NIS2 & DORA gelten. EU AI Act folgt — Demo buchen
Alle Frameworks
Framework

Cyber Resilience Act Compliance, vollständig automatisiert

Der CRA schreibt Cybersicherheit für alle Produkte mit digitalen Elementen auf dem EU-Markt vor. Matproof deckt Security by Design, Schwachstellenmanagement, SBOM-Verwaltung, ENISA-Meldungen und Konformitätsbewertung ab.

Demo anfragen

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (Verordnung 2024/2847) ist eine EU-Verordnung, die horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt - sowohl Hardware als auch Software, die auf dem europäischen Markt verkauft werden. Die Verordnung wurde am 20. November 2024 im Amtsblatt veröffentlicht und adressiert die wachsenden Cybersicherheitsrisiken vernetzter Produkte.

Der CRA schliesst eine bedeutende regulatorische Lücke: Während bestehende EU-Rahmenwerke die Netzwerk- und Informationssicherheit (NIS2) und sektorspezifische Resilienz (DORA) adressieren, verpflichtete bisher keine horizontale Verordnung dazu, Cybersicherheit von der Designphase an in Produkte einzubauen. Der CRA verlangt, dass Hersteller, Importeure und Distributoren sicherstellen, dass Produkte während ihres gesamten Lebenszyklus wesentliche Cybersicherheitsanforderungen erfüllen.

Zu den Kernpflichten gehören Security by Design und Default (Anhang I Teil I), systematisches Schwachstellenmanagement (Anhang I Teil II), Pflege einer Software-Stückliste (SBOM), schnelle Schwachstellenmeldung an ENISA und nationale CSIRTs, kostenlose Sicherheitsupdates während des Produktsupportzeitraums (mindestens 5 Jahre) sowie Konformitätsbewertung mit CE-Kennzeichnung.

Der CRA folgt einer gestaffelten Umsetzung: Schwachstellenmeldepflichten gelten ab dem 11. September 2026, die vollständige Verordnung ab dem 11. Dezember 2027. Dies gibt Herstellern Zeit, ihre Produktentwicklungsprozesse anzupassen und Schwachstellenmanagement-Workflows einzurichten.

Wer muss den CRA einhalten?

Der CRA gilt für alle Wirtschaftsakteure, die Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringen. Ein Produkt mit digitalen Elementen ist jedes Software- oder Hardwareprodukt mit einer direkten oder indirekten logischen oder physischen Verbindung zu einem Gerät oder Netzwerk:

Hersteller

  • Hardware-Hersteller (IoT-Geräte, Router, Smart-Home-Produkte)
  • Software-Entwickler (Anwendungen, Betriebssysteme, Firmware)
  • Hersteller eingebetteter Systeme (Industriesteuerungen, Automotive-ECUs)
  • SaaS-Anbieter, bei denen Software eine Produktkomponente ist
  • Open-Source-Software-Stewards (kommerzielle Stiftungen)
  • Unternehmen, die Drittanbieter-Komponenten in Produkte integrieren

Importeure und Distributoren

  • EU-Importeure von ausserhalb der EU hergestellten Produkten
  • Distributoren, die Produkte auf dem EU-Markt bereitstellen
  • Online-Marktplätze, die Produkte mit digitalen Elementen verkaufen
  • Systemintegratoren, die Produkte aus Komponenten zusammenstellen
  • Wiederverkäufer von Software- und Hardwareprodukten
  • White-Label-Produktdistributoren

Reine SaaS-Dienste, die kein Produkt auf den Markt bringen, sind grundsätzlich vom CRA-Anwendungsbereich ausgenommen (sie können stattdessen unter NIS2 fallen). Wenn der SaaS-Dienst jedoch herunterladbare Softwarekomponenten, Firmware oder IoT-Geräteintegration umfasst, fallen diese Elemente in den Anwendungsbereich.

Not sure if you're compliant?

Take the free CRA readiness assessment — 10 questions, 3 minutes.

Check your readiness

Zentrale Anforderungen des CRA

1. Wesentliche Cybersicherheitsanforderungen (Anhang I Teil I)

Produkte müssen so konzipiert, entwickelt und hergestellt werden, dass ein angemessenes Cybersicherheitsniveau basierend auf ihren Risiken gewährleistet ist. Dies umfasst: keine bekannten ausnutzbaren Schwachstellen, sichere Standardkonfiguration ohne Standardpasswörter, Schutz der Datenvertraulichkeit und -integrität, Minimierung der Datenverarbeitung, Zugangskontrollmechanismen und Angriffsflächenminimierung.

2. Schwachstellenmanagement (Anhang I Teil II)

Hersteller müssen einen systematischen Prozess zur Identifizierung, Dokumentation und Behebung von Schwachstellen während des gesamten Produktlebenszyklus einrichten und pflegen. Dies umfasst regelmässige Sicherheitstests, zeitnahe Behebung durch kostenlose Sicherheitsupdates, eine koordinierte Schwachstellenoffenlegungsrichtlinie und einen sicheren Update-Verteilungsmechanismus.

3. SBOM-Verwaltung (Anhang I.2(9))

Hersteller müssen eine Software-Stückliste (SBOM) erstellen und pflegen, die alle Top-Level-Abhängigkeiten, Komponenten, Bibliotheken und Drittanbietercode dokumentiert. Die SBOM ermöglicht eine schnelle Schwachstellenbewertung bei neuen CVEs, Lieferkettentransparenz und regulatorische Berichterstattung.

4. Schwachstellenmeldung an ENISA (Artikel 14)

Bei Kenntnis einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Sicherheitsvorfalls muss der Hersteller dem zuständigen CSIRT und der ENISA melden: Frühwarnung innerhalb von 24 Stunden, detaillierte Schwachstellenmeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb von 14 Tagen. Nutzer müssen unverzüglich über die Schwachstelle und verfügbare Korrekturmassnahmen informiert werden.

5. Konformitätsbewertung und CE-Kennzeichnung (Artikel 28-32)

Vor dem Inverkehrbringen müssen Hersteller eine Konformitätsbewertung durchführen, eine EU-Konformitätserklärung erstellen und die CE-Kennzeichnung anbringen. Standardprodukte können die Selbstbewertung nutzen. Klasse-I-Produkte (z.B. Firewalls, VPNs) erfordern Konformität mit harmonisierten Standards oder Drittbewertung. Klasse-II-Produkte (z.B. Betriebssysteme) erfordern eine obligatorische Drittbewertung.

6. Produktsupportzeitraum (Artikel 13(7))

Hersteller müssen den Produktsupportzeitraum definieren und kommunizieren, in dem Sicherheitsupdates bereitgestellt werden - mindestens 5 Jahre oder die erwartete Produktlebensdauer, je nachdem, was länger ist. Während dieses Zeitraums müssen alle Sicherheitsupdates kostenlos und ohne unnötige Verzögerung bereitgestellt werden.

7. Technische Dokumentation (Anhang VII)

Hersteller müssen umfassende technische Dokumentation pflegen: Produktbeschreibung und Verwendungszweck, Cybersicherheitsrisikobewertung, Design- und Entwicklungsinformationen, Informationen zum Schwachstellenmanagement, angewandte harmonisierte Standards, Konformitätsbewertungsergebnisse und Nachweise der Anforderungserfüllung. Die Dokumentation muss 10 Jahre oder den Supportzeitraum aufbewahrt werden.

Strafen bei CRA-Nichteinhaltung

Der CRA etabliert ein gestuftes Sanktionsrahmenwerk, das von nationalen Marktüberwachungsbehörden durchgesetzt wird:

Bis zu 15 Mio. EUR / 2,5%

für Nichteinhaltung wesentlicher Cybersicherheitsanforderungen (Anhang I) - die schwerste Kategorie

Bis zu 10 Mio. EUR / 2%

für Nichteinhaltung anderer Herstellerpflichten einschliesslich Schwachstellenmeldung und Konformitätsbewertung

Bis zu 5 Mio. EUR / 1%

für die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen an Marktüberwachungsbehörden

Marktrücknahme

Behörden können die Marktrücknahme, den Rückruf oder die Einschränkung der Verfügbarkeit auf dem EU-Markt anordnen

Marktüberwachungsbehörden haben weitreichende Befugnisse einschliesslich Produkttests, Dokumentationsanforderung, Zugang zu Geschäftsräumen und Erlass verbindlicher Korrekturmassnahmen. Nicht konforme Produkte können vollständig vom EU-Markt ausgeschlossen werden.

Wie Sie sich auf die CRA-Compliance vorbereiten

Da die Schwachstellenmeldepflichten ab dem 11. September 2026 und die vollständige Anwendung ab dem 11. Dezember 2027 gelten, sollten Hersteller jetzt mit der Vorbereitung beginnen:

  1. 1

    Produktinventar und Klassifizierung

    Erstellen Sie ein umfassendes Inventar aller Produkte mit digitalen Elementen. Klassifizieren Sie jedes Produkt nach CRA-Kategorien: Standard, Klasse I (Anhang III), Klasse II (Anhang IV) oder kritisch. Bestimmen Sie das geeignete Konformitätsbewertungsverfahren.

  2. 2

    SBOM-Erstellung und Abhängigkeitsmapping

    Implementieren Sie automatisierte SBOM-Erstellung für alle Produkte. Dokumentieren Sie alle Komponenten, Bibliotheken und Abhängigkeiten. Gleichen Sie mit CVE-Datenbanken ab und richten Sie kontinuierliche Überwachung ein.

  3. 3

    Schwachstellenmanagement-Prozess

    Etablieren Sie einen systematischen Schwachstellenmanagement-Prozess für Identifizierung, Dokumentation, Behebung und Offenlegung. Richten Sie koordinierte Offenlegungskanäle ein. Bauen Sie die Fähigkeit auf, die 24h/72h/14-Tage-ENISA-Meldefristen einzuhalten.

  4. 4

    Security-by-Design-Integration

    Integrieren Sie die wesentlichen CRA-Cybersicherheitsanforderungen in Ihren Produktentwicklungslebenszyklus. Implementieren Sie sichere Standardkonfigurationen, Zugangskontrolle, Angriffsflächenminimierung und sichere Update-Mechanismen.

  5. 5

    Vorbereitung der Konformitätsbewertung

    Erstellen Sie die technische Dokumentation gemäss Anhang VII. Beauftragen Sie für Klasse-I/II-Produkte benannte Stellen für die Drittbewertung. Bereiten Sie EU-Konformitätserklärung und CE-Kennzeichnungsdokumentation vor.

  6. 6

    Supportzeitraum und Update-Infrastruktur

    Definieren Sie Supportzeiträume für alle Produkte (mindestens 5 Jahre). Bauen Sie eine sichere Update-Bereitstellungsinfrastruktur auf. Etablieren Sie Prozesse für End-of-Life-Planung und Nutzerkommunikation.

Häufig gestellte Fragen zum CRA

Was ist der Cyber Resilience Act?

Der CRA (Verordnung 2024/2847) ist eine EU-Verordnung mit horizontalen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Er schreibt Security by Design, Schwachstellenmanagement, SBOM-Verwaltung und Vorfallmeldung an ENISA vor. Schwachstellenmeldung ab September 2026, vollständige Anwendung ab Dezember 2027.

Wer muss den CRA einhalten?

Der CRA gilt für Hersteller, Importeure und Distributoren von Produkten mit digitalen Elementen auf dem EU-Markt. Dies umfasst jedes Hardware- oder Softwareprodukt mit Netzwerkverbindung. Reine SaaS-Dienste sind grundsätzlich ausgenommen.

Welche Meldefristen gelten beim CRA?

Hersteller müssen innerhalb von 24 Stunden eine Frühwarnung an den zuständigen CSIRT senden, innerhalb von 72 Stunden eine detaillierte Meldung und innerhalb von 14 Tagen einen Abschlussbericht. Nutzer müssen unverzüglich informiert werden.

Was ist eine SBOM und warum verlangt der CRA sie?

Eine Software-Stückliste ist ein detailliertes Inventar aller Softwarekomponenten in einem Produkt. Der CRA verlangt SBOMs zur Schwachstellenverfolgung, Lieferkettentransparenz und schnelleren Vorfallreaktion bei Schwachstellen in Drittanbieter-Komponenten.

Wie klassifiziert der CRA Produkte?

Standardprodukte nutzen Selbstbewertung. Klasse-I-Produkte (z.B. VPNs, Firewalls) erfordern Konformität mit Standards oder Drittbewertung. Klasse-II-Produkte (z.B. Betriebssysteme) erfordern obligatorische Drittbewertung. Kritische Produkte benötigen EU-Baumusterprüfung.

Was ist der Mindestsupportzeitraum unter dem CRA?

Hersteller müssen kostenlose Sicherheitsupdates für mindestens 5 Jahre oder die erwartete Produktlebensdauer bereitstellen, je nachdem, was länger ist. Der Supportzeitraum muss den Nutzern beim Kauf klar kommuniziert werden.

CRA Readiness Assessment

Assess your Cyber Resilience Act readiness

Take the free assessment

Kernfunktionen

Security by Design (Anhang I)

Verfolgung und Dokumentation wesentlicher Cybersicherheitsanforderungen von der Produktentwicklung bis zur Auslieferung. Sichere Standardkonfiguration, Angriffsflächenminimierung und Zugangskontrolle.

Schwachstellenmanagement (Anhang I.2)

Systematische Schwachstellenidentifikation, -dokumentation und -behebung. Koordinierte Offenlegungsprozesse mit vollständigem Audit-Trail und SBOM-Integration.

SBOM-Verwaltung (Anhang I.2(9))

Erstellung und Pflege von Software-Stücklisten. Verfolgung aller Komponenten, Bibliotheken und Abhängigkeiten. Automatischer Abgleich mit bekannten Schwachstellendatenbanken.

ENISA/CSIRT-Meldungen (Art. 14)

Einhaltung der 24-Stunden-Frühwarnung, 72-Stunden-Meldung und 14-Tage-Abschlussbericht-Fristen. Vorgefertigte Vorlagen, automatisierte Workflows und Fristenüberwachung.

Konformitätsbewertung (Art. 32)

Selbstbewertung für Standardprodukte, geführte Drittbewertung für Klasse I/II. EU-Konformitätserklärung und CE-Kennzeichnungsdokumentation.

Supportzeitraum-Verwaltung (Art. 13(7))

Verfolgung von Produkt-Supportzeiträumen (mindestens 5 Jahre), Sicherheitsupdatebereitstellung und End-of-Life-Übergänge. Automatische Benachrichtigungen und Compliance-Dokumentation.

Warum Matproof

Deckt alle wesentlichen CRA-Cybersicherheitsanforderungen ab
Automatische SBOM-Erstellung und Schwachstellenverfolgung
Vorgefertigte ENISA/CSIRT-Meldevorlagen mit Fristenüberwachung
100% EU-Datenresidenz (gehostet in Deutschland)

CRA Readiness Assessment

Assess your Cyber Resilience Act readiness

Take the free assessment

Kundenstimmen

Teams, die keine Angst mehr vor der Audit-Saison haben.

85 %weniger Vorbereitungszeit

Montag Tools angebunden, Freitag hatten wir DORA-konforme Nachweise. Der Prüfer hat gefragt, wie wir das so schnell hinbekommen haben.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Bereit loszulegen?

Bereit loszulegen?

Erfahren Sie, wie Matproof Compliance für Ihr Unternehmen automatisiert.

Demo anfragen