{"id":191,"date":"2026-06-18T08:00:00","date_gmt":"2026-06-18T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/18\/eu-cyber-resilience-act-2026\/"},"modified":"2026-06-18T08:00:00","modified_gmt":"2026-06-18T08:00:00","slug":"eu-cyber-resilience-act-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/18\/eu-cyber-resilience-act-2026\/","title":{"rendered":"EU Cyber Resilience Act: 85 Tage bis Meldepflicht, \u20ac15M Strafe [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Am <strong>11. September 2026<\/strong> tritt die erste verbindliche Frist des EU Cyber Resilience Act in Kraft: Ab diesem Datum m\u00fcssen Hersteller vernetzter Produkte aktiv ausgenutzte Sicherheitsl\u00fccken innerhalb von <strong>24 Stunden<\/strong> melden. Noch 85 Tage. Laut Branchenanalysen haben erst <strong>30 Prozent der deutschen KMU<\/strong> konkrete Vorbereitungen gestartet. Bei Versto\u00df drohen Bu\u00dfgelder von bis zu <strong>15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes<\/strong>. Der Countdown l\u00e4uft.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-ist-der-eu-cyber-resilience-act\">Was ist der EU Cyber Resilience Act?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der <strong>Cyber Resilience Act (CRA)<\/strong> ist die Verordnung (EU) 2024\/2847 und das erste horizontale EU-Gesetz, das verbindliche Cybersicherheitsanforderungen f\u00fcr alle &#8220;Produkte mit digitalen Elementen&#8221; auf dem europ\u00e4ischen Markt festlegt. Die Verordnung wurde am 20. November 2024 im Amtsblatt der EU ver\u00f6ffentlicht und trat am <strong>10. Dezember 2024<\/strong> in Kraft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Ziel: Unsichere digitale Produkte sollen aus dem EU-Binnenmarkt verschwinden. Der CRA behandelt unsichere Software erstmals wie ein physisch unsicheres Produkt. Hersteller, Importeure und H\u00e4ndler m\u00fcssen Cybersicherheit \u00fcber den gesamten Lebenszyklus eines Produkts gew\u00e4hrleisten, von der Planung bis zur Einstellung des Supports.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das <strong>Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/strong> beschreibt den CRA als &#8220;erste europ\u00e4ische Verordnung, die ein Mindestniveau an Cybersicherheit f\u00fcr alle vernetzten Produkte auf dem EU-Markt festlegt.&#8221; Deutschland gilt damit als zust\u00e4ndige nationale Markt\u00fcberwachungsbeh\u00f6rde, die Konformit\u00e4tsbewertungsstellen bis zum 11. Juni 2026 benennen musste.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"der-fahrplan-alle-cra-fristen-auf-einen-blick\">Der Fahrplan: Alle CRA-Fristen auf einen Blick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Umsetzung des Cyber Resilience Act erfolgt in mehreren Phasen. Wer die Fristen kennt, kann gezielt priorisieren. Der kritischste Termin f\u00fcr die meisten Unternehmen ist der <strong>11. September 2026<\/strong>, denn ab dann gilt die Meldepflicht f\u00fcr aktiv ausgenutzte Schwachstellen.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Datum<\/th><th>Meilenstein<\/th><th>Betroffene<\/th><\/tr><\/thead><tbody><tr><td>10. Dezember 2024<\/td><td>CRA tritt in Kraft (Verordnung EU 2024\/2847)<\/td><td>Alle Hersteller<\/td><\/tr><tr><td>Fr\u00fchjahr 2026<\/td><td>Erste EU-Kommissions-Leitlinien ver\u00f6ffentlicht<\/td><td>Alle Marktteilnehmer<\/td><\/tr><tr><td>11. Juni 2026<\/td><td>Konformit\u00e4tsbewertungsstellen benennen (Mitgliedstaaten)<\/td><td>Nationale Beh\u00f6rden, BSI<\/td><\/tr><tr><td>11. September 2026<\/td><td>Meldepflicht f\u00fcr Schwachstellen und Vorf\u00e4lle (Art. 14 CRA)<\/td><td>Alle Hersteller<\/td><\/tr><tr><td>Q3 2026<\/td><td>Erste Normungslieferungen (horizontal und produktspezifisch)<\/td><td>Normungsgremien<\/td><\/tr><tr><td>Q4 2026<\/td><td>Delegierter Rechtsakt zum EUCC-Konformit\u00e4tsvermutung<\/td><td>Zertifizierer<\/td><\/tr><tr><td>11. Dezember 2027<\/td><td>Vollst\u00e4ndige CRA-Anwendung, CE-Kennzeichnung verpflichtend<\/td><td>Alle Hersteller<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders hervorzuheben: Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, unterliegen den vollen CRA-Anforderungen nur dann, wenn sie nach diesem Datum wesentlich ver\u00e4ndert werden. Die Meldepflicht nach Artikel 14 gilt jedoch ab dem 11. September 2026 f\u00fcr alle Produkte, die zu diesem Zeitpunkt noch auf dem EU-Markt erh\u00e4ltlich sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"welche-produkte-fallen-unter-den-cra\">Welche Produkte fallen unter den CRA?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Geltungsbereich des CRA ist bewusst weit gefasst. Erfasst werden alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Netz oder einem anderen Ger\u00e4t verbunden werden k\u00f6nnen. Das BSI nennt konkret:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Vernetzte Konsumprodukte:<\/strong> Smartphones, Laptops, Smart-Home-Ger\u00e4te, Smartwatches, vernetztes Spielzeug<\/li><li><strong>Industriekomponenten:<\/strong> Speicherprogrammierbare Steuerungen (SPS), Firewalls, Smart-Meter-Gateways<\/li><li><strong>Software:<\/strong> Buchhaltungssoftware, Computerspiele, mobile Apps, Firmware<\/li><li><strong>B2B-L\u00f6sungen:<\/strong> Cloud-Dienste mit Remote-Datenverarbeitung, eingebettete Softwarekomponenten<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Ausgenommen sind Produktkategorien mit eigenen Sicherheitsregeln: Medizinprodukte (MDR), Fahrzeuge (NIS2) und Luftfahrtprodukte. Allerdings gilt die Ausnahme nur f\u00fcr das Endprodukt. <strong>Eingebettete Software und Firmware-Komponenten<\/strong> in diesen Produkten k\u00f6nnen dennoch unter den CRA fallen, wenn sie als eigenst\u00e4ndige digitale Elemente vermarktet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Branchenanalysten sch\u00e4tzen, dass <strong>50.000 bis 80.000 deutsche Unternehmen<\/strong> CRA-Pflichten unterliegen werden, darunter Maschinen- und Anlagenbauer, IoT-Hersteller, Automobilzulieferer und Softwareentwickler. Deutschland ist als gr\u00f6\u00dfter Industrieexporteur der EU besonders stark betroffen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-85-tage-frist-was-am-11-september-2026-passiert\">Die 85-Tage-Frist: Was am 11. September 2026 passiert<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Meldepflicht nach Artikel 14 CRA ist die operativ anspruchsvollste Anforderung des Gesetzes. Ab dem <strong>11. September 2026<\/strong> m\u00fcssen Hersteller drei separate Meldungen erstatten, sobald sie von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall Kenntnis erlangen:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Erstmeldung innerhalb von 24 Stunden<\/strong> nach Kenntnisnahme an ENISA und die nationale CSIRT (in Deutschland: BSI-CERT)<\/li><li><strong>Folgemeldung innerhalb von 72 Stunden<\/strong> mit aktualisierten technischen Details<\/li><li><strong>Abschlussbericht innerhalb von 14 Tagen<\/strong> mit vollst\u00e4ndiger Analyse und ergriffenen Ma\u00dfnahmen<\/li><\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Die ENISA (Europ\u00e4ische Agentur f\u00fcr Cybersicherheit) betreibt daf\u00fcr eine zentrale <strong>Single Reporting Platform<\/strong>. Stand Anfang Juni 2026 befindet sich die Plattform in der finalen Testphase und soll p\u00fcnktlich zum 11. September live gehen. Hersteller m\u00fcssen sich vorab registrieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Kanzlei-Analyseunternehmen Crowell &#038; Moring warnt: &#8220;Der CRA ist in seiner territorialen und sachlichen Reichweite sehr weit gefasst: Er gilt sowohl f\u00fcr Unternehmen innerhalb als auch au\u00dferhalb der EU, wenn ihre vernetzten Produkte in der EU verkauft werden. Und er ist ein horizontales Gesetz, das branchen- und industrieneutral ist.&#8221; Mit anderen Worten: Auch US-amerikanische oder asiatische Hersteller, die Produkte auf dem deutschen Markt anbieten, m\u00fcssen ab dem 11. September melden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bussgelder-bis-zu-15-millionen-euro-oder-25-prozent-umsatz\">Bu\u00dfgelder: Bis zu 15 Millionen Euro oder 2,5 Prozent Umsatz<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Sanktionsstruktur des CRA ist streng. Bei Verst\u00f6\u00dfen gegen die wesentlichen Cybersicherheitsanforderungen (Anhang I) sowie die Meldepflichten nach Artikel 14 drohen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Bis zu 15 Millionen Euro<\/strong> oder 2,5 Prozent des weltweiten Jahresumsatzes (der h\u00f6here Betrag gilt)<\/li><li>Bei Verst\u00f6\u00dfen gegen andere CRA-Anforderungen: bis zu <strong>10 Millionen Euro<\/strong> oder 2 Prozent des globalen Umsatzes<\/li><li>Bei falschen, unvollst\u00e4ndigen oder irref\u00fchrenden Informationen gegen\u00fcber Beh\u00f6rden: bis zu <strong>5 Millionen Euro<\/strong> oder 1 Prozent des Umsatzes<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Hinzu kommt: Nicht konforme Produkte werden vom Markt genommen. Die finanzielle Konsequenz f\u00fcr Unternehmen ist damit doppelt: Bu\u00dfgeld plus Umsatzverlust durch Verkaufsverbot.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Analyse-Portal ComplyCRA.eu sch\u00e4tzt, dass in den ersten sieben Jahren nach vollst\u00e4ndiger Anwendung (2027 bis 2034) zwischen <strong>5.322 und 8.843 Bu\u00dfgelder<\/strong> ausgesprochen werden. Das projizierte Bu\u00dfgeldvolumen liegt bei <strong>8,2 bis 13,6 Milliarden Euro<\/strong>. Die erwartete Durchschnittsgeldbu\u00dfe betr\u00e4gt 1,54 Millionen Euro, der Median liegt bei 5.000 bis 10.000 Euro. Das deutet darauf hin, dass viele kleine Verst\u00f6\u00dfe, aber auch einige sehr gro\u00dfe F\u00e4lle erwartet werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cra-vs-nis2-zwei-gesetze-ein-ziel\">CRA vs. NIS2: Zwei Gesetze, ein Ziel<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Eine h\u00e4ufige Verwechslung in deutschen Unternehmen: CRA und NIS2 sind verschiedene Rechtsinstrumente mit unterschiedlichem Anwendungsbereich. Wer NIS2 kennt, muss den CRA trotzdem neu lernen.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>Cyber Resilience Act (EU 2024\/2847)<\/th><th>NIS2-Richtlinie (EU 2022\/2555)<\/th><\/tr><\/thead><tbody><tr><td>Regelungsgegenstand<\/td><td>Produktsicherheit: vernetzte Hardware und Software<\/td><td>Betriebssicherheit: kritische Dienste und Infrastrukturen<\/td><\/tr><tr><td>Anwendungsbereich<\/td><td>Alle Hersteller digitaler Produkte weltweit (EU-Markt)<\/td><td>Wesentliche und wichtige Einrichtungen in der EU<\/td><\/tr><tr><td>Maximales Bu\u00dfgeld<\/td><td>\u20ac15 Mio. oder 2,5 % globaler Umsatz<\/td><td>\u20ac10 Mio. oder 2 % globaler Umsatz<\/td><\/tr><tr><td>Meldepflicht ab<\/td><td>11. September 2026 (Art. 14 CRA)<\/td><td>Oktober 2024 (NIS2-Umsetzung)<\/td><\/tr><tr><td>Support-Pflicht<\/td><td>5 Jahre oder Produktlebensdauer<\/td><td>Keine direkte Produktpflicht<\/td><\/tr><tr><td>CE-Kennzeichnung<\/td><td>Verpflichtend ab 11. Dezember 2027<\/td><td>Nicht anwendbar<\/td><\/tr><tr><td>Ausnahmen<\/td><td>Kfz, Medizinprodukte, Luftfahrt<\/td><td>Keine (gilt f\u00fcr alle kritischen Sektoren)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Der entscheidende Unterschied: Der CRA zielt auf <strong>Produkthersteller<\/strong>, NIS2 auf <strong>Dienstleister und Betreiber kritischer Infrastrukturen<\/strong>. Ein deutsches Industrieunternehmen kann gleichzeitig beiden Gesetzen unterliegen: als Hersteller vernetzter Maschinen (CRA) und als Betreiber kritischer Produktionsanlagen (NIS2).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Freshfields Bruckhaus Deringer fasst zusammen: &#8220;Der CRA gilt f\u00fcr Hersteller, Importeure und Distributoren von kabelgebundenen und drahtlosen Produkten, die mit dem Internet verbunden sind.&#8221; Das unterscheidet ihn grundlegend von NIS2, das auf organisatorische Ma\u00dfnahmen bei Dienstleistern abzielt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"deutschland-im-fokus-50-000-firmen-30-prozent-bereitschaft\">Deutschland im Fokus: 50.000 Firmen, 30 Prozent Bereitschaft<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die deutsche Wirtschaft ist der CRA von besonderer Bedeutung. Deutschland ist der <strong>gr\u00f6\u00dfte Industrieexporteur der EU<\/strong> und produziert Millionen vernetzter Ger\u00e4te, Maschinen und Software-Produkte, die auf dem EU-Markt vertrieben werden. Die Sektoren mit dem gr\u00f6\u00dften Anpassungsbedarf:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Maschinenbau und Industrie 4.0:<\/strong> SPS-Steuerungen, Industriefirewalls, Smart-Factory-Komponenten fallen direkt unter den CRA<\/li><li><strong>IoT-Hersteller:<\/strong> Smart-Home-Ger\u00e4te, Wearables, vernetzte Haushaltsger\u00e4te unterliegen den h\u00f6chsten Anforderungen<\/li><li><strong>Automobilzulieferer:<\/strong> W\u00e4hrend das fertige Fahrzeug ausgenommen ist, fallen Infotainment-Systeme, ECUs und Telematiksoftware unter den CRA<\/li><li><strong>Mittelst\u00e4ndische Softwareh\u00e4user:<\/strong> ERP-Systeme, mobile Apps und Firmware-Updates erfordern neue Vulnerability-Disclosure-Prozesse<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Laut Branchenanalysen aus dem Mai 2026 haben erst rund <strong>30 Prozent der deutschen KMU<\/strong> konkrete CRA-Compliance-Ma\u00dfnahmen eingeleitet. Das spiegelt ein europaweit beobachtetes Muster wider: Gro\u00dfkonzerne sind tendenziell weiter, kleine Hersteller mit weniger als 50 Mitarbeitern oft noch gar nicht vorbereitet. Die CRA-Compliance-Kosten werden auf <strong>10.000 bis 50.000 Euro<\/strong> f\u00fcr kleine Unternehmen und <strong>500.000 bis \u00fcber 2 Millionen Euro<\/strong> f\u00fcr gro\u00dfe Industriefirmen gesch\u00e4tzt, inklusive Konformit\u00e4tsbewertung, Lieferketten-Audits und dauerhafter Update-Infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das BSI hat best\u00e4tigt, nationale Konformit\u00e4tsbewertungsstellen p\u00fcnktlich zum 11. Juni 2026 zu benennen. Damit ist die formale Voraussetzung f\u00fcr sp\u00e4tere CE-Kennzeichnungen unter dem CRA geschaffen. Die eigentliche Belastungsprobe folgt am <strong>11. September 2026<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"open-source-software-was-entwickler-wissen-muessen\">Open-Source-Software: Was Entwickler wissen m\u00fcssen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Eine der meistdiskutierten Fragen in der deutschen Tech-Community: Trifft der CRA auch Open-Source-Projekte wie Linux oder den Apache HTTP Server? Die Antwort ist differenziert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die <strong>Open Source Security Foundation (OpenSSF)<\/strong> stellt klar: &#8220;Der CRA bestraft Open-Source-Entwickler nicht, aber er verpflichtet kommerzielle Integratoren, Risiken zu managen.&#8221; Konkret bedeutet das:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Wer Open-Source-Software <strong>kostenlos und nicht-kommerziell<\/strong> anbietet, f\u00e4llt nicht unter den CRA<\/li><li>Wer Open-Source-Komponenten in kommerzielle Produkte integriert und diese auf dem EU-Markt verkauft, ist <strong>als Hersteller nach CRA verantwortlich<\/strong><\/li><li>Vulnerability-Handling-Prozesse m\u00fcssen f\u00fcr alle Komponenten dokumentiert werden, einschlie\u00dflich Open-Source-Abh\u00e4ngigkeiten<\/li><li>Software Bill of Materials (SBOM) wird faktisch zur Pflicht, auch wenn der CRA das Wort SBOM nicht explizit nennt<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die Praxis bedeutet das: Ein deutsches Startup, das einen IoT-Sensor mit Linux-basierter Firmware vermarktet, ist vollumf\u00e4nglich CRA-pflichtig. Es muss Schwachstellen in allen Komponenten, einschlie\u00dflich dem Linux-Kernel, tracken und melden. Das treibt den Bedarf nach professionellen <strong>Software Composition Analysis (SCA)<\/strong>-Tools.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-vier-kritischen-compliance-luecken\">Die vier kritischen Compliance-L\u00fccken<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Welche konkreten Defizite zeigen sich in deutschen Unternehmen? Analysten und Rechtsberater identifizieren vier systematische Schw\u00e4chen:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"1-fehlende-lieferkettentransparenz\">1. Fehlende Lieferkettentransparenz<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Hersteller k\u00f6nnen nicht vollst\u00e4ndig nachverfolgen, welche Drittkomponenten (etwa chinesische Mikrochips oder externe Softwaremodule) in ihren Produkten stecken. Der CRA verlangt aber eine l\u00fcckenlose Dokumentation aller Komponenten und deren Schwachstellen \u00fcber den gesamten Produktlebenszyklus. Ohne SBOM ist das faktisch unm\u00f6glich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"2-kein-security-by-design-prozess\">2. Kein Security-by-Design-Prozess<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Produkte wurden ohne systematische Threat-Modeling-Phase entwickelt. Der CRA verlangt, dass Sicherheit von Anfang an in die Produktplanung eingebettet wird, nicht nachtr\u00e4glich aufgesetzt. Das erfordert neue Entwicklungsprozesse, neue Rollen (Product Security Engineers) und oft auch neue Tools.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"3-unklare-konformitaetsbewertungspfade\">3. Unklare Konformit\u00e4tsbewertungspfade<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA teilt Produkte in Risikokategorien ein. F\u00fcr die meisten Standardprodukte reicht eine Selbstbewertung (Conformity Assessment). F\u00fcr kritische Produkte (Klasse I und II, etwa Industriefirewalls oder Zutrittssysteme) ist eine Bewertung durch Dritte vorgeschrieben. Viele KMU wissen noch nicht, in welche Kategorie ihre Produkte fallen und welche Zertifizierungsstelle zust\u00e4ndig ist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"4-keine-5-jahres-update-infrastruktur\">4. Keine 5-Jahres-Update-Infrastruktur<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA verpflichtet Hersteller, Sicherheitsupdates f\u00fcr mindestens <strong>5 Jahre oder die erwartete Produktlebensdauer<\/strong> bereitzustellen (der k\u00fcrzere Zeitraum gilt). F\u00fcr Unternehmen, die Produkte bisher ohne strukturiertes Patch-Management verkauft haben, bedeutet das erhebliche Infrastrukturkosten und personelle Aufstockungen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-die-europaeische-kommission-zum-cra-sagt\">Was die Europ\u00e4ische Kommission zum CRA sagt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Europ\u00e4ische Kommission beschreibt den CRA als &#8220;wichtiges Regelwerk, das sicherstellt, dass alle digitalen Produkte auf dem EU-Markt vor Cyberbedrohungen gesch\u00fctzt sind.&#8221; Der Fokus liegt auf dem <strong>gesamten Produktlebenszyklus<\/strong>: Ger\u00e4te und Software m\u00fcssen so konzipiert, aktualisiert und gewartet werden, dass Benutzer dauerhaft gesch\u00fctzt sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Implementierungsfahrplan der Kommission sieht f\u00fcr Q3 2026 erste Normungslieferungen vor, sowohl horizontale als auch produktspezifische Standards. F\u00fcr Q4 2026 ist ein delegierter Rechtsakt geplant, der die Konformit\u00e4tsvermutung f\u00fcr das European Cybersecurity Certification Scheme on Common Criteria (EUCC) im CRA-Kontext kl\u00e4rt. Bis dahin bestehen f\u00fcr viele Produktkategorien noch erhebliche Rechtsunsicherheiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Kommission betont die <strong>globale Reichweite<\/strong> des Gesetzes: Der CRA fokussiert nicht auf den Herstellungsort, sondern auf die Verf\u00fcgbarkeit auf dem EU-Markt. Jeder Hersteller, der Produkte in der EU anbieten m\u00f6chte, muss comply, unabh\u00e4ngig vom Firmensitz. Das betrifft explizit auch US-amerikanische Tech-Konzerne und asiatische Elektronikhersteller.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cra-und-dora-das-doppelte-regulierungspaket\">CRA und DORA: Das doppelte Regulierungspaket<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Deutsche Finanzdienstleister und Versicherungen sehen sich ab 2026 einem doppelten Regulierungspaket gegen\u00fcber: dem CRA und dem <strong>Digital Operational Resilience Act (DORA)<\/strong>, der seit dem 17. Januar 2025 gilt. Beide Gesetze greifen ineinander, adressieren aber unterschiedliche Aspekte:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>DORA<\/strong> regelt die operative Resilienz von Finanzunternehmen: IT-Risikomanagement, Meldepflichten f\u00fcr ICT-Vorf\u00e4lle, Third-Party-Risiko-Management<\/li><li><strong>CRA<\/strong> regelt die Sicherheit der Produkte und Software, die Finanzunternehmen einsetzen und ggf. selbst entwickeln<\/li><li>Ein Finanzinstitut, das eigene Software entwickelt und intern nutzt, kann unter beide Gesetze fallen<\/li><li>ICT-Drittanbieter, die Software an Finanzunternehmen liefern, m\u00fcssen CRA-konform sein<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die Schnittmenge ist real und wird in der Praxis zu Doppeldokumentation f\u00fchren. Rechtsberater empfehlen eine integrierte Compliance-Architektur, die beide Anforderungsrahmen abdeckt. Einen detaillierten Vergleich beider Verordnungen bietet unsere Analyse zur <a href=\"\/de\/dora-verordnung\/\">DORA-Verordnung: 22.000 Firmen, 1% Strafe<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"kritische-stimmen-ist-der-cra-zu-buerokratisch\">Kritische Stimmen: Ist der CRA zu b\u00fcrokratisch?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Nicht alle Marktteilnehmer begr\u00fc\u00dfen den CRA vorbehaltlos. Kritiker, darunter Mittelstandsverb\u00e4nde und Open-Source-Organisationen, hatten bei der Entwicklung des Gesetzes erhebliche Einw\u00e4nde erhoben:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>KMU-B\u00fcrokratie:<\/strong> Kleine Hersteller mit 2 bis 10 Entwicklern k\u00f6nnen Vulnerability-Disclosure-Prozesse, SBOM-Erstellung und 5-Jahres-Update-Infrastruktur kaum ohne externe Hilfe aufbauen. Compliance-Kosten von 10.000 bis 50.000 Euro sind f\u00fcr viele Startups existenzbedrohend.<\/li><li><strong>Open-Source-Risiko:<\/strong> Fr\u00fche Entw\u00fcrfe h\u00e4tten Open-Source-Entwickler direkt in die Pflicht genommen. Nach intensivem Lobbying der Community wurde der endg\u00fcltige Text angepasst, aber Unsicherheiten bleiben.<\/li><li><strong>Normierungsverz\u00f6gerung:<\/strong> Harmonisierte Standards, die die praktische Umsetzung der CRA-Anforderungen konkretisieren, sind erst f\u00fcr Q3 2026 vorgesehen. Unternehmen m\u00fcssen also bis zum Meldepflicht-Datum ohne vollst\u00e4ndige normative Orientierung planen.<\/li><li><strong>Marktfragmentierung:<\/strong> Kritiker warnen, dass europ\u00e4ische Hardwarehersteller gegen\u00fcber US-amerikanischen oder chinesischen Anbietern benachteiligt werden, die au\u00dferhalb des EU-Marktes weiterhin ohne CRA-Auflagen produzieren.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Hogan Lovells h\u00e4lt dagegen: Die Pflichten des CRA seien &#8220;wesentliche Cybersicherheitsanforderungen, die Planung, Entwicklung und Wartung von Produkten mit digitalen Elementen betreffen.&#8221; Diese Grundanforderungen seien letztlich ein Minimum, das verantwortungsvolles Produktdesign ohnehin verlangt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognosen-was-bis-dezember-2027-passiert\">5 Prognosen: Was bis Dezember 2027 passiert<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA befindet sich noch in der Implementierungsphase. Auf Basis des aktuellen Stands ergeben sich f\u00fcnf konkrete Prognosen f\u00fcr die kommenden 18 Monate:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Die ersten Bu\u00dfgelder fallen 2028, nicht 2027.<\/strong> Nationale Markt\u00fcberwachungsbeh\u00f6rden m\u00fcssen zun\u00e4chst Kapazit\u00e4ten aufbauen. Realistische erste Verfahren sind erst im Jahr nach der vollst\u00e4ndigen Anwendung (Dezember 2027) zu erwarten.<\/li><li><strong>Ein Markt f\u00fcr CRA-Compliance-Software entsteht.<\/strong> SCA-Tools, SBOM-Generatoren und Vulnerability-Management-Plattformen werden stark nachgefragt. Deutsche Anbieter wie Siemens, Bosch und spezialisierte Startups werden diese L\u00fccke f\u00fcllen.<\/li><li><strong>Chinesische IoT-Hersteller verlieren EU-Marktzugang.<\/strong> G\u00fcnstige Anbieter ohne Infrastruktur f\u00fcr 5-Jahres-Updates werden CE-Kennzeichnung unter dem CRA nicht erlangen. Das verschafft europ\u00e4ischen Qualit\u00e4tsherstellern einen strukturellen Vorteil.<\/li><li><strong>BSI wird zum zentralen CRA-Ansprechpartner.<\/strong> Als nationale Markt\u00fcberwachungsbeh\u00f6rde und CSIRT-Betreiber \u00fcbernimmt das BSI eine Doppelrolle: Beratung und Kontrolle. Ein BSI-gef\u00fchrtes KMU-Support-Programm ist wahrscheinlich.<\/li><li><strong>Harmonisierte Standards kommen mit Verz\u00f6gerung.<\/strong> Q3 2026 gilt als Zieltermin f\u00fcr erste Normungslieferungen, aber Standardisierungsprozesse in Europa nehmen regelm\u00e4\u00dfig l\u00e4nger als geplant. Unternehmen, die auf Standards warten, riskieren, die September-Frist unvorbereitet zu treffen.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sofortmassnahmen-was-unternehmen-jetzt-tun-muessen\">Sofortma\u00dfnahmen: Was Unternehmen jetzt tun m\u00fcssen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">85 Tage bis zum 11. September 2026 sind knapp, aber noch ausreichend f\u00fcr einen strukturierten Start. Die priorit\u00e4ren Ma\u00dfnahmen:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Produktportfolio analysieren:<\/strong> Welche Produkte fallen unter den CRA? Welche Risikokategorie? Selbstbewertung oder Drittbewertung erforderlich?<\/li><li><strong>SBOM erstellen:<\/strong> Eine vollst\u00e4ndige Software Bill of Materials f\u00fcr alle CRA-pflichtigen Produkte ist die Basis f\u00fcr Vulnerability-Tracking<\/li><li><strong>Meldeprozess aufbauen:<\/strong> Wer meldet bis zum 11. September \u00fcber die ENISA-Plattform? Welche internen Eskalationspfade existieren?<\/li><li><strong>Testregistrierung bei ENISA:<\/strong> Die Single Reporting Platform bietet voraussichtlich ab August 2026 einen Testbetrieb an<\/li><li><strong>Rechtlichen Rat einholen:<\/strong> Kl\u00e4rung der eigenen Rolle (Hersteller, Importeur oder Distributor) mit Blick auf die unterschiedlichen Pflichten und Fristen<\/li><\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Fidelis Security empfiehlt einen schrittweisen Ansatz: &#8220;Starten Sie im Januar mit der Produktportfolio-L\u00fcckenanalyse, im Februar mit einem bereichs\u00fcbergreifenden Cyber-Resilienz-Team und im M\u00e4rz mit dem ersten SBOM-Piloten und einem Incident-Response-Reporting-Test.&#8221; Wer diesen Plan im Juni 2026 beginnt, ist noch rechtzeitig vor der September-Frist fertig, wenn er Ressourcen konsequent priorisiert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"weiterfuehrende-berichte\">Weiterf\u00fchrende Berichte<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"verwandte-artikel\">Verwandte Artikel<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/de\/dora-verordnung\/\">DORA-Verordnung: 22.000 Firmen, 1% Strafe [2026]<\/a><\/li><li><a href=\"\/de\/dach-cyberangriffe-2026-deutschland\/\">DACH: Cyberangriffe um 124% gestiegen, 82% treffen Deutschland [2026]<\/a><\/li><li><a href=\"\/de\/bka-cybercrime-bericht-2025\/\">BKA 2025: 333.922 Cyberf\u00e4lle, \u20ac202 Mrd. Schaden [2026]<\/a><\/li><li><a href=\"\/de\/enisa-ransomware-bedrohungslage-2026\/\">Ransomware: 81% aller EU-Cyberangriffe [2026]<\/a><\/li><li><a href=\"\/de\/noname057-ddos-deutschland-2026\/\">NoName057(16): 14 DDoS-Wellen gegen Deutschland [2026]<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-cyber-resilience-act\">FAQ: Cyber Resilience Act<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ab-wann-gilt-der-cyber-resilience-act\">Ab wann gilt der Cyber Resilience Act?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA ist seit dem 10. Dezember 2024 in Kraft. Die erste operative Pflicht (Meldepflicht f\u00fcr Schwachstellen) gilt ab dem 11. September 2026. Die vollst\u00e4ndige Anwendung aller Anforderungen, einschlie\u00dflich CE-Kennzeichnung, beginnt am 11. Dezember 2027.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-produkte-sind-vom-cra-ausgenommen\">Welche Produkte sind vom CRA ausgenommen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ausgenommen sind Produkte, die bereits durch eigene EU-Sicherheitsverordnungen abgedeckt sind: Fahrzeuge (EU-Typzulassung), Medizinprodukte (MDR und IVDR) und Luftfahrtprodukte. Eingebettete Softwarekomponenten, die separat vermarktet werden, k\u00f6nnen trotzdem unter den CRA fallen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-hoch-sind-die-bussgelder-nach-dem-cra\">Wie hoch sind die Bu\u00dfgelder nach dem CRA?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Bei Verst\u00f6\u00dfen gegen die wesentlichen Cybersicherheitsanforderungen oder die Meldepflichten: bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes, je nachdem, was h\u00f6her ist. Bei anderen Verst\u00f6\u00dfen: bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"gilt-der-cra-auch-fuer-amerikanische-oder-chinesische-unternehmen\">Gilt der CRA auch f\u00fcr amerikanische oder chinesische Unternehmen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Der CRA gilt f\u00fcr alle Unternehmen, die Produkte auf dem EU-Markt anbieten, unabh\u00e4ngig vom Firmensitz. US-amerikanische, chinesische oder indische Hersteller, die in Deutschland verkaufen, sind vollumf\u00e4nglich CRA-pflichtig.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-die-enisa-single-reporting-platform\">Was ist die ENISA Single Reporting Platform?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die von ENISA betriebene zentrale Meldeplattform, \u00fcber die Hersteller ab dem 11. September 2026 aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorf\u00e4lle melden m\u00fcssen. Sie erm\u00f6glicht die effiziente Informationsweitergabe zwischen Herstellern, nationalen CSIRTs und ENISA. Die Plattform befindet sich Stand Juni 2026 in der finalen Testphase.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"trifft-der-cra-auch-open-source-software\">Trifft der CRA auch Open-Source-Software?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nicht direkt. Open-Source-Projekte, die kostenlos und nicht-kommerziell bereitgestellt werden, unterliegen nicht dem CRA. Unternehmen, die Open-Source-Komponenten in kommerzielle Produkte integrieren und diese auf dem EU-Markt verkaufen, sind als Hersteller jedoch vollumf\u00e4nglich CRA-pflichtig und m\u00fcssen Schwachstellen in allen integrierten Komponenten managen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-der-unterschied-zwischen-cra-und-nis2\">Was ist der Unterschied zwischen CRA und NIS2?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA reguliert die <strong>Sicherheit von Produkten<\/strong> (Hardware und Software, die auf dem EU-Markt verkauft werden). NIS2 reguliert die <strong>operative Sicherheit von Diensten<\/strong> (Betreiber kritischer Infrastrukturen). Beide Gesetze k\u00f6nnen parallel gelten: Ein Hersteller vernetzter Industrieanlagen kann sowohl CRA- als auch NIS2-pflichtig sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Quellen: BSI Bundesamt f\u00fcr Sicherheit in der Informationstechnik (<a href=\"https:\/\/www.bsi.bund.de\/EN\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Cyber_Resilience_Act\/cyber_resilience_act_node.html\" target=\"_blank\" rel=\"noopener noreferrer\">bsi.bund.de<\/a>), Europ\u00e4ische Kommission (<a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/factpages\/cyber-resilience-act-implementation\" target=\"_blank\" rel=\"noopener noreferrer\">digital-strategy.ec.europa.eu<\/a>), Crowell &amp; Moring (<a href=\"https:\/\/www.crowell.com\/en\/insights\/client-alerts\/eu-cyber-resilience-act-countdown-11-september-2026-incidentvulnerability-reporting-deadline-is-less-than-100-days-away\" target=\"_blank\" rel=\"noopener noreferrer\">crowell.com<\/a>), Open Source Security Foundation (<a href=\"https:\/\/openssf.org\/public-policy\/eu-cyber-resilience-act\/\" target=\"_blank\" rel=\"noopener noreferrer\">openssf.org<\/a>), ComplyCRA.eu (<a href=\"https:\/\/complycra.eu\/cra-fines\/\" target=\"_blank\" rel=\"noopener noreferrer\">complycra.eu<\/a>), Fidelis Security (<a href=\"https:\/\/fidelissecurity.com\/cybersecurity-101\/learn\/eu-cyber-resilience-act-implementation\/\" target=\"_blank\" rel=\"noopener noreferrer\">fidelissecurity.com<\/a>). Stand: 18. Juni 2026.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 11. September 2026 tritt die erste verbindliche Frist des EU Cyber Resilience Act in Kraft: Ab diesem Datum m\u00fcssen Hersteller vernetzter Produkte aktiv ausgenutzte Sicherheitsl\u00fccken innerhalb von 24 Stunden\u2026<\/p>\n","protected":false},"author":8,"featured_media":192,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-191","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/191","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=191"}],"version-history":[{"count":0,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/191\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/192"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=191"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=191"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=191"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}