nexalign

Decision guide · Compliance

Cyber Resilience Act vorbereiten: CRA-Compliance für Hersteller mit Produkten mit digitalen Elementen

Der Cyber Resilience Act zwingt jeden Hersteller von Produkten mit digitalen Elementen zu einer strukturierten Entscheidung: Welche Produkte fallen in welche Klasse, welche Konformitätsbewertungs-Route gilt, wer baut den Schwachstellen-Meldeweg, wie wird SBOM und Lebenszyklus-Support organisiert. Wer das 2026 nicht strukturiert plant, verliert ab Dezember 2027 den EU-Markt.

TL;DR

CRA ist kein IT-Sicherheits-Projekt, sondern eine Produkt-Compliance-Entscheidung. Anwendungsbereich, Klasse und Konformitätsroute müssen vor Engineering-Entscheidungen stehen.

Who owns this decision

Produkt-Management ist Owner, CTO und CISO im Lenkungskreis. Legal, Quality, Procurement und Vertrieb als aktive Stakeholder.

Key criteria to weight

  • Anwendungsbereich-Mapping

    Welche Produkte mit digitalen Elementen fallen unter CRA? Reine SaaS-Dienste sind ausgenommen, Hardware mit Software fast immer drin.

  • Produkt-Klassifizierung

    Default, wichtig (Klasse I/II Anhang III), kritisch (Anhang IV). Die Klasse bestimmt das Konformitätsverfahren.

  • Konformitätsbewertungs-Route

    Interne Kontrolle Modul A vs. EU-Baumusterprüfung Modul B+C vs. vollständige Qualitätssicherung Modul H. Anhang IV erfordert immer Drittprüfung.

  • Schwachstellen-Meldeweg

    24h/72h/14-Tage-Kaskade an ENISA und nationale CSIRT. Pflicht ab 11. September 2026, vor den Hauptpflichten.

  • SBOM und Lebenszyklus-Support

    Maschinenlesbare SBOM Pflicht. Sicherheitsupdates kostenfrei über erwartete Produktlebensdauer, Default 5 Jahre.

  • Lieferanten-Klauseln

    OEM-Verträge und Komponenten-Verträge brauchen CRA-Klauseln. Wer haftet bei Drittanbieter-Vulnerabilities?

Step-by-step decision flow

  1. 1

    Produkt-Portfolio durchgehen

    Jedes Produkt mit digitalen Elementen erfassen: Hardware, Firmware, Software, IoT, embedded. SaaS-only Dienste in der Regel ausgenommen.

  2. 2

    Klasse bestimmen

    Default, wichtig (Klasse I/II) oder kritisch (Anhang IV). Beispiele Klasse II: Hypervisor, Firewalls, Identity-Manager. Anhang IV: Smartcards, Hardware-Security-Module mit Sicherheitsfunktion.

  3. 3

    Konformitätsbewertung planen

    Modul A (interne Kontrolle) reicht für die meisten Klasse-I-Produkte. Anhang IV braucht notifizierte Stelle, Kapazitäts-Engpass einplanen.

  4. 4

    Schwachstellen-Meldeweg aufbauen

    Vor September 2026: PSIRT-Funktion, Single-Point-of-Contact bei ENISA, Triage-Prozess, Disclosure-Policy nach ISO/IEC 29147.

  5. 5

    SBOM-Generierung in Build-Pipeline

    CycloneDX oder SPDX, automatisiert aus Build. Pflicht-Inhalte: Komponenten, Versionen, Lizenzen, Lieferanten.

  6. 6

    Decision Memo plus Konformitätserklärung

    Pro Produkt-Familie ein Decision Memo mit Klassen-Begründung, Konformitätsroute, technischer Dokumentation. CE-Kennzeichnung nach Abschluss.

Compliance note

CRA-Verordnung (EU) 2024/2847 in Kraft seit 10. Dezember 2024. Meldepflichten anwendbar ab 11. September 2026. Hauptpflichten ab 11. Dezember 2027. Bußgelder bis 15 Mio. EUR oder 2,5 Prozent des weltweiten Konzernumsatzes. Überschneidung mit NIS2 (für Hersteller, die auch wesentliche/wichtige Einrichtungen sind), Maschinenverordnung (EU) 2023/1230 und Funkanlagen-Richtlinie 2014/53/EU.

Common pitfalls

  • !CRA wird als reine SBOM-Übung gesehen. Produkt-Klassifizierung und Lebenszyklus-Support sind die schwierigeren Punkte.
  • !Open-Source-Komponenten ohne Sicherheits-Patches in der Lieferkette. Hersteller bleibt verantwortlich.
  • !PSIRT-Funktion fehlt komplett. Die 24h-Meldung ab September 2026 ist nicht ad hoc machbar.
  • !Anhang-IV-Einstufung wird ignoriert, weil 'kritisch' nach klein klingt. Smartcards und HSM-Module sind betroffen.
  • !Bestands-Produkte werden vergessen. CRA gilt für jedes Produkt, das nach Geltung in Verkehr gebracht wird.

FAQ

Ab wann gilt der Cyber Resilience Act?

Die Verordnung ist seit 10. Dezember 2024 in Kraft. Meldepflichten für aktiv ausgenutzte Schwachstellen gelten ab 11. September 2026. Die Hauptpflichten (Konformitätsbewertung, CE-Kennzeichnung) gelten ab 11. Dezember 2027. Produkte, die ab diesem Datum auf den EU-Markt gebracht werden, müssen konform sein.

Was fällt unter den CRA-Anwendungsbereich?

Produkte mit digitalen Elementen, also alles, was Daten verarbeitet und vernetzt ist: IoT, Smart-Home, Industrie-Steuerungen, Hardware mit Firmware, Software-Produkte, Apps, Dev-Tools, Browser, Betriebssysteme. Reine SaaS-Dienste sind ausgenommen (fallen ggf. unter NIS2). Open-Source ist nur im kommerziellen Vertrieb erfasst, Communities sind ausgenommen.

Brauche ich eine notifizierte Stelle für die Konformitätsbewertung?

Für die meisten Produkte nicht. Default und Klasse-I-Produkte können mit interner Kontrolle (Modul A) zertifiziert werden. Klasse-II-Produkte (z.B. Firewalls, Hypervisoren, Identity-Manager) brauchen entweder Modul B+C oder Modul H mit notifizierter Stelle. Anhang-IV-Produkte (kritisch, z.B. HSM, Smartcards) immer Drittprüfung.

Was passiert bei Verstoss gegen CRA?

Marktaufsichts-Behörde (in Deutschland BSI plus BNetzA für Funkanlagen) kann Rücknahme oder Rückruf anordnen. Bußgelder bis 15 Mio. EUR oder 2,5 Prozent des weltweiten Konzernumsatzes für Verstöße gegen Hersteller-Pflichten. Für falsche/irreführende Angaben gegenüber Behörden bis 5 Mio. EUR oder 1 Prozent.

Verhältnis CRA zu NIS2?

CRA ist Produkt-Regulierung (Hersteller-Pflicht), NIS2 ist Betreiber-Regulierung (Anwender-Pflicht). Ein Unternehmen kann beides sein: NIS2-Einrichtung als Betreiber kritischer Dienste und CRA-Hersteller, wenn es eigene Produkte vertreibt. Die Pflichten ergänzen sich, ersetzen sich nicht.

Run this decision in DecisionOS →What is DecisionOS?