33 Antworten
Was ist der Cyber Resilience Act, und warum höre ich jetzt davon?
Der Cyber Resilience Act (Verordnung EU 2024/2847, kurz CRA) ist das erste europäische Gesetz, das Cybersicherheitsanforderungen für "Produkte mit digitalen Elementen" festlegt, die in der Europäischen Union verkauft werden – also praktisch alles, was Software enthält oder sich mit einem Netzwerk verbindet. Er ist am 10. Dezember 2024 in Kraft getreten, die wichtigsten Pflichten werden aber erst ab dem 11. Dezember 2027 verbindlich.
Man spricht jetzt darüber, weil es eine Übergangsfrist gibt: Wer digitale Produkte entwickelt und verkauft, hat Zeit, sich anzupassen – aber einige Zwischenfristen (etwa die Meldepflichten) greifen bereits 2026.
GiBSeS — Zu klären, ob und wie der CRA Sie betrifft, ist die erste Diagnose, die wir mit KMU durchführen, die vernetzte Produkte entwickeln.
Was genau versteht man unter einem "Produkt mit digitalen Elementen"?
Das ist jedes Hardware- oder Softwareprodukt, dessen Zweckbestimmung eine Verbindung vorsieht – direkt oder indirekt, logisch oder physisch – zu einem Gerät oder einem Netzwerk. Darunter fallen vernetzte Gegenstände (IP-Kameras, Router, smarte Haushaltsgeräte, Industriesensoren, IoT-Geräte), aber auch eigenständig verkaufte Software (Anwendungen, Betriebssysteme, Bibliotheken, Firmware).
Eingeschlossen sind auch Fernverarbeitungslösungen für Daten, die für den Betrieb des Produkts erforderlich sind (zum Beispiel der Cloud-Teil eines Geräts). Ausgenommen bleiben dagegen Produkte, die bereits durch spezifische sektorale Regelungen abgedeckt sind, wie viele Medizinprodukte, die Automobilbranche und die Luftfahrt.
GiBSeS — Der heikelste Punkt ist oft die Frage, wo Ihr Produkt endet und wo eine Dienstleistung beginnt: Diese Abgrenzung helfen wir von Anfang an zu klären.
Woran erkenne ich, ob mein Unternehmen vom CRA betroffen ist?
Der CRA gilt für alle, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen, mit unterschiedlichen Pflichten je nach Rolle: Hersteller (wer entwickelt oder fertigt, oder unter eigenem Namen entwickeln bzw. fertigen lässt) tragen die strengsten Pflichten; Einführer (wer Produkte von Unternehmen außerhalb der EU in die EU bringt) müssen prüfen, ob der Hersteller seinen Teil erfüllt hat; Händler müssen mit gebotener Sorgfalt in der Lieferkette handeln.
Selbst wenn Sie ein von anderen gefertigtes Produkt unter eigenem Markennamen weiterverkaufen, werden Sie in den Augen der Verordnung zum "Hersteller". Es lohnt sich, die Rolle zu klären, bevor man davon ausgeht, dass die Pflicht bei jemand anderem liegt.
GiBSeS — Ihre Rolle in der Kette – Hersteller, Einführer oder Händler – präzise zu bestimmen, verändert die Liste der Pflichten grundlegend. Genau dort setzen wir an.
Ich verkaufe nur Software, keine Hardware: Bin ich trotzdem betroffen?
Ja. Der CRA erfasst ausdrücklich Software, die eigenständig auf den Markt gebracht wird, nicht nur Software, die in ein Gerät integriert ist. Darunter fallen also Anwendungen, Betriebssysteme, Firmware, Bibliotheken und separat verkaufte Softwarekomponenten.
Entscheidend ist, dass das Produkt im Rahmen einer Geschäftstätigkeit auf dem EU-Markt bereitgestellt wird. Die Art der Verteilung (Download, Lizenz, Abonnement) befreit Sie nicht von den Pflichten.
GiBSeS — Für eine Softwarefirma wirken sich die Sicherheitsanforderungen "by design" und das Schwachstellenmanagement direkt auf den Entwicklungszyklus aus: Diese Anpassung sollte man planen, nicht improvisieren.
Welche Hauptpflichten gelten konkret für einen Hersteller?
Im Kern des CRA stehen zwei Pflichtenfamilien. Erstens die Sicherheit "by design": Das Produkt muss so konzipiert, entwickelt und hergestellt werden, dass ein angemessenes Cybersicherheitsniveau gewährleistet ist, basierend auf einer Risikobewertung (zum Beispiel: sichere Standardkonfiguration, Datenschutz, reduzierte Angriffsfläche).
Zweitens das Schwachstellenmanagement über den gesamten Lebenszyklus: Schwachstellen zeitnah erkennen und beheben, Sicherheitsupdates bereitstellen (kostenlos und, wo möglich, automatisch), eine Software-Stückliste (SBOM) pflegen und eine koordinierte Offenlegungspolitik für Schwachstellen etablieren. Hinzu kommen technische Dokumentation, Konformitätserklärung und CE-Kennzeichnung.
GiBSeS — Diese Grundsätze in konkrete Prozesse innerhalb eines Unternehmens ohne eigene Sicherheitsabteilung zu übersetzen, ist genau die operative Arbeit, bei der wir KMU begleiten.
Wie lange bin ich verpflichtet, Sicherheitsupdates bereitzustellen?
Der Hersteller muss Schwachstellen verwalten und Sicherheitsupdates für den gesamten "Unterstützungszeitraum" bereitstellen, der widerspiegeln muss, wie lange das Produkt vernünftigerweise genutzt werden dürfte. In der Regel sollte dieser Zeitraum nicht kürzer als fünf Jahre sein; ist das Produkt für einen kürzeren Gebrauch vorgesehen, kann der Zeitraum kürzer ausfallen, muss dann aber klar kommuniziert werden.
Der Unterstützungszeitraum muss dem Käufer beim Kauf verständlich mitgeteilt werden. Das hat reale wirtschaftliche Auswirkungen, weil Sie sich verpflichten, über Jahre hinweg Entwicklungs- und Sicherheitsressourcen bereitzuhalten.
GiBSeS — Den Unterstützungszeitraum zu dimensionieren, ist ebenso eine technische wie eine wirtschaftlich-finanzielle Entscheidung: Wir helfen, dieses Gleichgewicht mit konkreten Zahlen zu bewerten, ohne sich zu übernehmen.
Muss ich Schwachstellen und Vorfälle wirklich den Behörden melden?
Ja, aber mit einer wichtigen Präzisierung: Die Pflicht betrifft nicht jede Schwachstelle, sondern aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit des Produkts beeinträchtigen. In diesen Fällen muss der Hersteller innerhalb sehr enger Fristen eine Meldung auslösen.
Der Zeitplan sieht eine "Frühwarnung" ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden ab Kenntnisnahme des Problems vor, gefolgt von einer ausführlicheren Meldung innerhalb von 72 Stunden und schließlich einem Abschlussbericht. Es braucht daher im Vorfeld ein internes Verfahren, das automatisch greift, sobald etwas passiert.
GiBSeS — Ein Meldeverfahren bereitzuhalten, das die 24- und 72-Stunden-Fristen einhält, bevor es wirklich gebraucht wird, ist eine der am meisten unterschätzten Vorbereitungen: Besser im Vorfeld testen.
An wen müssen ausgenutzte Schwachstellen und Vorfälle gemeldet werden?
Die Meldungen laufen über eine einheitliche, europaweit koordinierte Meldeplattform, an der die ENISA (die Agentur der Europäischen Union für Cybersicherheit) und die als Kontaktstelle benannten nationalen CSIRTs beteiligt sind. Im Grunde melden Sie über den nationalen Kanal, und die Information wird an die zuständigen Stellen weitergeleitet.
Die operativen Details (welches Portal, welche nationalen Behörden als Ansprechpartner) werden auf Ebene jedes Mitgliedstaats und durch Durchführungsrechtsakte festgelegt. Es lohnt sich daher, den konkreten Kanal für das eigene Land zu prüfen, sobald die Pflichten wirksam werden.
GiBSeS — Den richtigen Kanal für Ihr Land im Voraus zu ermitteln, statt ihn erst während eines Vorfalls zu entdecken, ist Teil der Vorbereitung, die wir gemeinsam aufsetzen.
Ab wann ist der CRA verbindlich einzuhalten?
Die Verordnung ist am 10. Dezember 2024 in Kraft getreten, die Anwendung erfolgt aber gestaffelt. Die wichtigsten Pflichten – Sicherheitsanforderungen, CE-Kennzeichnung, Konformitätserklärung – gelten ab dem 11. Dezember 2027. Vor diesem Datum greifen jedoch bereits einige vorgezogene Pflichten.
Insbesondere gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle bereits ab einem vorgezogenen Termin im Jahr 2026 (etwa ab September 2026), während die Bestimmungen zu den Konformitätsbewertungsstellen einige Monate früher greifen. Da einige genaue Termine noch durch Durchführungsrechtsakte präzisiert werden können, lohnt es sich, sie auf offiziellen Quellen zu überprüfen, je näher die Fristen rücken.
GiBSeS — Eine Roadmap zu erstellen, die von den vorgezogenen Fristen 2026 ausgeht und nicht erst von 2027, verhindert, dass Sie zu spät dran sind: Das ist das Erste, was wir gemeinsam klären.
Stimmt es, dass manche Pflichten schon vor 2027 greifen?
Ja, und das übersieht so mancher. Auch wenn der Großteil des CRA erst Ende 2027 wirksam wird, gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle bereits früher, im Laufe des Jahres 2026. Das bedeutet, Sie müssen Monate vor Erfüllung der vollständigen technischen Produktanforderungen bereit sein, bestimmte Ereignisse zu melden.
Das ist eine bewusste Entscheidung des Gesetzgebers: den Informationsfluss über reale Bedrohungen abzusichern, noch bevor der gesamte Compliance-Apparat vollständig etabliert ist. Das genaue Datum dieser Zwischenfrist muss auf offiziellen Quellen bestätigt werden, aber die Logik "die Meldepflicht kommt zuerst" steht fest.
GiBSeS — Zu unterscheiden, was bereits 2026 nötig ist, von dem, was Sie in Ruhe für 2027 vorbereiten können, ist genau die Art von Priorisierung, bei der wir helfen.
Muss ich auch auf Software eine CE-Kennzeichnung anbringen? Und was ist die Konformitätserklärung?
Ja: Der CRA führt die CE-Kennzeichnung auch für Produkte mit digitalen Elementen ein, Software eingeschlossen. Die CE-Kennzeichnung zeigt an, dass das Produkt den Anforderungen der Verordnung entspricht, und kann bei Software in digitaler Form angebracht werden (zum Beispiel in der Dokumentation oder auf der Benutzeroberfläche), wenn eine physische Anbringung nicht möglich ist.
Die EU-Konformitätserklärung ist das Dokument, mit dem der Hersteller unter eigener Verantwortung erklärt, dass das Produkt die geltenden Anforderungen erfüllt. Sie muss erstellt, den Behörden zur Verfügung gehalten und durch die technische Dokumentation begleitet werden, die belegt, wie diese Konformität erreicht wurde.
GiBSeS — Eine belastbare technische Dokumentation und eine verteidigungsfähige Konformitätserklärung vorzubereiten, ist weniger banal, als es scheint: eine Methodenarbeit, die Sie einmal aufsetzen und für jedes Produkt wiederverwenden.
Muss ich das Produkt von einer externen Stelle zertifizieren lassen, oder kann ich es selbst erklären?
Das hängt von der Risikokategorie des Produkts ab. Für die große Mehrheit der Produkte mit digitalen Elementen genügt die Selbstbewertung der Konformität durch den Hersteller. Für die sensibleren Kategorien – die der CRA "wichtige" und "kritische" Produkte nennt (zum Beispiel Passwortmanager, Firewalls, VPNs, Betriebssysteme, bestimmte Sicherheitsgeräte) – sind strengere Verfahren vorgesehen, die in bestimmten Fällen eine externe Konformitätsbewertungsstelle oder die Anwendung europäischer Zertifizierungsschemata einbeziehen.
Es ist daher wesentlich, das eigene Produkt von Anfang an korrekt einzustufen, denn davon hängt ab, wie aufwendig der Weg zur Konformität wird.
GiBSeS — Die Produktklassifizierung ist eine Weiche, die Kosten und Zeitaufwand bestimmt: Sie frühzeitig zu prüfen, bevor in die Entwicklung investiert wird, gehört zu den nützlichsten Diagnosen.
Was sind "wichtige" und "kritische" Produkte im CRA?
Der CRA teilt Produkte nach Risiko ein. Die Grundkategorie unterliegt der Selbstbewertung. "Wichtige" Produkte (im Regelwerk aufgeführt und in zwei Klassen unterteilt) erfüllen sicherheitsrelevante Funktionen – man denke an Browser, Passwortmanager, Betriebssysteme, Router, Firewalls, Antivirenprogramme – und erfordern anspruchsvollere Konformitätsverfahren. "Kritische" Produkte sind jene mit der sensibelsten Funktion für die Sicherheit der gesamten Kette und können einer verpflichtenden europäischen Zertifizierung unterliegen.
Die Listen dieser Kategorien können von der Kommission im Laufe der Zeit aktualisiert werden, es lohnt sich daher, sie regelmäßig zu überprüfen.
GiBSeS — Zu wissen, in welche Stufe Ihr Produkt heute fällt – und zu beobachten, ob sich die Listen ändern – gehört zur laufenden Betreuung, bei der wir unterstützen.
Ich entwickle oder nutze Open-Source-Software: Gilt der CRA für mich?
Freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt wird, ist grundsätzlich von den Pflichten des CRA ausgenommen: Ein gemeinnütziges Community-Projekt wird nicht wie ein kommerzieller Hersteller behandelt. Die Situation ändert sich, wenn Open-Source-Software in ein kommerzielles Produkt integriert und auf den Markt gebracht wird: In diesem Fall trägt die Verantwortung, wer das fertige Produkt vermarktet.
Die Verordnung führt zudem eine Zwischenfigur ein, den "Steward quelloffener Software" (Organisationen, die die Entwicklung von in kommerziellen Kontexten genutzter Open-Source-Software strukturiert unterstützen), mit leichteren und verhältnismäßigeren Pflichten als für echte Hersteller.
GiBSeS — Wenn Ihr Produkt auf Open-Source-Komponenten aufbaut, klären wir früh, wer entlang der Kette wofür verantwortlich ist, bevor daraus ein Problem wird.
Ich importiere digitale Produkte von außerhalb der EU: Welche Pflichten habe ich?
Als Einführer dürfen Sie nur CRA-konforme Produkte auf dem EU-Markt bereitstellen. Sie müssen prüfen, ob der Hersteller außerhalb der EU die Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt, die CE-Kennzeichnung angebracht und die Anleitungen bereitgestellt hat. Sie müssen zudem sicherstellen, dass die Kontaktdaten des Herstellers und Ihre eigenen angegeben sind.
Haben Sie Grund zur Annahme, dass ein Produkt nicht konform ist, dürfen Sie es nicht auf den Markt bringen; entdecken Sie ein Risiko im Nachhinein, müssen Sie tätig werden und die Behörden informieren. In der Praxis werden Sie zu einem Verantwortungsfilter zwischen dem ausländischen Hersteller und dem europäischen Markt.
GiBSeS — Eine Prüf-Checkliste für Lieferanten außerhalb der EU aufzusetzen, schützt Sie vor Produkten, für die Sie am Ende geradestehen müssten: eine Kontrolle, die sich zu strukturieren lohnt.
Ich bin Händler/Wiederverkäufer: Muss ich auch etwas tun?
Ja, auch wenn Ihre Pflichten leichter sind als die des Herstellers. Als Händler müssen Sie mit gebotener Sorgfalt handeln: prüfen, dass das Produkt die CE-Kennzeichnung trägt, von der erforderlichen Dokumentation und den Anleitungen begleitet wird und dass Hersteller und Einführer ihren Pflichten nachgekommen sind.
Sie dürfen kein Produkt auf dem Markt bereitstellen, von dem Sie wissen oder wissen müssten, dass es nicht konform ist, und wenn Sie von einem Risiko erfahren, müssen Sie mit den vorgelagerten Akteuren zusammenarbeiten und diese informieren sowie, falls nötig, die Behörden.
GiBSeS — Selbst eine "leichte" Sorgfaltspflicht braucht klare Prüfkriterien: Sie einmal festzulegen, erspart Ihnen Auseinandersetzungen von Fall zu Fall.
Was riskiere ich konkret, wenn ich nicht konforme Produkte im EU-Markt verkaufe?
Die Marktüberwachungsbehörden können Korrekturmaßnahmen anordnen, den Rückruf oder die Rücknahme des Produkts verlangen und dessen Bereitstellung auf dem EU-Markt verbieten oder einschränken. Neben dem Reputationsschaden gibt es Geldbußen, die sehr erheblich ausfallen können.
Das Risiko besteht also nicht nur in der Geldbuße: Es ist die konkrete Möglichkeit, das Produkt vom Markt nehmen zu müssen, mit den wirtschaftlichen Folgen für Umsatz und Kunden, die das mit sich bringt. Die Überwachungsentscheidungen liegen bei den nationalen Behörden der Mitgliedstaaten.
GiBSeS — Die reale Risikoexposition zu bewerten – nicht nur die theoretische Geldbuße, sondern das Risiko der Marktrücknahme – ist die Art von Risiko-Nutzen-Analyse, von der wir vor jeder Entscheidung ausgehen.
Wie hoch sind die im CRA vorgesehenen Sanktionen?
Die Verordnung legt hohe Höchstgrenzen fest. Bei Verstößen gegen die grundlegenden Sicherheitsanforderungen und die Hauptpflichten des Herstellers können die Sanktionen bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Bei Verstößen gegen andere Pflichten liegt die Obergrenze bei 10 Millionen Euro oder 2 % des Umsatzes; bei ungenauen oder irreführenden Angaben gegenüber den Behörden bei bis zu 5 Millionen Euro oder 1 %.
Das sind Höchstbeträge: Die tatsächliche Sanktion wird von den nationalen Behörden festgelegt, die Schwere, Dauer und auch die Unternehmensgröße berücksichtigen müssen, mit besonderer Rücksicht auf KMU und Kleinstunternehmen. Die genauen Beträge in Ihrem Land hängen daher von den zuständigen Behörden ab.
GiBSeS — Die Höchstgrenzen wirken beeindruckend, doch die relevante Frage ist, wie exponiert Sie tatsächlich sind: das reale Risiko im Verhältnis zu Ihrer Situation zu dimensionieren, ist aussagekräftiger als der Blick auf die Höchstsumme.
Worin unterscheiden sich Cyber Resilience Act und NIS2?
Sie befassen sich mit unterschiedlichen, aber komplementären Dingen. Der CRA regelt die Sicherheit von Produkten: Wer Hardware und Software entwickelt und verkauft, muss sie sicher gestalten und halten. Die NIS2-Richtlinie regelt dagegen die Sicherheit von Organisationen und ihren Prozessen: Sie schreibt Maßnahmen zum Cyberrisikomanagement für Einrichtungen vor, die in als wesentlich oder wichtig eingestuften Sektoren tätig sind.
Kurz gesagt: Der CRA blickt auf das Produkt, das Sie auf den Markt bringen, NIS2 blickt darauf, wie Ihre Organisation die Sicherheit verwaltet. Ein Unternehmen kann unter beide fallen, jeweils für unterschiedliche Aspekte.
GiBSeS — Zu verstehen, welche Regelung Sie betrifft und warum, verhindert sowohl Doppelarbeit als auch Compliance-Lücken: eine Kartierung, die wir integriert durchführen.
Wenn mein Produkt künstliche Intelligenz nutzt, überschneiden sich CRA und AI Act?
Beide können anwendbar sein, aber auf unterschiedlichen Ebenen. Die KI-Verordnung (AI Act) regelt die Risiken im Zusammenhang mit KI-Systemen (Transparenz, Risikomanagement, Pflichten für Hochrisikosysteme); der CRA regelt die Cybersicherheit des Produkts mit digitalen Elementen. Ein vernetztes KI-Produkt muss daher möglicherweise sowohl die Sicherheitsanforderungen des CRA als auch die Pflichten der KI-Verordnung erfüllen.
Der Gesetzgeber hat versucht, beide Regelwerke zu koordinieren, um Doppelungen zu vermeiden, in der Praxis braucht es aber eine kombinierte Betrachtung von Fall zu Fall, um zu verstehen, welche Anforderungen für Ihr konkretes Produkt gelten.
GiBSeS — KI-Verordnung und CRA gemeinsam zu lesen, ohne dieselbe Arbeit zweimal zu machen, ist ein konkreter Vorteil, wenn ein unabhängiger Advisor beide Fronten koordiniert.
Müssen sich Produkte, die ich heute schon auf dem Markt habe, anpassen?
Grundsätzlich gilt der CRA für Produkte, die nach dem Anwendungsdatum der Hauptpflichten auf den Markt gebracht werden. Es gibt jedoch Übergangsregelungen und besondere Aufmerksamkeitspunkte für bereits auf dem Markt befindliche Produkte, die nach diesem Datum wesentlich verändert werden, oder für die zu führende Dokumentation.
Die Pflichten zum Schwachstellenmanagement und zur Meldung folgen zudem einer an den Lebenszyklus geknüpften Logik, es lohnt sich also nicht, davon auszugehen, dass der bestehende "Produktpark" völlig außer Reichweite ist. Die genauen Termine und Übergangsdetails sind anhand der offiziellen Textgrundlage je nach konkreter Situation zu prüfen.
GiBSeS — Eine Bestandsaufnahme dessen zu machen, was bereits im Handel ist, und zu klären, was Aufmerksamkeit erfordert, ist ein praktischer Schritt, der oft Überraschungen zutage bringt: besser vorher klären.
Was kostet die Anpassung an den CRA für ein KMU?
Eine einheitliche Zahl gibt es nicht: Es hängt von der Komplexität des Produkts ab, von der Risikokategorie, davon, wie weit Sicherheit bereits in Ihren Entwicklungsprozess integriert ist, und vom Unterstützungszeitraum, den Sie garantieren müssen. Die Hauptkosten liegen in der Regel in der Anpassung der Entwicklungsprozesse (Security by Design, SBOM, Schwachstellenmanagement), der technischen Dokumentation und, bei Produkten mit höherem Risiko, in der eventuellen Einbindung Dritter.
Die gute Nachricht: Vieles davon ist einmalige Arbeit an den Prozessen, die anschließend auf alle Produkte wiederverwendet wird. Der teuerste Fehler für ein KMU ist, das Thema erst in letzter Minute anzugehen oder es im Verhältnis zum realen Risiko zu überdimensionieren.
GiBSeS — Die Investition am tatsächlichen Risiko auszurichten – ohne Unter-Compliance und ohne Überengineering – ist unser Ansatz bei Compliance: erst die Analyse, dann die Ausgabe.
Ich bin ein KMU, das digitale Produkte herstellt: Womit fange ich in der Praxis an?
Drei konkrete Schritte. Erstens die Bestandsaufnahme: Listen Sie die Produkte mit digitalen Elementen auf, die Sie auf den EU-Markt bringen, und legen Sie für jedes Ihre Rolle fest (Hersteller, Einführer, Händler). Zweitens die Risikoklassifizierung: prüfen Sie, ob Sie in die Grundkategorie, "wichtig" oder "kritisch" fallen, denn davon hängt ab, wie aufwendig der Weg wird. Drittens die Abstandsbewertung: vergleichen Sie Ihre aktuellen Prozesse in Entwicklung, Schwachstellenmanagement und Dokumentation mit dem, was der CRA verlangt.
Daraus bauen Sie eine Roadmap, die die vorgezogenen Fristen 2026 (Meldepflichten) und die Hauptfristen 2027 berücksichtigt. Das Ziel ist nicht, alles sofort zu erledigen, sondern die richtigen Dinge in der richtigen Reihenfolge.
GiBSeS — Diese Kette aus Bestandsaufnahme, Klassifizierung und Gap-Analyse ist genau die Ausgangsdiagnose, die wir mit produzierenden KMU durchführen – unabhängig und ohne Bindung an eine Technologie oder einen Anbieter.
Ich habe weder Sitz noch Niederlassung in der Europäischen Union: Gilt der Cyber Resilience Act trotzdem für mein Produkt?
Ja. Der Cyber Resilience Act (Verordnung EU 2024/2847) folgt einer Marktlogik, nicht einer Sitzlogik: Er gilt für jeden, der ein "Produkt mit digitalen Elementen" (vernetzbare Hardware oder Software) auf dem Unionsmarkt bereitstellt, unabhängig davon, wo der Hersteller seinen Sitz hat. Wird Ihr IoT-Gerät, Ihre App, Ihre Firmware oder Ihre Bibliothek in der EU verkauft oder bereitgestellt, sind Sie im Sinne der Verordnung Hersteller und müssen deren Pflichten erfüllen.
Es gibt keine Umsatz- oder Mengenschwelle, die Sie als ausländisches Unternehmen befreit: Entscheidend ist allein die Tatsache der Vermarktung in Europa.
GiBSeS — GiBSeS hilft Unternehmen außerhalb der EU zu klären, ob und wie der CRA ihr Produkt auf dem europäischen Markt betrifft, bevor sie investieren.
Brauche ich zwingend einen Vertreter oder Bevollmächtigten in Europa, um CRA-konform zu sein?
Der CRA verpflichtet Hersteller außerhalb der EU nicht dazu, zwingend einen Bevollmächtigten (autorisierten Vertreter) zu benennen: Die Benennung ist eine Option, die mit einem schriftlichen Mandat formalisiert wird und es Ihnen erlaubt, bestimmte Aufgaben an eine in der EU niedergelassene Stelle zu delegieren, etwa die Bereithaltung der technischen Dokumentation und die Zusammenarbeit mit den Behörden.
Die Figur, die dagegen so gut wie immer unverzichtbar ist, ist der in der EU niedergelassene Einführer, denn ohne eine europäische Stelle, die das Produkt auf den Markt bringt, bleiben viele Pflichten faktisch unerfüllbar. In der Praxis kann ein Bevollmächtigter die Beziehungen zu den Aufsichtsbehörden vereinfachen, die Entscheidung ist aber von Fall zu Fall zu treffen.
GiBSeS — GiBSeS hilft Ihnen zu entscheiden, ob sich ein EU-Bevollmächtigter lohnt oder ob Sie sich auf den Einführer stützen können, ohne sich an eine schwerere Struktur als nötig zu binden.
Wer trägt die Verantwortung für die CRA-Konformität: ich als ausländischer Hersteller, der Einführer oder der Händler in der EU?
Die Hauptverantwortung bleibt beim Hersteller, auch wenn er seinen Sitz außerhalb der EU hat: Bewertung der Cybersicherheitsrisiken, Einhaltung der grundlegenden Anforderungen, technische Dokumentation, Konformitätserklärung, Schwachstellenmanagement.
Der in der EU niedergelassene Einführer hat eine Kontrollrolle: Er darf nur konforme Produkte auf den Markt bringen und muss prüfen, dass der Hersteller die Konformitätsbewertung durchgeführt hat, dass das Produkt die CE-Kennzeichnung trägt und von Konformitätserklärung und Anleitungen begleitet wird. Der Händler, nachgelagert, muss mit gebotener Sorgfalt handeln und das Vorhandensein von Kennzeichnung und Dokumenten prüfen.
Verändern Einführer oder Händler das Produkt wesentlich oder verkaufen sie es unter eigener Marke, können sie die Pflichten des Herstellers übernehmen.
GiBSeS — GiBSeS hilft dabei, zu kartieren, wer entlang Ihrer europäischen Vertriebskette wofür zuständig ist, damit die Verantwortlichkeiten klar sind, bevor Sie Verträge mit Einführern unterzeichnen.
Muss ich die CE-Kennzeichnung und eine Konformitätserklärung auch anbringen, wenn das Produkt außerhalb der EU entwickelt und gefertigt wird?
Ja. Um auf den EU-Markt gebracht zu werden, muss das Produkt mit digitalen Elementen die CE-Kennzeichnung tragen, die die Konformität mit den Anforderungen des CRA bestätigt (zusätzlich zu eventuell anwendbaren anderen Regelungen). Die Kennzeichnung muss von der EU-Konformitätserklärung begleitet werden, die vom Hersteller erstellt und unterzeichnet wird und der er die Verantwortung dafür übernimmt.
Der Ort der Entwicklung oder Fertigung ist irrelevant: Entscheidend ist, dass vor der Vermarktung in Europa die entsprechende Konformitätsbewertung, die technische Dokumentation und die Anbringung der Kennzeichnung abgeschlossen sind.
GiBSeS — GiBSeS begleitet Unternehmen außerhalb der EU auf dem Weg zur CE-Kennzeichnung nach CRA, von der Anforderungsbewertung bis zur Konformitätserklärung.
Was riskiere ich konkret, wenn mein Produkt nicht CRA-konform ist: Wird meine Ware an der Grenze aufgehalten?
Ja, das ist eines der möglichen Szenarien. Die Marktüberwachungsbehörden und die Zollbehörden können bei nicht konformen Produkten eingreifen: die Bereitstellung aussetzen, den Rückruf oder die Rücknahme vom Markt anordnen, die Bereitstellung verbieten oder einschränken und, bei erheblichem Risiko, die Ware an der Grenze stoppen.
Neben der physischen Blockade der Produkte sieht der CRA Verwaltungssanktionen vor, die bei den schwerwiegendsten Verstößen hohe Beträge erreichen können (bis zu mehreren Millionen Euro oder einem Prozentsatz des weltweiten Jahresumsatzes). Für ein ausländisches Unternehmen ist der größere Schaden oft der plötzliche Verlust des Zugangs zum europäischen Markt.
GiBSeS — GiBSeS hilft, Grenzstopps vorzubeugen, indem Nichtkonformitäten, nach denen die EU-Behörden suchen, frühzeitig identifiziert werden.
Gelten die Pflichten zum Schwachstellenmanagement und zur Meldung von Vorfällen auch für einen ausländischen Hersteller?
Ja. Der CRA verpflichtet den Hersteller, unabhängig von seinem Sitz, Schwachstellen über den gesamten Unterstützungszeitraum des Produkts zu verwalten: Sicherheitsupdates bereitzustellen, eine koordinierte Offenlegungspolitik zu pflegen und den Behörden auf Anfrage eine Software-Stückliste (SBOM) zur Verfügung zu stellen.
Zudem besteht die Meldepflicht: Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle müssen über die einheitliche europäische Meldeplattform mit strengen Fristen gemeldet werden (eine erste Vorwarnung innerhalb von 24 Stunden, gefolgt von detaillierteren Meldungen). Diese Pflichten folgen dem Produkt, nicht dem Sitz des Herstellers, und gehören zu den ersten, die anwendbar werden.
GiBSeS — GiBSeS hilft, Prozesse für Schwachstellenmanagement und -meldung einzurichten, die mit den EU-Fristen kompatibel sind, auch wenn Sie von außerhalb Europas aus operieren.
Ab wann muss ich CRA-konform sein, um weiterhin in Europa verkaufen zu können?
Die Verordnung ist bereits in Kraft, die Pflichten treten aber gestaffelt in Kraft. Die Meldepflichten für ausgenutzte Schwachstellen und schwerwiegende Vorfälle gelten zuerst (ab September 2026), während der Großteil der Produktpflichten – grundlegende Anforderungen, CE-Kennzeichnung, Konformitätsbewertung – ab Dezember 2027 vollständig anwendbar wird.
Für ein Unternehmen außerhalb der EU ist das kostbare Vorlaufzeit: sichere Entwicklung, Dokumentation und eine eventuelle Einbindung einer benannten Stelle brauchen Monate. Es lohnt sich, diese Termine als Projektmeilensteine zu behandeln, nicht als ferne Fristen.
GiBSeS — GiBSeS hilft, eine realistische Roadmap zu den CRA-Fristen aufzubauen, damit Sie nicht im letzten Moment vom EU-Markt ausgeschlossen werden.
Ich verkaufe nur Software oder eine herunterladbare App in Europa, ohne Hardware: Falle ich trotzdem unter den CRA?
Im Allgemeinen ja. Der CRA erfasst "Produkte mit digitalen Elementen", eine Kategorie, die eigenständig vertriebene Software einschließt – Anwendungen, Firmware, Bibliotheken, Komponenten –, wenn sie auf dem EU-Markt bereitgestellt wird, auch kostenlos im Rahmen einer Geschäftstätigkeit.
Es gibt jedoch Ausnahmen und Sonderregelungen: Manche Dienste (etwa reine SaaS-Dienste) fallen eher unter andere Regelungen wie die NIS2-Richtlinie, und einige Produktkategorien, die bereits durch sektorale Regelungen erfasst sind, folgen eigenen Regeln. Die Grenzlinie hängt davon ab, wie das Produkt vertrieben und integriert wird, und muss daher im konkreten Fall geprüft werden.
GiBSeS — GiBSeS hilft Softwareanbietern außerhalb der EU zu klären, ob sie unter den CRA, unter NIS2 oder unter beide fallen, bevor sie den europäischen Kanal öffnen.
Woran erkenne ich, ob mein Produkt "wichtig" oder "kritisch" ist und eine strengere Bewertung erfordert?
Der CRA unterscheidet zwischen "Standard"-Produkten (default), für die in der Regel die Selbstbewertung der Konformität zulässig ist, und in den Anhängen der Verordnung aufgeführten Kategorien "wichtiger" und "kritischer" Produkte, für die strengere Verfahren erforderlich sind – bis hin zur möglichen Einbindung einer benannten Stelle oder der Anwendung eigener Zertifizierungsschemata.
In die risikoreicheren Kategorien fallen Produkte wie Passwortmanager, Firewalls, Betriebssysteme, Identitäts- und Netzwerksicherheitskomponenten. Die korrekte Kategorie zu bestimmen, ist die erste Weiche: Sie verändert Kosten, Zeitaufwand und Konformitätsweg grundlegend.
GiBSeS — GiBSeS hilft, das Produkt korrekt in die CRA-Kategorien einzuordnen, damit das Unternehmen außerhalb der EU den Compliance-Aufwand am realen Risikoniveau ausrichtet.
Womit fange ich konkret an, um mein Produkt CRA-konform zu machen und weiter Zugang zum EU-Markt zu haben?
Der Ausgangspunkt ist zu verstehen, ob und wie die Verordnung Sie betrifft: prüfen, ob das Produkt ein in der EU verkauftes "Produkt mit digitalen Elementen" ist, seine Kategorie bestimmen (Standard, wichtig oder kritisch) und die Akteure Ihrer europäischen Kette identifizieren, insbesondere den Einführer.
Von dort aus wird der Weg aufgebaut: Analyse der grundlegenden Cybersicherheitsanforderungen, Risikobewertung, Erstellung der technischen Dokumentation und der Konformitätserklärung, Einrichtung der Prozesse für Schwachstellenmanagement und -meldung, und schließlich die CE-Kennzeichnung. Für ein Unternehmen außerhalb der EU ist es sinnvoll, all das als Marktzugangsprojekt zu behandeln, mit Priorität auf den nächstliegenden Fristen.
GiBSeS — GiBSeS begleitet KMU außerhalb der EU von der Erstanalyse bis zur CE-Kennzeichnung, als unabhängiger Advisor, der die Tür zum europäischen Markt öffnet, ohne Sie an einen einzigen Anbieter zu binden.
Dieser Inhalt dient der Information und stellt keine Rechtsberatung dar.
Betrifft Sie der CRA? Lassen Sie uns das gemeinsam klären.
In einer Session klären wir, welche Produkte betroffen sind, Ihre Rolle in der Kette, die Risikokategorie und was bis zu den Fristen 2026 und 2027 wirklich nötig ist. Unabhängige Analyse, konkrete Prioritäten, keine Bindung an einen Anbieter.
CRA-Diagnose buchen