Zum Inhalt springen
SBOMfunkSBOMfunk
Wissensartikel · Zuletzt aktualisiert: April 2026

Cyber Resilience Act: Pflichten & Fristen für Hersteller

TL;DR

Der Cyber Resilience Act (EU) 2024/2847 verpflichtet ab 11.09.2026 alle Hersteller von Produkten mit digitalen Elementen zur 24-Stunden-Schwachstellenmeldung an ENISA. Marktverbot droht bei Verstoß. Dieser Leitfaden erklärt alles Wesentliche.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA), offiziell Verordnung (EU) 2024/2847, ist eine EU-Verordnung mit dem Ziel, die Cybersicherheit von Produkten mit digitalen Elementen in der EU zu verbessern. Die Verordnung trat am 10. Dezember 2024 in Kraft und gilt ab dem 11. September 2026 für die Meldepflichten nach Art. 14.

Der CRA verpflichtet Hersteller, Importeure und Händler, bestimmte Cybersicherheitsanforderungen zu erfüllen — von der sicheren Entwicklung über das Schwachstellenmanagement bis zur aktiven Meldung ausnutzbarer Sicherheitslücken an die ENISA.

Wen betrifft der CRA?

Der CRA gilt für alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Darunter fallen:

  • Software-Produkte (SaaS, On-Prem, eingebettete Software)
  • Hardware mit digitalen Komponenten (IoT-Geräte, Industrie-Hardware)
  • Komponenten, die in andere Produkte integriert werden

Ausnahmen bestehen für: Medizinprodukte nach MDR/IVDR, Kraftfahrzeuge nach UNECE R155, Produkte für den Verteidigungsbereich und Open-Source-Software ohne kommerziellen Bezug (mit Einschränkungen).

Auch Importeure und Händler tragen Sorgfaltspflichten — primär verantwortlich ist jedoch der Hersteller.

Die Produktklassen: Default, Klasse I, Klasse II, Kritisch

Der CRA unterscheidet vier Risikoklassen, die unterschiedliche Konformitätsbewertungsverfahren erfordern:

  • Default-Kategorie: Die meisten Produkte — Selbstbewertung durch den Hersteller (CE-Kennzeichnung auf eigene Erklärung).
  • Klasse I (Annex III): Erhöhtes Risiko — z.B. Sicherheitssoftware, Browser, Passwortmanager, Smart-Home-Geräte. Erfordert Konformitätsbewertung durch harmonisierte Norm oder EU-Prüfstelle.
  • Klasse II (Annex IV): Hohes Risiko — z.B. Firewalls, Industrial-Control-Systems, kritische Infrastruktur-Komponenten. Zertifizierung durch notifizierte Stelle erforderlich.
  • Kritisch: Höchstes Risiko — gesondert ausgewiesen, zusätzliche nationale Aufsicht.

Nutzen Sie unseren kostenlosen CRA-Pflicht-Check, um Ihre Produktklasse in 2 Minuten zu ermitteln.

Die Meldepflicht (Art. 14): 24h, 72h, 14 Tage

Art. 14 CRA ist die kritischste Pflicht für die meisten Hersteller: Ab 11.09.2026 müssen aktiv ausgenutzte Schwachstellen in drei Stufen an die ENISA Single Reporting Platform (SRP) gemeldet werden:

  • 24-Stunden-Frühwarnung: Pflichtmeldung spätestens 24 Stunden nach Kenntnis einer aktiv ausgenutzten Schwachstelle. Kein Aufschub, keine Verlängerung.
  • 72-Stunden-Notification: Detaillierter Bericht mit Produktidentifikation, Impact-Analyse und ersten Maßnahmen.
  • 14-Tage-Final-Report: Vollständige Meldung mit Behebungsplan, Zeitlinie und Nachweis der ergriffenen Maßnahmen.

Die Meldung erfolgt an die ENISA Single Reporting Platform. Für Deutschland ist zusätzlich die BSI-Meldeplattform relevant.

Weitere Pflichten: SBOM, Schwachstellenmanagement, CE

Neben der Meldepflicht enthält der CRA weitere wesentliche Anforderungen:

  • Software Bill of Materials (SBOM): Hersteller müssen eine maschinenlesbare SBOM aller verwendeten Softwarekomponenten führen und auf Anfrage bereitstellen. Das BSI hat mit der BSI TR-03183 eine konkrete technische Richtlinie veröffentlicht.
  • Schwachstellenmanagement: Kontinuierliche Überwachung, Bewertung und Behebung bekannter Schwachstellen über die gesamte Produktlebensdauer.
  • Secure Development: Security-by-Design und Security-by-Default als Pflichtprinzipien.
  • CE-Kennzeichnung: Produkte mit digitalen Elementen benötigen die CE-Kennzeichnung inklusive CRA-Konformitätserklärung.
  • Disclosure Policy: Eine veröffentlichte Meldestelle für Sicherheitslücken (security.txt nach RFC 9116).

Die Fristen: September 2026 und Dezember 2027

Der CRA tritt stufenweise in Kraft:

  • 11. September 2026: Meldepflicht nach Art. 14 gilt. Ab diesem Tag müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA gemeldet werden.
  • 11. Dezember 2027: Alle übrigen CRA-Anforderungen gelten vollständig — SBOM-Pflicht, CE-Kennzeichnung, Konformitätsbewertung.

Stand heute (April 2026) verbleiben 138 Tage bis zur ersten Frist. Die ENISA Single Reporting Platform befindet sich noch in der Beta-Phase.

Bußgelder und Marktverbot

Der CRA sieht gestaffelte Sanktionen vor — nach Schwere des Verstoßes:

  • Bis 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes (der höhere Betrag) bei Verstoß gegen grundlegende Sicherheitsanforderungen.
  • Bis 10 Mio. EUR oder 2 % Umsatz bei Verstößen gegen Meldepflichten (Art. 14) oder Marktüberwachungspflichten.
  • Bis 5 Mio. EUR oder 1 % Umsatz bei Informations- und Dokumentationspflichtverstößen.

Zusätzlich zu Bußgeldern kann die Marktaufsichtsbehörde ein Marktverbot verhängen — das Produkt darf nicht mehr in der EU verkauft werden. Für die meisten Hersteller ist dies die schwerwiegendere Sanktion.

Wie SBOMfunk CRA-Compliance automatisiert

SBOMfunk adressiert die drei kritischsten CRA-Anforderungen in einem Workflow:

  • SBOM-Generierung: CycloneDX 1.6 + SPDX 3.0 direkt aus GitHub Actions oder GitLab CI — BSI TR-03183-2-konform ab der ersten Generierung.
  • Vulnerability-Tracking: Täglicher Abgleich gegen NVD, OSV und CISA-KEV — automatische Erkennung aktiv ausgenutzter Schwachstellen.
  • ENISA-SRP-Meldung: 3-Stufen-Meldekette (24h/72h/14d) mit direkter API-Integration in die ENISA Single Reporting Platform (Beta).

CRA-Compliance in 30 Minuten aufsetzen

SBOMfunk automatisiert SBOM-Generierung, Vulnerability-Tracking und ENISA-Meldung. Testen Sie 14 Tage kostenlos.

Beta-Zugang sichernCRA-Pflicht-Check starten