„Wir sind zu klein für den CRA" — dieser Gedanke ist verbreitet und falsch. Der Cyber Resilience Act gilt ohne Umsatz- oder Mitarbeitergrenze. Was das für KMU bedeutet, welche echten Ausnahmen es gibt und wie Sie strukturiert vorgehen, erklärt dieser Leitfaden.
Was ist der Cyber Resilience Act — in 3 Sätzen
Der Cyber Resilience Act (Verordnung EU 2024/2847) verpflichtet alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, zu Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus. Er schreibt SBOM-Erstellung, Schwachstellenmanagement und aktive Meldung ausgenutzter Sicherheitslücken an die ENISA vor. Verstöße werden mit Bußgeldern bis 15 Mio. EUR oder Marktverbot sanktioniert.
Für wen gilt er? (Hersteller mit Produkten in der EU)
Der CRA gilt für Hersteller — nicht für Betreiber, Dienstleister oder Händler (diese haben nachgelagerte Pflichten, aber keine primäre CRA-Pflicht). Entscheidend ist: Stellen Sie ein Produkt mit digitalen Elementen her und bringen es auf dem EU-Markt in Verkehr?
Ein KMU mit 8 Mitarbeitern, das eine Industrie-App an deutsche Maschinenbauer verkauft: CRA-pflichtig.
Ein Freelancer, der eine App im Auftrag entwickelt und kein eigenes Produkt vermarktet: nicht direkt CRA-pflichtig (der Auftraggeber ist Hersteller).
Ein Startup mit 3 Mio. EUR Umsatz, das einen Smart-Home-Sensor in der EU verkauft: CRA-pflichtig.
Die Größe spielt für die Pflichtenstruktur keine Rolle — wohl aber für die Konformitätsbewertungs-Modalitäten (Klasse I: harmonisierte Norm reicht; Klasse II: notifizierte Stelle erforderlich).
Die zwei Fristen: September 2026 und Dezember 2027
Der CRA tritt in zwei Stufen in Kraft:
11. September 2026 — Meldepflicht: Ab diesem Tag müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA Single Reporting Platform gemeldet werden. Dies ist die erste und operativ anspruchsvollste Frist.
11. Dezember 2027 — Vollständige CRA-Anforderungen: Alle übrigen Pflichten greifen: SBOM-Pflicht auf Anfrage, CE-Kennzeichnung, Konformitätsbewertung, Disclosure Policy. Neue Produkte müssen ab diesem Datum CRA-konform sein; für bestehende Produkte gelten Übergangsregelungen.
Die Priorität für KMU: Zunächst die Meldepflicht bis September 2026 absichern — das ist die Frist mit dem direktesten Bußgeldrisiko.
Was muss ein KMU konkret tun? (5-Punkte-Checkliste)
1. SBOM erstellen (sofort starten): Ohne SBOM kein Vulnerability-Tracking. Integrieren Sie einen SBOM-Generator in Ihre CI/CD-Pipeline. Für KMU empfiehlt sich GitHub Actions oder GitLab CI mit SBOMfunk — Setup in 30 Minuten, dann läuft es automatisch.
2. Produktklasse ermitteln: Prüfen Sie, ob Ihr Produkt in die Default-Kategorie, Klasse I oder Klasse II fällt. Nutzen Sie unseren kostenlosen CRA-Pflicht-Check. Das bestimmt den Aufwand der Konformitätsbewertung bis Dezember 2027.
3. CISA-KEV-Monitoring einrichten: Richten Sie ein automatisches Monitoring ein, das Ihre SBOM täglich gegen CISA-KEV abgleicht. So erkennen Sie Meldepflicht-Trigger rechtzeitig — bevor die 24h-Frist zu laufen beginnt.
4. ENISA-SRP-Zugang einrichten: Registrieren Sie sich bei EU Login und legen Sie Ihre Produkte in der ENISA SRP an. Dieser Prozess dauert mehrere Werktage — nicht auf den letzten Moment warten.
5. Internen Meldeprozess definieren: Wer in Ihrem Unternehmen entscheidet über eine Meldung? Wer füllt das Formular aus? Ein undefinierter Prozess kann die 24h-Frist gefährden. Für KMU ohne eigenes PSIRT: SBOMfunk automatisiert diesen Prozess vollständig.
Welche Ausnahmen gibt es wirklich? (MDR, R155, Open-Source-Steward)
Medizinprodukte (MDR/IVDR): Das Medizinprodukt selbst ist ausgenommen. Aber: Cloud-Backend, Companion-App und alle Randsysteme außerhalb des CE-gekennzeichneten Medizinprodukts sind CRA-pflichtig.
Fahrzeuge (UNECE R155/R156): Das Fahrzeug und seine integrierten Systeme sind ausgenommen. Aftermarket-Software, Companion-Apps und separat vermarktete Softwarekomponenten sind CRA-pflichtig.
Open-Source ohne kommerziellen Kontext: Wer Open-Source-Software entwickelt und nicht kommerziell in den Verkehr bringt, ist ausgenommen. Aber: Sobald ein Produkt auf Open-Source basiert und kommerziell vermarktet wird, greift der CRA für den Hersteller — nicht für die Open-Source-Maintainer.
Kleinstunternehmen (< 10 Mitarbeiter, < 2 Mio. EUR Umsatz): Kleinstunternehmen haben erleichterte Dokumentationspflichten, aber keine Ausnahme von der Meldepflicht nach Art. 14.
Der Weg zur Compliance: Schritt für Schritt mit SBOMfunk
SBOMfunk adressiert die drei operativ anspruchsvollsten CRA-Anforderungen:
Phase 1 — SBOM-Generierung (jetzt): GitHub Action oder GitLab CI einbinden, erste SBOM generieren. SBOMfunk erstellt CycloneDX 1.6 und SPDX 3.0 automatisch — BSI TR-03183-2-konform.
Phase 2 — Vulnerability-Monitoring (automatisch): SBOMfunk gleicht Ihre SBOM täglich gegen NVD, OSV und CISA-KEV ab. Bei einem Meldepflicht-Trigger startet der 24h-Timer und Ihr Team erhält sofort eine Benachrichtigung.
Phase 3 — ENISA-SRP-Meldung (bei Bedarf): SBOMfunk generiert das CSAF-Frühwarnformular automatisch und übermittelt es an die ENISA SRP — mit einem Klick im Starter-Tarif, vollautomatisch im Pro-Tarif.
Für ein KMU mit 5 Repositories: SBOMfunk Starter ab 199 EUR/Mo deckt alle drei Phasen ab.
CRA-Compliance für KMU — in 30 Minuten starten. Beta-Zugang sichern und mit der SBOM-Generierung sofort beginnen.