EU-Regulierung
Cyber Resilience Act (CRA): Pflichten, Fristen und Personalbedarf
Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) ist die erste EU-weite Cybersicherheitsregulierung für Produkte mit digitalen Elementen — also für vernetzbare Hardware und Software vom Smart-Home-Gerät über Industriesteuerungen bis zur Standardsoftware. Als Verordnung gilt der CRA unmittelbar in allen Mitgliedstaaten, ohne nationales Umsetzungsgesetz. Er verpflichtet Hersteller zu Security by Design, systematischem Schwachstellenmanagement und kostenlosen Sicherheitsupdates über den gesamten Support-Zeitraum. Die ersten Pflichten greifen bereits am 11. September 2026 mit den Meldepflichten für aktiv ausgenutzte Schwachstellen; ab dem 11. Dezember 2027 gelten alle Anforderungen vollständig — inklusive CE-Kennzeichnung der Cybersicherheit.
Stand: Juni 2026Zuletzt aktualisiert: 10. Juni 2026
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen) wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und ist am 10. Dezember 2024 in Kraft getreten. Anders als die NIS2-Richtlinie ist der CRA eine Verordnung: Er gilt unmittelbar in jedem Mitgliedstaat, ohne dass es eines nationalen Umsetzungsgesetzes bedarf.
Der CRA schließt eine Lücke im EU-Produktrecht: Bisher gab es keine horizontalen, verbindlichen Cybersicherheitsanforderungen für vernetzte Produkte. Künftig dürfen Produkte mit digitalen Elementen nur noch auf den EU-Markt gebracht werden, wenn sie die grundlegenden Cybersicherheitsanforderungen des Anhangs I erfüllen — analog zur Maschinenrichtlinie oder Funkanlagenrichtlinie wird Cybersicherheit damit Teil der CE-Konformität. Dieser Guide ordnet die Rechtslage redaktionell ein und ersetzt keine Rechtsberatung im Einzelfall.
Anwendungsbereich: Produkte mit digitalen Elementen
Erfasst sind „Produkte mit digitalen Elementen“: Hardware- und Softwareprodukte, die direkt oder indirekt mit einem anderen Gerät oder Netz verbunden werden können — einschließlich abgesetzter Datenverarbeitungslösungen, die für die Produktfunktion erforderlich sind. Das reicht von IoT- und Smart-Home-Geräten über Industriekomponenten, Maschinensteuerungen und Embedded-Systeme bis zu Betriebssystemen, Apps und Standardsoftware.
Pflichtenadressaten sind in erster Linie die Hersteller, daneben Importeure und Händler. Ausgenommen sind Produkte mit eigenen sektoralen EU-Cybersicherheitsregeln (etwa Medizinprodukte, Kraftfahrzeuge, Luftfahrt) sowie nicht-kommerzielle Open-Source-Software. Für den deutschen Maschinen- und Anlagenbau ist der Anwendungsbereich besonders relevant: Wer Steuerungen, vernetzte Komponenten oder Software als Teil seiner Produkte in Verkehr bringt, wird zum regulierten Hersteller im Sinne des CRA.
Herstellerpflichten: Security by Design, SBOM, Updates
Anhang I Teil I definiert die grundlegenden Anforderungen an die Produkteigenschaften: Produkte müssen nach den Prinzipien Security by Design und Security by Default entwickelt werden, dürfen bei Bereitstellung keine bekannten ausnutzbaren Schwachstellen enthalten und müssen u. a. Zugriffsschutz, Verschlüsselung, Härtung der Angriffsfläche und sichere Standardkonfigurationen mitbringen. Grundlage ist eine produktbezogene Cybersicherheits-Risikobewertung, die in die technische Dokumentation eingeht.
Anhang I Teil II regelt die Schwachstellenbehandlung über den gesamten Lebenszyklus: Hersteller müssen Schwachstellen identifizieren und dokumentieren — inklusive einer Software Bill of Materials (SBOM) in einem gängigen maschinenlesbaren Format —, Schwachstellen unverzüglich durch kostenlose Sicherheitsupdates beheben, eine Policy zur koordinierten Offenlegung (Coordinated Vulnerability Disclosure) betreiben und eine Kontaktstelle für Schwachstellenmeldungen benennen. Das BSI konkretisiert diese Anforderungen in der Technischen Richtlinie TR-03183 (u. a. zu SBOM und Vulnerability Reports).
Sicherheitsupdates müssen für einen festgelegten Support-Zeitraum bereitgestellt werden, der grundsätzlich mindestens fünf Jahre beträgt — kürzer nur, wenn die erwartete Produktnutzungsdauer geringer ist. Der Support-Zeitraum muss beim Kauf transparent angegeben werden.
Produktklassen und Konformitätsbewertung
Der CRA staffelt die Konformitätsbewertung nach Risiko. Für die große Mehrheit der Produkte (nach Schätzung der EU-Kommission rund 90 %) genügt die Selbstbewertung durch den Hersteller. „Wichtige Produkte“ nach Anhang III — etwa Firewalls, Passwortmanager, VPNs oder Betriebssysteme, unterteilt in Klasse I und II — unterliegen strengeren Verfahren: Anwendung harmonisierter Normen oder Prüfung durch eine notifizierte Stelle. „Kritische Produkte“ nach Anhang IV, etwa Smart-Meter-Gateways, Smartcards und Hardware-Sicherheitsmodule, können einer verpflichtenden Zertifizierung nach europäischen Cybersicherheits-Schemata unterworfen werden.
Am Ende des Verfahrens steht die CE-Kennzeichnung: Es gibt kein separates CRA-Label, sondern das bestehende CE-Zeichen wird um die Cybersicherheitskonformität erweitert. Ohne sie darf das Produkt ab dem Stichtag nicht mehr in der EU in Verkehr gebracht werden.
Zeitplan: Die Meldepflichten greifen im September 2026
Der CRA ist seit dem 10. Dezember 2024 in Kraft, seine Pflichten gelten gestaffelt. Für Hersteller ist entscheidend: Die Meldepflichten nach Artikel 14 gelten bereits ab dem 11. September 2026 — also unmittelbar bevorstehend. Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen dann innerhalb von 24 Stunden als Frühwarnung an das zuständige CSIRT (in Deutschland das BSI) und die ENISA gemeldet werden, mit einer detaillierten Meldung nach 72 Stunden und einem Abschlussbericht spätestens 14 Tage nach Bereitstellung des Sicherheitsupdates. Diese Fristen setzen funktionierende PSIRT-Prozesse voraus, die jetzt aufgebaut werden müssen.
- 10. Dezember 2024: Inkrafttreten der Verordnung
- 11. Juni 2026: Regeln für Notifizierungsbehörden und Konformitätsbewertungsstellen gelten
- 11. September 2026: Meldepflichten nach Art. 14 (24h/72h/14 Tage) gelten
- 11. Dezember 2027: Alle Anforderungen gelten vollständig — Produkte brauchen die CRA-Konformität für das Inverkehrbringen
Abgrenzung zu NIS2 und Sanktionen
CRA und NIS2 ergänzen sich, regeln aber Unterschiedliches: NIS2 ist eine Richtlinie mit Organisationspflichten — sie verpflichtet Betreiber in 18 Sektoren, ihre eigene Organisation abzusichern. Der CRA ist eine Verordnung mit Produktpflichten — er verpflichtet Hersteller, sichere Produkte in Verkehr zu bringen, unabhängig davon, in welchem Sektor die Käufer tätig sind. Viele Unternehmen sind doppelt betroffen: als NIS2-regulierte Einrichtung für die eigene IT und als CRA-Hersteller für ihre vernetzten Produkte. Zugleich greifen die Regelwerke ineinander, denn NIS2-Pflichten zur Lieferkettensicherheit machen CRA-konforme Produkte zum Beschaffungskriterium.
Die Sanktionen orientieren sich an der DSGVO-Logik: Verstöße gegen die grundlegenden Cybersicherheitsanforderungen oder die Kernpflichten der Hersteller können mit Geldbußen bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen sonstige Pflichten mit bis zu 10 Mio. € oder 2 %, falsche Angaben gegenüber Behörden und notifizierten Stellen mit bis zu 5 Mio. € oder 1 %. Zusätzlich können Marktüberwachungsbehörden nicht-konforme Produkte vom Markt nehmen — für Hersteller oft die schärfere Konsequenz.
// recruiting-bezug
Was der CRA für Hiring und Arbeitsmarkt bedeutet
Der CRA verlagert Cybersicherheit von der IT-Abteilung in die Produktentwicklung — und schafft damit Rollen, die viele produzierende Unternehmen heute schlicht nicht besetzt haben. Gefragt sind Product Security Engineers, die Security by Design in Entwicklungsprozesse und Architektur verankern, Embedded-Security-Spezialisten für sichere Firmware, Secure Boot und Kryptografie auf Geräteebene, PSIRT-Rollen (Product Security Incident Response Team) für Schwachstellenmanagement, koordinierte Offenlegung und die ab September 2026 geltenden 24-Stunden-Meldungen sowie Compliance-Profile, die SBOM-Prozesse, technische Dokumentation und Konformitätsbewertung steuern.
Besonders betroffen sind Maschinen- und Anlagenbauer sowie IoT-Hersteller: Sie haben starke Hardware- und Softwareentwicklung, aber selten gewachsene Produktsicherheits-Organisationen — und konkurrieren um Embedded-Security-Profile, die zu den knappsten am deutschen Markt gehören. Da die Hauptpflichten ab Dezember 2027 jedes neue Produkt betreffen, ist der Aufbau dieser Kompetenzen kein einmaliges Projekt, sondern dauerhafter Personalbedarf.
// faq
Häufige Fragen
Der Cyber Resilience Act ist seit dem 10. Dezember 2024 in Kraft, seine Pflichten gelten jedoch gestaffelt. Die erste harte Frist für Hersteller ist der 11. September 2026: Ab dann müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an das zuständige CSIRT und die ENISA gemeldet werden, mit Detailmeldung nach 72 Stunden und Abschlussbericht. Ab dem 11. Dezember 2027 gelten alle Anforderungen vollständig — neue Produkte mit digitalen Elementen dürfen dann nur noch mit nachgewiesener CRA-Konformität und CE-Kennzeichnung in der EU in Verkehr gebracht werden. Da Produktentwicklungszyklen im Maschinenbau und in der Elektronik oft länger als zwei Jahre dauern, müssen Produkte, die 2027 auf den Markt kommen, bereits heute CRA-konform entwickelt werden.
Der CRA erfasst „Produkte mit digitalen Elementen“: alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Gerät oder Netz verbunden werden können — vom IoT-Sensor über Maschinensteuerungen, Router und Smart-Home-Geräte bis zu Betriebssystemen und Standardsoftware. Ausgenommen sind Produkte mit eigenen sektoralen EU-Cybersicherheitsregeln, etwa Medizinprodukte, Kraftfahrzeuge und Luftfahrtkomponenten, sowie nicht-kommerzielle Open-Source-Software. Die Verordnung staffelt nach Risiko: Für rund 90 % der Produkte genügt die Selbstbewertung des Herstellers, „wichtige Produkte“ wie Firewalls oder Passwortmanager (Anhang III) unterliegen strengeren Verfahren, „kritische Produkte“ wie Smart-Meter-Gateways (Anhang IV) können zertifizierungspflichtig werden. Ob und in welcher Klasse ein konkretes Produkt erfasst ist, sollte je Produktportfolio einzeln geprüft werden.
Eine SBOM (Software Bill of Materials) ist eine maschinenlesbare Stückliste aller Softwarekomponenten eines Produkts — inklusive Open-Source-Bibliotheken und Abhängigkeiten. Der CRA verlangt sie in Anhang I Teil II als Teil der Schwachstellenbehandlung: Hersteller müssen jederzeit wissen, welche Komponenten in ihren Produkten stecken, um neue Schwachstellen (etwa in einer weit verbreiteten Bibliothek) schnell den betroffenen Produkten zuordnen und beheben zu können. Das BSI konkretisiert die Anforderungen an SBOM-Formate und -Inhalte in der Technischen Richtlinie TR-03183 Teil 2. Praktisch bedeutet das: Build-Pipelines müssen SBOMs automatisiert erzeugen, und es braucht Prozesse und Verantwortliche, die SBOM-Daten kontinuierlich gegen Schwachstellendatenbanken abgleichen — eine Kernaufgabe von Product-Security- und PSIRT-Rollen.
Die Abgrenzung ist einfach: NIS2 reguliert Organisationen, der CRA reguliert Produkte. Die NIS2-Richtlinie verpflichtet Betreiber in 18 kritischen Sektoren, die eigene Organisation abzusichern — mit Risikomanagement, Meldepflichten und Governance-Verantwortung der Geschäftsleitung. Der Cyber Resilience Act verpflichtet dagegen Hersteller, Importeure und Händler, nur cybersichere Produkte mit digitalen Elementen auf den EU-Markt zu bringen — unabhängig davon, wer sie kauft. Rechtlich unterscheiden sich auch die Instrumente: NIS2 ist eine Richtlinie und brauchte ein deutsches Umsetzungsgesetz, der CRA ist eine Verordnung und gilt unmittelbar. Viele Industrieunternehmen trifft beides: NIS2 für die eigene IT- und OT-Sicherheit, der CRA für jedes vernetzte Produkt im Portfolio. Entsprechend brauchen sie sowohl organisatorische Security-Rollen als auch Produktsicherheits-Kompetenz in der Entwicklung.
CRA-Konformität ist eine Daueraufgabe der Produktorganisation und erfordert typischerweise vier Kompetenzfelder: Product Security Engineers, die Risikobewertungen durchführen und Security by Design in Architektur und Entwicklungsprozesse verankern; Embedded-Security-Spezialisten für sichere Firmware, Secure Boot, Kryptografie und Update-Mechanismen auf Geräteebene; ein PSIRT (Product Security Incident Response Team), das Schwachstellenmeldungen entgegennimmt, SBOM-Daten überwacht und die ab September 2026 geltenden Meldefristen einhält; sowie Compliance- und GRC-Profile für technische Dokumentation und Konformitätsbewertung. Penetration Tester ergänzen das Bild für die Wirksamkeitsprüfung. Gerade Embedded-Security-Profile sind am deutschen Markt rar — NOBA Experts besetzt diese Rollen für Maschinenbau-, Elektronik- und IoT-Hersteller und kennt die aktuellen Gehaltsbänder und Verfügbarkeiten im Detail.
// quellen
Quellen
- 01Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 (Cyberresilienz-Verordnung / Cyber Resilience Act), ABl. L, 20.11.2024
- 02BSI: Cyber Resilience Act — Zeitplan, Herstellerpflichten, Produktkategorien und Technische Richtlinie TR-03183 (abgerufen Juni 2026)
- 03Europäische Kommission: Cyber Resilience Act — Policy-Übersicht
- 04BSI: Technische Richtlinie TR-03183 — Cyber-Resilienz-Anforderungen an Hersteller und Produkte (u. a. Teil 2: Software Bill of Materials)
// verwandte rollen
Verwandte Rollenprofile
// verwandte themen
Verwandte Themen
Die passenden Köpfe für dieses Thema?
NOBA Experts besetzt die Rollen, die Cyber Resilience Act (CRA): Pflichten, Fristen und Personalbedarf im Unternehmen tragen — mit KI-gestütztem Matching und persönlicher technischer Vorabprüfung, DACH-weit.