CRA Compliance

IT-Sicherheit nicht nur im Unternehmen, sondern auch in den Produkten!

Ob Software, Hardware oder App - der Cyber Resilience Act (CRA) bringt zahlreiche Pflichten für Unternehmen mit sich. Diese erstrecken sich von Risikoeinschätzungen über die Anfertigung einer umfangreichen technischen Dokumentation und Meldepflichten bis hin zu einem etablierten Schwachstellenmanagement. Am Ende geht es darum, das eigene Produkt so auszugestalten, dass es grundlegende Anforderungen an die IT-Sicherheit erfüllt und mit einem CE-Kennzeichen versehen wird, um es auf dem Markt anbieten zu dürfen. Wir sind überzeugt davon, dass CRA-Compliance nicht die bloße Einhaltung rechtlicher Vorgaben bedeutet, sondern auch einen großen Wettbewerbsvorteil darstellt.

Damit wir Sie zuverlässig und ganzheitlich bei der Einhaltung der gesetzlichen Vorgaben unterstützen können, arbeiten wir eng mit unseren Partnern Accso - Accelerated Solutions GmbH sowie NOTOS Partnerschaft von Rechtsanwälten mbB zusammen. Unser Anspruch ist es, im Sinne eines Full Service Providers unsere Kompetenzbereiche Softwareentwicklung und IT-Strategieberatung (Accso), Compliance (NOTOS Xperts) sowie Rechtsberatung (NOTOS) zu vereinen und Ihnen somit eine gut verwertbare Lösung zu bieten. Mit unserer vereinten Praxiserfahrung aus IT und Recht übersetzen wir für Ihr Unternehmen die komplexen rechtlichen Anforderungen in praktische Handlungsanforderungen und setzen diese auch gleich um.

Zu den gemeinsamen Leistungen im Rahmen der Partnerschaft zwischen Accso, NOTOS und NOTOS Xperts gehören:

  • Einordnung von Produkten in Produktklassen nach dem CRA

  • Risikoeinschätzungen und Identifikation von Schwachstellen

  • Unterstützung bei Meldepflichten

  • Schulungen von Mitarbeitern

  • IT-Strategieberatung (durch Accso: u.a. Security by Design, Governance, Prozessberatung)

  • Softwareentwicklung (durch Accso: u.a. UX/UI, SBOM, Software-Tests und Updates)

  • Rechtsberatung (durch NOTOS: u.a. Vertragsverhandlungen, CE-Kennzeichen, Produkthaftung)

Unsere Tätigkeiten starten in der Regel mit einem Workshop, um die Produktlandschaft kennenzulernen und eine erste Bedarfsermittlung vorzunehmen. Ausgehend vom Workshop wird eine Roadmap für die Umsetzung erstellt und die anstehenden Aufgaben priorisiert.

Für nähere Informationen, kontaktieren Sie uns unverbindlich für ein Erstgespräch!


All the key questions in one place

Wie lange muss ich Sicherheitsupdates bereitstellen?

Der CRA verpflichtet Hersteller, Schwachstellen während des sogenannten Unterstützungszeitraums wirksam zu behandeln und kostenlose Sicherheitsupdates bereitzustellen. Dieser Zeitraum beträgt mindestens fünf Jahre und ist nur dann kürzer, wenn die erwartete Nutzungsdauer des Produkts nachweislich darunter liegt. Auf der anderen Seite ist er länger, wenn Nutzer das Produkt erwartbar länger einsetzen.

Einmal bereitgestellte Sicherheitsupdates müssen zudem mindestens zehn Jahre nach ihrer Veröffentlichung bzw. für den restlichen Unterstützungszeitraum abrufbar bleiben – je nachdem, welcher Zeitraum länger ist.

Der Unterstützungszeitraum ist gegenüber den Nutzern transparent anzugeben. Für die Praxis heißt das: Die Update-Fähigkeit und Support-Zusagen müssen bereits beim Produktdesign und in der Kalkulation mitgedacht werden.

Wie lange muss ich Sicherheitsupdates bereitstellen?

Der CRA verpflichtet Hersteller, Schwachstellen während des sogenannten Unterstützungszeitraums wirksam zu behandeln und kostenlose Sicherheitsupdates bereitzustellen. Dieser Zeitraum beträgt mindestens fünf Jahre und ist nur dann kürzer, wenn die erwartete Nutzungsdauer des Produkts nachweislich darunter liegt. Auf der anderen Seite ist er länger, wenn Nutzer das Produkt erwartbar länger einsetzen.

Einmal bereitgestellte Sicherheitsupdates müssen zudem mindestens zehn Jahre nach ihrer Veröffentlichung bzw. für den restlichen Unterstützungszeitraum abrufbar bleiben – je nachdem, welcher Zeitraum länger ist.

Der Unterstützungszeitraum ist gegenüber den Nutzern transparent anzugeben. Für die Praxis heißt das: Die Update-Fähigkeit und Support-Zusagen müssen bereits beim Produktdesign und in der Kalkulation mitgedacht werden.

Gilt der CRA auch für Produkte, die ich bereits verkaufe?

Dies ist nur teilweise der Fall. Die vollen Anforderungen gelten für Produkte, die ab dem 11.12.2027 in Verkehr gebracht werden. Bestandsprodukte, die vorher auf den Markt kamen, müssen nicht nachträglich konform gemacht werden – es sei denn, sie werden wesentlich verändert (z. B. durch ein Funktionsupdate mit Auswirkung auf die Sicherheit). Dann gelten sie als neues Produkt.

Wichtige Ausnahme: Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gelten ab dem 11.09.2026 unabhängig davon, wann das Produkt in Verkehr gebracht wurde – also auch für Ihr Bestandsportfolio.

Gilt der CRA auch für Produkte, die ich bereits verkaufe?

Dies ist nur teilweise der Fall. Die vollen Anforderungen gelten für Produkte, die ab dem 11.12.2027 in Verkehr gebracht werden. Bestandsprodukte, die vorher auf den Markt kamen, müssen nicht nachträglich konform gemacht werden – es sei denn, sie werden wesentlich verändert (z. B. durch ein Funktionsupdate mit Auswirkung auf die Sicherheit). Dann gelten sie als neues Produkt.

Wichtige Ausnahme: Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gelten ab dem 11.09.2026 unabhängig davon, wann das Produkt in Verkehr gebracht wurde – also auch für Ihr Bestandsportfolio.

Welche Sanktionen drohen bei Verstößen?

Der CRA sieht empfindliche Bußgelder vor, abgestuft nach Art des Verstoßes:

  • Bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei Verstößen gegen die grundlegenden Anforderungen und zentrale Herstellerpflichten

  • Bis zu 10 Mio. Euro oder 2 % bei Verstößen gegen sonstige Pflichten

  • Bis zu 5 Mio. Euro oder 1 % bei falschen oder irreführenden Angaben gegenüber Behörden

Daneben kann die Marktüberwachungsbehörde Korrekturmaßnahmen anordnen – bis hin zu einem Vertriebsverbot und Rückruf von Produkten. Mindestens ebenso praktisch relevant sind die mittelbaren Folgen: Haftungsrisiken, Reputationsschäden und der Verlust von Kunden, die CRA-Konformität vertraglich voraussetzen.

Welche Sanktionen drohen bei Verstößen?

Der CRA sieht empfindliche Bußgelder vor, abgestuft nach Art des Verstoßes:

  • Bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei Verstößen gegen die grundlegenden Anforderungen und zentrale Herstellerpflichten

  • Bis zu 10 Mio. Euro oder 2 % bei Verstößen gegen sonstige Pflichten

  • Bis zu 5 Mio. Euro oder 1 % bei falschen oder irreführenden Angaben gegenüber Behörden

Daneben kann die Marktüberwachungsbehörde Korrekturmaßnahmen anordnen – bis hin zu einem Vertriebsverbot und Rückruf von Produkten. Mindestens ebenso praktisch relevant sind die mittelbaren Folgen: Haftungsrisiken, Reputationsschäden und der Verlust von Kunden, die CRA-Konformität vertraglich voraussetzen.

Wie sehen die Meldepflichten nach dem CRA aus?

Die Meldepflichten nach dem CRA betreffen die Hersteller von Produkten mit digitalen Elementen (PDE). Sie erstrecken sich auf aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Die Meldung ist sowohl an das Computer Security Incident Response Team (CSIRT; in Deutschland das BSI) als auch an die Europäische Agentur für Cybersicherheit (ENISA) vorzunehmen und ist wie folgt aufgebaut:

Frühwarnung

Der Hersteller muss unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis über eine aktiv ausgenutzte Schwachstelle eine Frühwarnung abgeben. Dabei muss er die EU-Mitgliedsstaaten angeben, in deren Hoheitsgebiet sein Produkt seiner Kenntnis nach bereitgestellt wurde. Dieselbe Frist gilt bei einem schwerwiegenden Sicherheitsvorfall; hier ist zusätzlich anzugeben, ob ein rechtswidriges oder böswilliges Handeln vermutet wird.

Meldung

Innerhalb von 72 Stunden nach Kenntnis muss der Hersteller eine ausführliche Meldung abgeben, sofern die Informationen nicht bereits übermittelt wurden. Diese enthält allgemeine Angaben zum betroffenen Produkt, die Art der Schwachstelle bzw. des Vorfalls einschließlich einer ersten Einschätzung des Schweregrads und der Auswirkungen sowie die bereits ergriffenen und den Nutzern empfohlenen Korrektur- oder Abhilfemaßnahmen.

Abschlussbericht

Bei einer aktiv ausgenutzten Schwachstelle ist spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme ein Abschlussbericht vorzulegen. Er umfasst eine Beschreibung der Schwachstelle einschließlich Schweregrad und Auswirkungen, Informationen über den Angreifer, soweit bekannt, sowie Angaben zum bereitgestellten Sicherheitsupdate oder zu sonstigen Korrekturmaßnahmen. Bei einem schwerwiegenden Sicherheitsvorfall ist der Abschlussbericht spätestens einen Monat nach der 72-Stunden-Meldung einzureichen und enthält eine detaillierte Beschreibung des Vorfalls, die Art der Bedrohung bzw. die mutmaßliche Ursache sowie die getroffenen und laufenden Abhilfemaßnahmen.

Die Meldung erfolgt ab dem 11.09.2026 über die zentrale europäische Meldeplattform (Single Reporting Platform). Unabhängig davon sind betroffene Nutzer unverzüglich über den Vorfall bzw. die Schwachstelle und mögliche Abhilfemaßnahmen zu informieren.

Wie sehen die Meldepflichten nach dem CRA aus?

Die Meldepflichten nach dem CRA betreffen die Hersteller von Produkten mit digitalen Elementen (PDE). Sie erstrecken sich auf aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Die Meldung ist sowohl an das Computer Security Incident Response Team (CSIRT; in Deutschland das BSI) als auch an die Europäische Agentur für Cybersicherheit (ENISA) vorzunehmen und ist wie folgt aufgebaut:

Frühwarnung

Der Hersteller muss unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis über eine aktiv ausgenutzte Schwachstelle eine Frühwarnung abgeben. Dabei muss er die EU-Mitgliedsstaaten angeben, in deren Hoheitsgebiet sein Produkt seiner Kenntnis nach bereitgestellt wurde. Dieselbe Frist gilt bei einem schwerwiegenden Sicherheitsvorfall; hier ist zusätzlich anzugeben, ob ein rechtswidriges oder böswilliges Handeln vermutet wird.

Meldung

Innerhalb von 72 Stunden nach Kenntnis muss der Hersteller eine ausführliche Meldung abgeben, sofern die Informationen nicht bereits übermittelt wurden. Diese enthält allgemeine Angaben zum betroffenen Produkt, die Art der Schwachstelle bzw. des Vorfalls einschließlich einer ersten Einschätzung des Schweregrads und der Auswirkungen sowie die bereits ergriffenen und den Nutzern empfohlenen Korrektur- oder Abhilfemaßnahmen.

Abschlussbericht

Bei einer aktiv ausgenutzten Schwachstelle ist spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme ein Abschlussbericht vorzulegen. Er umfasst eine Beschreibung der Schwachstelle einschließlich Schweregrad und Auswirkungen, Informationen über den Angreifer, soweit bekannt, sowie Angaben zum bereitgestellten Sicherheitsupdate oder zu sonstigen Korrekturmaßnahmen. Bei einem schwerwiegenden Sicherheitsvorfall ist der Abschlussbericht spätestens einen Monat nach der 72-Stunden-Meldung einzureichen und enthält eine detaillierte Beschreibung des Vorfalls, die Art der Bedrohung bzw. die mutmaßliche Ursache sowie die getroffenen und laufenden Abhilfemaßnahmen.

Die Meldung erfolgt ab dem 11.09.2026 über die zentrale europäische Meldeplattform (Single Reporting Platform). Unabhängig davon sind betroffene Nutzer unverzüglich über den Vorfall bzw. die Schwachstelle und mögliche Abhilfemaßnahmen zu informieren.

Was passiert, wenn meine Produkte bis zum 11.12.2027 nicht CRA-konform sind?

Wenn die Produkte bis zum 11.12.2027, also dem Stichtag für die volle Anwendbarkeit des Gesetzes, nicht die Vorgaben erfüllen, dürfen diese Produkte nicht auf dem Markt angeboten werden.

Was passiert, wenn meine Produkte bis zum 11.12.2027 nicht CRA-konform sind?

Wenn die Produkte bis zum 11.12.2027, also dem Stichtag für die volle Anwendbarkeit des Gesetzes, nicht die Vorgaben erfüllen, dürfen diese Produkte nicht auf dem Markt angeboten werden.

Bis wann muss ich die Vorgaben aus dem CRA erfüllen?

Der CRA hat einen gestaffelten, zeitlichen Anwendungsbereich, der sich wie folgt gestaltet:

  • 10.12.2024: Inkrafttreten

  • 11.06.2026: Vorschriften über Notifizierung werden anwendbar

  • 11.09.2026: Meldepflichten werden anwendbar

  • 11.12.2027: Gesetz wird vollständig anwendbar

Bis zum 11.12.2027 müssen alle Pflichten aus dem CRA erfüllt werden. Ab diesem Zeitpunkt ist das Gesetz vollständig anwendbar und kann in vollem Umfang von der zuständigen Marktüberwachungsbehörde durchgesetzt werden.

Bis wann muss ich die Vorgaben aus dem CRA erfüllen?

Der CRA hat einen gestaffelten, zeitlichen Anwendungsbereich, der sich wie folgt gestaltet:

  • 10.12.2024: Inkrafttreten

  • 11.06.2026: Vorschriften über Notifizierung werden anwendbar

  • 11.09.2026: Meldepflichten werden anwendbar

  • 11.12.2027: Gesetz wird vollständig anwendbar

Bis zum 11.12.2027 müssen alle Pflichten aus dem CRA erfüllt werden. Ab diesem Zeitpunkt ist das Gesetz vollständig anwendbar und kann in vollem Umfang von der zuständigen Marktüberwachungsbehörde durchgesetzt werden.

Kann ich nicht einfach eine ISO 27001 Zertifizierung als Nachweis über meine CRA-Compliance verwenden?

Dies ist nur eingeschränkt möglich und hängt mit der Zielrichtung des Cyber Resilience Act (CRA) zusammen. Während die ISO 27001 sich auf ein Managementsystem für Informationssicherheit auf Organisationsebene (ISMS) fokussiert, möchte der CRA sicherstellen, dass IT-Sicherheit im Produkt selbst drinsteckt. In Teilen ist die ISO 27001 verwertbar, nämlich in Bezug auf das Management von Risiken, Incidents, Schwachstellen oder Lieferanten. Bestimmte Anforderungen, wie etwa die Erstellung einer SBOM (Software Bill of Materials) oder einer technischen Dokumentation sowie der gesamte Themenbereich rund um die Konformitätsbewertung und CE-Kennzeichnung sind von der ISO 27001 allerdings nicht umfasst.

Kann ich nicht einfach eine ISO 27001 Zertifizierung als Nachweis über meine CRA-Compliance verwenden?

Dies ist nur eingeschränkt möglich und hängt mit der Zielrichtung des Cyber Resilience Act (CRA) zusammen. Während die ISO 27001 sich auf ein Managementsystem für Informationssicherheit auf Organisationsebene (ISMS) fokussiert, möchte der CRA sicherstellen, dass IT-Sicherheit im Produkt selbst drinsteckt. In Teilen ist die ISO 27001 verwertbar, nämlich in Bezug auf das Management von Risiken, Incidents, Schwachstellen oder Lieferanten. Bestimmte Anforderungen, wie etwa die Erstellung einer SBOM (Software Bill of Materials) oder einer technischen Dokumentation sowie der gesamte Themenbereich rund um die Konformitätsbewertung und CE-Kennzeichnung sind von der ISO 27001 allerdings nicht umfasst.

We know your world – because it's all we do.

We help businesses navigate data protection, IT security, and AI compliance – with solutions built around your organisation, not off the shelf. Got a specific question, or just want to see if we're a good fit?

NOTOS Xperts

Heidelberger Straße 6
D-64283 Darmstadt

+49 6151 520 10 0
info@notos-xperts.de

We are always here for you. Our core working hours are: Monday to Friday 08:00–18:00 – and any other time via email.

English

We know your world – because it's all we do.

We help businesses navigate data protection, IT security, and AI compliance – with solutions built around your organisation, not off the shelf. Got a specific question, or just want to see if we're a good fit?

NOTOS Xperts

Heidelberger Straße 6
D-64283 Darmstadt

+49 6151 520 10 0
info@notos-xperts.de

We are always here for you. Our core working hours are: Monday to Friday 08:00–18:00 – and any other time via email.

English

We know your world – because it's all we do.

We help businesses navigate data protection, IT security, and AI compliance – with solutions built around your organisation, not off the shelf. Got a specific question, or just want to see if we're a good fit?

NOTOS Xperts

Heidelberger Straße 6
D-64283 Darmstadt

+49 6151 520 10 0
info@notos-xperts.de

We are always here for you. Our core working hours are: Monday to Friday 08:00–18:00 – and any other time via email.

English