EU-Verordnung 2024/2847 mit horizontalen Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen. In Kraft seit 10. Dezember 2024, Hauptpflichten ab 11. Dezember 2027 anwendbar. Meldepflichten für aktiv ausgenutzte Schwachstellen bereits ab 11. September 2026.

Der Cyber Resilience Act gilt für nahezu alle vernetzten Hardware- und Softwareprodukte, die auf den EU-Markt kommen: IoT-Geräte, Industriesteuerungen, smarte Haushaltsgeräte, Betriebssysteme, Apps, Dev-Tools. Open-Source-Software ist nur in kommerziellem Kontext betroffen, freie Communities sind ausgenommen.

Hersteller-Pflichten (Anhang I): Security-by-Design, Security-by-Default, kostenfreie Sicherheitsupdates über die erwartete Produkt-Lebensdauer (mindestens 5 Jahre Default), Schwachstellen-Handling-Prozess, SBOM, Konformitätsbewertung mit CE-Kennzeichnung. Wichtige Produkte (Klasse I/II) brauchen zusätzliche Konformitätsverfahren, kritische Produkte (Anhang IV) sogar Drittprüfung.

Meldepflichten gegenüber ENISA und nationalen CSIRTs: aktiv ausgenutzte Schwachstellen binnen 24 Stunden (Frühwarnung), 72 Stunden (Vorfallmeldung), 14 Tagen (Abschlussbericht). Bußgelder bis 15 Mio. EUR oder 2,5 Prozent des weltweiten Konzernumsatzes. CRA-Konformität wird Voraussetzung für jeden EU-Markteintritt ab Dezember 2027.

Cyber Resilience Act (CRA)

Related terms