CRA erklärt

Was ist der Cyber Resilience Act? Ein Überblick für KMU.

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die seit dem 11. Dezember 2024 in Kraft ist. Sie verpflichtet Hersteller von Software und vernetzter Hardware, grundlegende Cybersicherheitsanforderungen zu erfüllen — von der Produktentwicklung über das Schwachstellenmanagement bis hin zu Meldepflichten.

Das Wichtigste in 60 Sekunden

  • Inkrafttreten: 11. Dezember 2024 (Art. 71 Abs. 1)
  • Meldepflichten: ab 11. September 2026 (Art. 71 Abs. 2)
  • Vollanwendung: ab 11. Dezember 2027 (Art. 71 Abs. 3)
  • Bußgelder: bis zu €15 Mio oder 2,5 % des weltweiten Jahresumsatzes (Art. 64 Abs. 2)
  • Geltungsbereich: alle Produkte mit digitalen Elementen, die in der EU bereitgestellt werden

Warum gibt es den CRA?

Der überwiegende Teil der Software- und Hardwareprodukte auf dem EU-Markt erfüllte keine grundlegenden Cybersicherheitsanforderungen. Es gab keine horizontale EU-Gesetzgebung für einheitliche Mindeststandards. Die Zahl der Cyberangriffe auf Lieferketten hat dramatisch zugenommen — wie der Log4Shell-Vorfall Ende 2021 eindrücklich gezeigt hat.

Im März 2024 folgte die XZ Utils Backdoor — der „neue Log4Shell". Ein gezielter Supply-Chain-Angriff auf eine weitverbreitete Open-Source-Bibliothek hätte Millionen Linux-Systeme kompromittieren können. Der Angriff war auf Monate angelegt und zeigt: Lieferkettensicherheit ist keine abstrakte Anforderung — sie ist bereits gängige Angriffspraxis.

Im Juli 2024 lähmte ein fehlerhaftes CrowdStrike-Update 8,5 Millionen Windows-Systeme weltweit — der größte IT-Ausfall der Geschichte. Auslöser war ein Sicherheits-Update ohne ausreichende Tests. Genau solche Szenarien will der CRA mit verpflichtenden Schwachstellen-Prozessen, Tests und Update-Disziplin verhindern.

Wer ist betroffen?

Kurz: Fast jedes Softwareunternehmen, das in der EU verkauft. Im Detail:

  • Hersteller von Software-Anwendungen (Desktop, Web, Mobile)
  • Hersteller eingebetteter Software / Firmware
  • Hersteller von Hardware mit Software-Komponenten (IoT, Steuerung, Sensorik)
  • Anbieter lokaler Agents/Clients/Plugins
  • Anbieter von APIs/SDKs, die in EU-Produkte eingebettet werden
  • Open-Source-Software-Betreuer (mit kommerziellem Geschäft)

Nicht erfasst: rein interne Software, reine Cloud-Dienste ohne Datenfernverarbeitung im Sinne der RDPS-Definition. Die Abgrenzung ist nicht trivial — siehe unsere Artikel zu RDPS und SaaS & CRA.

Was verlangt der CRA konkret?

  1. Cybersicherheits-Risikobeurteilung — Produkte müssen unter Berücksichtigung der Cybersicherheit entworfen, entwickelt und hergestellt werden.
  2. Keine bekannten Schwachstellen bei Marktbereitstellung.
  3. Sichere Standardeinstellungen — Reset-Möglichkeit auf Originalzustand.
  4. Automatische Sicherheits-Updates als Standard mit Opt-out.
  5. Schutz vor unbefugtem Zugriff — Authentifizierung, Identitäts- und Zugangsverwaltung.
  6. Verschlüsselung gespeicherter, übermittelter und verarbeiteter Daten.
  7. Datenintegrität — Schutz vor nicht genehmigter Manipulation.
  8. Datensparsamkeit — Verarbeitung auf das Erforderliche beschränken.
  9. Verfügbarkeit — DoS-Resilienz.
  10. Reduktion der Angriffsfläche — unnötige Funktionen deaktivieren.
  11. Eindämmung — Auswirkungen von Vorfällen minimieren.
  12. Logging sicherheitsrelevanter Vorgänge.
  13. Sichere Datenlöschung und -übertragung durch den Nutzer.
  14. SBOM in maschinenlesbarem Format.
  15. Schwachstellenbehandlung mit getrennten Sicherheits-Updates.
  16. Regelmäßige Sicherheitstests.
  17. Veröffentlichung beseitigter Schwachstellen.
  18. Coordinated Vulnerability Disclosure-Strategie.
  19. Kontaktadresse für Schwachstellenmeldungen Dritter.
  20. Kostenlose Sicherheits-Updates mit Hinweisen.
  21. Annex-VII-Dokumentation einschließlich Risikoanalyse.
  22. EU-Konformitätserklärung nach Annex V.
  23. CE-Kennzeichnung.
  24. Klare Nutzeranweisungen nach Annex II.
  25. Meldepflichten — 24h Frühwarnung, 72h Detailmeldung, 14 Tage Abschlussbericht.
  26. Information betroffener Nutzer über Schwachstellen und Vorfälle.

Was sollten Sie jetzt tun?

1

Klassifizieren

Prüfen Sie, ob Ihr Produkt unter den CRA fällt — nutzen Sie unseren kostenlosen CRA-Quick-Check.

2

SBOM beginnen

Eine Software-Stückliste ist Pflicht und Grundlage für vieles weitere.

3

Meldepflichten einplanen

Ab September 2026 läuft die 24-Stunden-Uhr.

Zum kostenlosen CRA-Quick-Check →