europäische Kommission zum CRA sagt

Die Europäische Kommission beschreibt den CRA als “wichtiges Regelwerk, das sicherstellt, dass alle digitalen Produkte auf dem EU-Markt vor Cyberbedrohungen geschützt sind.” Der Fokus liegt auf dem gesamten Produktlebenszyklus: Geräte und Software müssen so konzipiert, aktualisiert und gewartet werden, dass Benutzer dauerhaft geschützt sind.

Der Implementierungsfahrplan der Kommission sieht für Q3 2026 erste Normungslieferungen vor, sowohl horizontale als auch produktspezifische Standards. Für Q4 2026 ist ein delegierter Rechtsakt geplant, der die Konformitätsvermutung für das European Cybersecurity Certification Scheme on Common Criteria (EUCC) im CRA-Kontext klärt. Bis dahin bestehen für viele Produktkategorien noch erhebliche Rechtsunsicherheiten.

Die Kommission betont die globale Reichweite des Gesetzes: Der CRA fokussiert nicht auf den Herstellungsort, sondern auf die Verfügbarkeit auf dem EU-Markt. Jeder Hersteller, der Produkte in der EU anbieten möchte, muss comply, unabhängig vom Firmensitz. Das betrifft explizit auch US-amerikanische Tech-Konzerne und asiatische Elektronikhersteller.

CRA und DORA: Das doppelte Regulierungspaket

Deutsche Finanzdienstleister und Versicherungen sehen sich ab 2026 einem doppelten Regulierungspaket gegenüber: dem CRA und dem Digital Operational Resilience Act (DORA), der seit dem 17. Januar 2025 gilt. Beide Gesetze greifen ineinander, adressieren aber unterschiedliche Aspekte:

  • DORA regelt die operative Resilienz von Finanzunternehmen: IT-Risikomanagement, Meldepflichten für ICT-Vorfälle, Third-Party-Risiko-Management
  • CRA regelt die Sicherheit der Produkte und Software, die Finanzunternehmen einsetzen und ggf. selbst entwickeln
  • Ein Finanzinstitut, das eigene Software entwickelt und intern nutzt, kann unter beide Gesetze fallen
  • ICT-Drittanbieter, die Software an Finanzunternehmen liefern, müssen CRA-konform sein

Die Schnittmenge ist real und wird in der Praxis zu Doppeldokumentation führen. Rechtsberater empfehlen eine integrierte Compliance-Architektur, die beide Anforderungsrahmen abdeckt. Einen detaillierten Vergleich beider Verordnungen bietet unsere Analyse zur DORA-Verordnung: 22.000 Firmen, 1% Strafe.

Kritische Stimmen: Ist der CRA zu bürokratisch?

Nicht alle Marktteilnehmer begrüßen den CRA vorbehaltlos. Kritiker, darunter Mittelstandsverbände und Open-Source-Organisationen, hatten bei der Entwicklung des Gesetzes erhebliche Einwände erhoben:

  • KMU-Bürokratie: Kleine Hersteller mit 2 bis 10 Entwicklern können Vulnerability-Disclosure-Prozesse, SBOM-Erstellung und 5-Jahres-Update-Infrastruktur kaum ohne externe Hilfe aufbauen. Compliance-Kosten von 10.000 bis 50.000 Euro sind für viele Startups existenzbedrohend.
  • Open-Source-Risiko: Frühe Entwürfe hätten Open-Source-Entwickler direkt in die Pflicht genommen. Nach intensivem Lobbying der Community wurde der endgültige Text angepasst, aber Unsicherheiten bleiben.
  • Normierungsverzögerung: Harmonisierte Standards, die die praktische Umsetzung der CRA-Anforderungen konkretisieren, sind erst für Q3 2026 vorgesehen. Unternehmen müssen also bis zum Meldepflicht-Datum ohne vollständige normative Orientierung planen.
  • Marktfragmentierung: Kritiker warnen, dass europäische Hardwarehersteller gegenüber US-amerikanischen oder chinesischen Anbietern benachteiligt werden, die außerhalb des EU-Marktes weiterhin ohne CRA-Auflagen produzieren.

Hogan Lovells hält dagegen: Die Pflichten des CRA seien “wesentliche Cybersicherheitsanforderungen, die Planung, Entwicklung und Wartung von Produkten mit digitalen Elementen betreffen.” Diese Grundanforderungen seien letztlich ein Minimum, das verantwortungsvolles Produktdesign ohnehin verlangt.

5 Prognosen: Was bis Dezember 2027 passiert

Der CRA befindet sich noch in der Implementierungsphase. Auf Basis des aktuellen Stands ergeben sich fünf konkrete Prognosen für die kommenden 18 Monate:

  1. Die ersten Bußgelder fallen 2028, nicht 2027. Nationale Marktüberwachungsbehörden müssen zunächst Kapazitäten aufbauen. Realistische erste Verfahren sind erst im Jahr nach der vollständigen Anwendung (Dezember 2027) zu erwarten.
  2. Ein Markt für CRA-Compliance-Software entsteht. SCA-Tools, SBOM-Generatoren und Vulnerability-Management-Plattformen werden stark nachgefragt. Deutsche Anbieter wie Siemens, Bosch und spezialisierte Startups werden diese Lücke füllen.
  3. Chinesische IoT-Hersteller verlieren EU-Marktzugang. Günstige Anbieter ohne Infrastruktur für 5-Jahres-Updates werden CE-Kennzeichnung unter dem CRA nicht erlangen. Das verschafft europäischen Qualitätsherstellern einen strukturellen Vorteil.
  4. BSI wird zum zentralen CRA-Ansprechpartner. Als nationale Marktüberwachungsbehörde und CSIRT-Betreiber übernimmt das BSI eine Doppelrolle: Beratung und Kontrolle. Ein BSI-geführtes KMU-Support-Programm ist wahrscheinlich.
  5. Harmonisierte Standards kommen mit Verzögerung. Q3 2026 gilt als Zieltermin für erste Normungslieferungen, aber Standardisierungsprozesse in Europa nehmen regelmäßig länger als geplant. Unternehmen, die auf Standards warten, riskieren, die September-Frist unvorbereitet zu treffen.

Sofortmaßnahmen: Was Unternehmen jetzt tun müssen

85 Tage bis zum 11. September 2026 sind knapp, aber noch ausreichend für einen strukturierten Start. Die prioritären Maßnahmen:

  1. Produktportfolio analysieren: Welche Produkte fallen unter den CRA? Welche Risikokategorie? Selbstbewertung oder Drittbewertung erforderlich?
  2. SBOM erstellen: Eine vollständige Software Bill of Materials für alle CRA-pflichtigen Produkte ist die Basis für Vulnerability-Tracking
  3. Meldeprozess aufbauen: Wer meldet bis zum 11. September über die ENISA-Plattform? Welche internen Eskalationspfade existieren?
  4. Testregistrierung bei ENISA: Die Single Reporting Platform bietet voraussichtlich ab August 2026 einen Testbetrieb an
  5. Rechtlichen Rat einholen: Klärung der eigenen Rolle (Hersteller, Importeur oder Distributor) mit Blick auf die unterschiedlichen Pflichten und Fristen

Fidelis Security empfiehlt einen schrittweisen Ansatz: “Starten Sie im Januar mit der Produktportfolio-Lückenanalyse, im Februar mit einem bereichsübergreifenden Cyber-Resilienz-Team und im März mit dem ersten SBOM-Piloten und einem Incident-Response-Reporting-Test.” Wer diesen Plan im Juni 2026 beginnt, ist noch rechtzeitig vor der September-Frist fertig, wenn er Ressourcen konsequent priorisiert.

Weiterführende Berichte

Verwandte Artikel

FAQ: Cyber Resilience Act

Ab wann gilt der Cyber Resilience Act?

Der CRA ist seit dem 10. Dezember 2024 in Kraft. Die erste operative Pflicht (Meldepflicht für Schwachstellen) gilt ab dem 11. September 2026. Die vollständige Anwendung aller Anforderungen, einschließlich CE-Kennzeichnung, beginnt am 11. Dezember 2027.

Welche Produkte sind vom CRA ausgenommen?

Ausgenommen sind Produkte, die bereits durch eigene EU-Sicherheitsverordnungen abgedeckt sind: Fahrzeuge (EU-Typzulassung), Medizinprodukte (MDR und IVDR) und Luftfahrtprodukte. Eingebettete Softwarekomponenten, die separat vermarktet werden, können trotzdem unter den CRA fallen.

Wie hoch sind die Bußgelder nach dem CRA?

Bei Verstößen gegen die wesentlichen Cybersicherheitsanforderungen oder die Meldepflichten: bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes, je nachdem, was höher ist. Bei anderen Verstößen: bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes.

Gilt der CRA auch für amerikanische oder chinesische Unternehmen?

Ja. Der CRA gilt für alle Unternehmen, die Produkte auf dem EU-Markt anbieten, unabhängig vom Firmensitz. US-amerikanische, chinesische oder indische Hersteller, die in Deutschland verkaufen, sind vollumfänglich CRA-pflichtig.

Was ist die ENISA Single Reporting Platform?

Die von ENISA betriebene zentrale Meldeplattform, über die Hersteller ab dem 11. September 2026 aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden müssen. Sie ermöglicht die effiziente Informationsweitergabe zwischen Herstellern, nationalen CSIRTs und ENISA. Die Plattform befindet sich Stand Juni 2026 in der finalen Testphase.

Trifft der CRA auch Open-Source-Software?

Nicht direkt. Open-Source-Projekte, die kostenlos und nicht-kommerziell bereitgestellt werden, unterliegen nicht dem CRA. Unternehmen, die Open-Source-Komponenten in kommerzielle Produkte integrieren und diese auf dem EU-Markt verkaufen, sind als Hersteller jedoch vollumfänglich CRA-pflichtig und müssen Schwachstellen in allen integrierten Komponenten managen.

Was ist der Unterschied zwischen CRA und NIS2?

Der CRA reguliert die Sicherheit von Produkten (Hardware und Software, die auf dem EU-Markt verkauft werden). NIS2 reguliert die operative Sicherheit von Diensten (Betreiber kritischer Infrastrukturen). Beide Gesetze können parallel gelten: Ein Hersteller vernetzter Industrieanlagen kann sowohl CRA- als auch NIS2-pflichtig sein.

Quellen: BSI Bundesamt für Sicherheit in der Informationstechnik (bsi.bund.de), Europäische Kommission (digital-strategy.ec.europa.eu), Crowell & Moring (crowell.com), Open Source Security Foundation (openssf.org), ComplyCRA.eu (complycra.eu), Fidelis Security (fidelissecurity.com). Stand: 18. Juni 2026.