Inhaltsverzeichnis
Das Wichtigste in Kürze
- Wer betroffen ist: Der Cyber Resilience Act (Verordnung (EU) 2024/2847) gilt für alle, die „Produkte mit digitalen Elementen” auf dem EU-Markt bereitstellen, also Hardware und Software mit direkter oder indirekter Datenverbindung zu einem Gerät oder Netz.
- Welche Rollen zählen: Pflichten treffen Hersteller, Importeure und Händler unterschiedlich stark, dazu kommt die neue Sonderrolle des Open-Source-Software-Verwalters (Steward).
- Nicht kommerziell = außen vor: Produkte, die nicht im Rahmen einer Geschäftstätigkeit bereitgestellt werden, fallen nicht unter den CRA.
- Sektor-Ausnahmen: Bereits reguliert und damit ausgenommen sind unter anderem Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt und Schiffsausrüstung; reine Cloud-Dienste (SaaS) fallen ebenfalls nicht direkt darunter.
- Bestandsschutz: Produkte, die vor dem 11.12.2027 auf den Markt kamen, unterliegen dem CRA erst, wenn sie danach wesentlich verändert werden.
- Fristen: In Kraft seit 10.12.2024, Meldepflichten ab 11.09.2026, volle Anwendung ab 11.12.2027.
Kaum eine EU-Regulierung hat 2026 so viele Hersteller und Händler verunsichert wie der Cyber Resilience Act. Die Frage, die sich fast jedes Unternehmen mit einem vernetzten Produkt zuerst stellt, ist einfach: Bin ich überhaupt betroffen? Die Antwort entscheidet darüber, ob ab Ende 2027 erheblicher Aufwand für Konformitätsbewertung, Dokumentation und Schwachstellenbehandlung ansteht oder ob das Angebot in eine Ausnahme fällt. Wer sie falsch einschätzt, riskiert im schlimmsten Fall Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
Dieser Leitfaden beantwortet die Betroffenheitsfrage systematisch und führt Sie mit einer klaren Prüf-Logik in fünf Schritten durch die Selbsteinordnung. Wenn Sie die Bewertung anschließend rechtssicher absichern oder Ihre Pflichten priorisieren wollen, hilft eine spezialisierte Cyber Resilience Act Beratung für Hersteller und Händler dabei, den konkreten Handlungsbedarf für Ihr Portfolio zu bestimmen.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act, deutsch auch Cyberresilienz-Verordnung, ist mit der Verordnung (EU) 2024/2847 das erste horizontale EU-Gesetz, das verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen über deren gesamten Lebenszyklus stellt. „Horizontal” bedeutet, dass er nicht auf eine einzelne Branche zielt, sondern grundsätzlich alle vernetzten Produkte erfasst, vom smarten Türschloss bis zur Softwarebibliothek.
Als Verordnung gilt der CRA EU-weit unmittelbar, ohne nationale Umsetzung und in allen Mitgliedstaaten identisch. In Kraft ist er seit dem 10. Dezember 2024, die zentralen Pflichten greifen gestaffelt bis zur vollen Anwendung am 11. Dezember 2027. Genau deshalb lohnt sich die Betroffenheitsprüfung jetzt: Die Vorlaufzeit ist knapper, als sie wirkt.
Für wen gilt der Cyber Resilience Act?
Der Anwendungsbereich des CRA ist bewusst weit gefasst. Erfasst wird jedes Produkt mit digitalen Elementen, das im Rahmen einer Geschäftstätigkeit auf dem Unionsmarkt bereitgestellt wird, nicht nur bei klassischen IT-Herstellern, sondern bei praktisch jedem Anbieter vernetzter Produkte. Ob Ihr Unternehmen betroffen ist, hängt an zwei Fragen: Handelt es sich um ein Produkt mit digitalen Elementen, und welche Rolle nehmen Sie in der Lieferkette ein?
Was ist ein „Produkt mit digitalen Elementen”?
Der CRA definiert ein Produkt mit digitalen Elementen als ein Software- oder Hardware-Produkt einschließlich seiner Fern-Datenverarbeitungslösungen. Das entscheidende Kriterium: Die bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung schließt eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz ein. Diese Definition ist absichtlich breit und deckt sowohl fertige Produkte als auch Komponenten ab, die separat auf den Markt gebracht werden.
Ein häufig übersehener Punkt sind die sogenannten Fern-Datenverarbeitungslösungen. Eine Datenverarbeitung aus der Ferne, ohne die das Produkt eine seiner Funktionen nicht erfüllen könnte und die vom Hersteller oder unter seiner Verantwortung entwickelt wurde, gilt als Teil des Produkts und fällt in den Anwendungsbereich. Ein reiner Cloud-Dienst, der eigenständig als Software as a Service angeboten wird, ist dagegen kein Produkt mit digitalen Elementen und wird nicht vom CRA erfasst. Die Grenze verläuft also nicht bei „Cloud ja oder nein”, sondern bei der Frage, ob die Fernverarbeitung fester Bestandteil der Produktfunktion ist.
Welche Rollen die Verordnung kennt
Der CRA verteilt die Pflichten entlang der Lieferkette. Welche Anforderungen konkret gelten, hängt davon ab, welche Rolle ein Unternehmen für ein bestimmtes Produkt einnimmt:
- Hersteller: Trägt die Hauptlast. Er muss Produkte sicher entwerfen (Security by Design), über den gesamten Lebenszyklus eine Cybersicherheits-Risikobewertung führen, technische Dokumentation und Konformitätsbewertung erstellen, die CE-Kennzeichnung anbringen und Schwachstellen im Supportzeitraum behandeln.
- Importeur: In der EU niedergelassene Person, die ein Produkt eines außerhalb der EU ansässigen Herstellers auf den Markt bringt. Er darf nur konforme Produkte in Verkehr bringen und prüft vorab, dass Konformitätsbewertung, CE-Kennzeichnung und Dokumentation vorliegen.
- Händler: Jeder weitere Akteur in der Lieferkette, der ein Produkt bereitstellt, ohne seine Eigenschaften zu verändern. Er handelt mit gebotener Sorgfalt und prüft, ob CE-Kennzeichnung und Unterlagen vorhanden sind.
- Open-Source-Software-Verwalter (Steward): Eine juristische Person, die die Entwicklung bestimmter, für kommerzielle Tätigkeiten bestimmter Open-Source-Software nachhaltig und systematisch unterstützt. Sie trifft ein abgestufter, leichterer Pflichtenkatalog (Cybersicherheitspolitik, Meldung von Schwachstellen und Vorfällen), Bußgelder sind für Steward-Verstöße ausgeschlossen.
Wichtig ist die Umkehrregel: Wer als Importeur oder Händler ein Produkt unter eigenem Namen oder eigener Marke anbietet oder es wesentlich verändert, gilt selbst als Hersteller und trägt dessen volle Pflichten. Ein „nur Wiederverkäufer” wird so schneller zum Hersteller im Sinne des CRA, als vielen bewusst ist.
Betroffenheit in 5 Schritten prüfen
Ob der CRA für ein konkretes Produkt gilt, lässt sich mit fünf aufeinander aufbauenden Fragen einordnen. Ein „Nein” beendet die Prüfung meist mit dem Ergebnis „nicht betroffen”.
Schritt 1: Hat Ihr Produkt digitale Elemente?
Enthält Ihr Produkt Software, Firmware oder eine sonstige digitale Komponente? Reine mechanische Erzeugnisse ohne jede Software fallen nicht darunter. Sobald Code im Spiel ist, ist das erste Kriterium erfüllt.
Schritt 2: Besteht eine Datenverbindung zu Gerät oder Netz?
Umfasst die bestimmungsgemäße oder vorhersehbare Nutzung eine direkte oder indirekte Datenverbindung zu einem anderen Gerät oder einem Netzwerk? Diese Hürde ist niedrig: Auch eine indirekte Verbindung, etwa über eine Schnittstelle oder ein anderes Produkt, genügt. Vollständig isolierte Geräte sind die seltene Ausnahme.
Schritt 3: Bringen Sie das Produkt auf dem EU-Markt in Verkehr?
Wird das Produkt im Rahmen einer Geschäftstätigkeit auf dem Unionsmarkt bereitgestellt? Der CRA gilt marktbezogen, nicht sitzbezogen: Auch ein Hersteller außerhalb der EU ist betroffen, sobald sein Produkt auf dem EU-Markt angeboten wird. Nicht kommerziell bereitgestellte Produkte fallen heraus.
Schritt 4: Greift eine Sektor-Ausnahme?
Ist Ihr Produkt bereits durch eine sektorspezifische EU-Regulierung abgedeckt, etwa als Medizinprodukt, Kraftfahrzeug, Luftfahrterzeugnis oder Schiffsausrüstung? Dann ist es vom CRA ausgenommen, weil die Cybersicherheit dort bereits geregelt ist. Ohne einschlägige Ausnahme bleibt es im Scope.
Schritt 5: Welche Rolle nehmen Sie ein?
Sind Sie Hersteller, Importeur oder Händler, und bieten Sie das Produkt unter eigenem Namen an oder verändern es wesentlich? Diese Antwort bestimmt nicht mehr das Ob, sondern das Ausmaß Ihrer Pflichten. Wer unter eigener Marke auftritt oder substanziell modifiziert, rutscht in die Herstellerrolle mit den weitreichendsten Anforderungen.
Um diese fünf Schritte noch schneller durchzugehen, stellen wir an dieser Stelle in Kürze einen interaktiven Betroffenheitschecker bereit. Er führt Sie mit wenigen Fragen durch die Prüf-Logik und gibt eine erste Einordnung, ob und in welcher Rolle Ihr Produkt unter den Cyber Resilience Act fällt. Bis dahin helfen die folgenden Produktbeispiele und Ausnahmen bei der Einordnung.
Betroffene und nicht betroffene Produkte im Vergleich
Die abstrakte Definition wird an konkreten Beispielen greifbarer. Die folgende Übersicht zeigt typische Produkte, die klar in den Anwendungsbereich fallen, und solche, die durch eine Ausnahme oder mangels digitaler Elemente außen vor bleiben.
| Vom CRA erfasst | Nicht (direkt) erfasst |
|---|---|
| Smart-Home-Geräte (Kameras, Türschlösser, Thermostate) | Medizinprodukte (geregelt über Verordnung (EU) 2017/745) |
| Laptops, Smartphones, Router und Netzwerktechnik | Kraftfahrzeuge (geregelt über Verordnung (EU) 2019/2144) |
| Betriebssysteme, Firewalls, VPN-Software | Zivile Luftfahrterzeugnisse (Verordnung (EU) 2018/1139) |
| Industrielle Steuerungssysteme und IoT-Sensorik | Schiffsausrüstung (Richtlinie 2014/90/EU) |
| Mobile Apps, Firmware, Software-Bibliotheken und SDKs | Eigenständige SaaS-/Cloud-Dienste (fallen unter NIS 2) |
| Passwortmanager und Antivirensoftware | Nicht kommerzielle, quelloffene Software |
Die rechte Spalte ist kein Freibrief. Wird eine Komponente, die für ein ausgenommenes Produkt bestimmt ist, separat auf den Markt gebracht, kann sie für sich genommen wieder in den Anwendungsbereich fallen. Und eine Sektor-Ausnahme heißt nicht, dass keine Cybersicherheitspflichten bestehen, sondern nur, dass sie aus einem anderen Rechtsakt kommen.
Die wichtigsten Ausnahmen im Detail
Der Anwendungsbereich ist weit, die Ausnahmen sind eng und klar definiert. Wer sich auf eine beruft, sollte deren Grenzen genau kennen.
Bereits regulierte Sektoren
Produkte, deren Cybersicherheit schon durch spezifische EU-Rechtsakte geregelt ist, nimmt der CRA aus, um Doppelregulierung zu vermeiden. Dazu zählen Medizinprodukte und In-vitro-Diagnostika (Verordnungen (EU) 2017/745 und 2017/746), Kraftfahrzeuge (Verordnung (EU) 2019/2144), zivile Luftfahrt (Verordnung (EU) 2018/1139) und Schiffsausrüstung (Richtlinie 2014/90/EU). Ebenfalls ausgenommen sind Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder der Verteidigung entwickelt werden, sowie Produkte zur Verarbeitung von Verschlusssachen.
Software as a Service und Open-Source
Reine SaaS-Angebote sind keine Produkte mit digitalen Elementen und werden von der NIS-2-Richtlinie erfasst; erst eine fest ins Produkt integrierte Fern-Datenverarbeitung fällt unter den CRA. Ähnlich abgestuft ist Open Source: Freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit bereitgestellt wird, fällt nicht unter den CRA. Erst der Vertrieb im Rahmen einer kommerziellen Tätigkeit löst Pflichten aus, und selbst dann in reduzierter Form. Für die neue Rolle des Open-Source-Software-Verwalters gelten leichtere Anforderungen, Bußgelder sind für sie ausdrücklich ausgeschlossen.
TrustSpace Profi-Tipp: Betroffenheit je Produkt, nicht je Unternehmen
Die Betroffenheit wird nicht pauschal für das Unternehmen, sondern für jedes einzelne Produkt und jede Rolle bestimmt. Ein Mittelständler kann für sein vernetztes Gerät Hersteller sein, für eine importierte Zusatzkomponente Importeur und für eine ausgenommene Medizinprodukt-Variante gar nicht betroffen. Legen Sie deshalb früh ein Produktinventar an, das je Position Produktart, Rolle und mögliche Ausnahme festhält. Diese Matrix ist die Grundlage jeder späteren Konformitätsplanung.
Besonderheiten für KMU und kleine Hersteller
Der CRA nimmt kleine und mittlere Unternehmen nicht vom Anwendungsbereich aus, mildert aber an mehreren Stellen die Last. Kleinstunternehmen und kleine Unternehmen dürfen zum Beispiel nicht mit einem Bußgeld belegt werden, wenn sie die 24-Stunden-Frist für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle verfehlen. Für „wichtige” Produkte, die sonst eine Drittprüfung verlangen, können Open-Source-Hersteller unter Umständen die Selbstbewertung nutzen, sofern sie die technische Dokumentation öffentlich machen.
Darüber hinaus verpflichtet die Verordnung Behörden und Mitgliedstaaten, KMU durch Leitlinien und vereinfachte Dokumentation zu entlasten. Der Grundsatz der Verhältnismäßigkeit zieht sich durch: Der Aufwand soll zur Unternehmensgröße und zum Produktrisiko passen. Die grundlegenden Sicherheitsanforderungen und die Konformitätsbewertung entfallen für KMU aber nicht, sie sind lediglich pragmatischer ausgestaltet.
Bestandsschutz: Was gilt für Produkte vor dem Stichtag?
Eine der häufigsten Sorgen betrifft das bestehende Portfolio. Hier gibt die Verordnung Entwarnung mit einer klaren Übergangsregel: Produkte mit digitalen Elementen, die vor dem 11. Dezember 2027 auf den Markt gebracht wurden, unterliegen dem CRA nur dann, wenn sie ab diesem Datum wesentlich verändert werden. Ein unverändert weiterlaufendes Bestandsprodukt muss also nicht nachträglich CRA-konform gemacht werden.
Der entscheidende Begriff ist die „wesentliche Änderung”. Ein sicherheitsrelevantes Funktionsupdate oder ein spürbarer Eingriff in Konzeption und Zweck kann die volle CRA-Pflicht auslösen, ein reines Sicherheits-Patch dagegen in der Regel nicht. Wer den Support für ein Bestandsprodukt über 2027 hinaus plant, sollte diese Grenze im Änderungsmanagement beobachten. Wie sich diese und die übrigen Stichtage staffeln, zeigt unsere Übersicht über alle Fristen und Deadlines des Cyber Resilience Act im Detail.
Steht Ihre Betroffenheit fest, folgt die geordnete Umsetzung, von der Risikobewertung über die technische Dokumentation bis zur Konformitätsbewertung. Eine strukturierte Roadmap zur CRA-Umsetzung hilft dabei, die verbleibende Zeit bis zur vollen Anwendung sinnvoll einzuteilen.
Fazit: Erst einordnen, dann umsetzen
Der Cyber Resilience Act ist bewusst breit angelegt, und die meisten Unternehmen, die vernetzte Hardware oder Software kommerziell anbieten, fallen darunter. Die eigentliche Kunst liegt nicht in der Ja-Nein-Frage, sondern in der präzisen Einordnung: Produkt mit digitalen Elementen, greift eine der eng gefassten Sektor-Ausnahmen, und welche Rolle nehmen Sie in der Lieferkette ein? Die fünf Prüfschritte liefern dafür einen verlässlichen roten Faden.
Weil die Betroffenheit je Produkt und je Rolle unterschiedlich ausfällt, ist ein sauberes Produktinventar die beste Vorbereitung. Wer jetzt einordnet, gewinnt Vorlaufzeit bis zur vollen Anwendung am 11. Dezember 2027 und vermeidet, dass aus einer unterschätzten Pflicht ein teures Bußgeldrisiko wird. Die Betroffenheitsprüfung ist damit der erste Baustein einer belastbaren CRA-Strategie.
Häufige Fragen (FAQ)
Gilt der Cyber Resilience Act auch für Unternehmen außerhalb der EU?
Ja. Der CRA ist marktbezogen, nicht sitzbezogen. Ein Hersteller mit Sitz außerhalb der EU ist betroffen, sobald sein Produkt mit digitalen Elementen auf dem EU-Markt bereitgestellt wird. In diesem Fall übernimmt häufig ein in der EU niedergelassener Importeur zusätzliche Prüfpflichten, bevor das Produkt in Verkehr gebracht werden darf.
Fällt reine Software auch unter den CRA?
Ja. Der Anwendungsbereich umfasst ausdrücklich Software, sofern sie eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netz vorsieht. Das schließt Betriebssysteme, Anwendungen, mobile Apps, Firmware sowie separat vertriebene Bibliotheken und SDKs ein. Nur eigenständige Cloud-Dienste (SaaS) und nicht kommerzielle Open-Source-Software bleiben außen vor.
Ist mein SaaS-Produkt vom Cyber Resilience Act betroffen?
Ein rein als Cloud-Dienst angebotenes SaaS-Produkt ist kein Produkt mit digitalen Elementen und daher nicht direkt vom CRA erfasst, sondern eher von der NIS-2-Richtlinie. Anders liegt der Fall, wenn eine Cloud-Funktion als Fern-Datenverarbeitungslösung fest zu einem Gerät oder einer Anwendung gehört: Dann gilt sie als Teil des Produkts und ist mit reguliert.
Müssen bestehende Produkte nachträglich CRA-konform gemacht werden?
In der Regel nicht. Produkte, die vor dem 11. Dezember 2027 auf den Markt gebracht wurden, unterliegen dem CRA erst dann, wenn sie ab diesem Datum wesentlich verändert werden. Ein unverändert weiterlaufendes Bestandsprodukt genießt Bestandsschutz. Ein sicherheitsrelevantes Funktionsupdate kann die Pflicht jedoch auslösen.
Was passiert bei Verstößen gegen den Cyber Resilience Act?
Bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für andere Verstöße gelten niedrigere Stufen. Kleinstunternehmen und kleine Unternehmen sind von der Bußgeldpflicht bei verspäteter Meldung ausgenommen.



