Die CRA-Verordnung (EU) 2024/2847: Was Sie jetzt beachten müssen
Die Verordnung (EU) 2024/2847 – auch als Cyber Resilience Act (CRA) bezeichnet –wurde am 20.11.2024 im Amtsblatt der EU veröffentlicht und ist am 11.12.2024 in Kraft getreten. Hersteller, Händler und Betreiber müssen sich im Bereich Cybersicherheit auf neue gesetzliche Vorgaben einstellen.
Zuletzt aktualisiert am: 30. Juli 2025
Welche Ziele hat die CRA-Verordnung?
Die Verordnung (EU) 2024/2847 legt Mindestanforderungen an die Cybersicherheit für digital vernetzte Produkte fest und gilt für alle Produkte mit Digitalkomponenten, die in der EU erhältlich sind. Es handelt sich hier um eine weitere klassische Produktsicherheitsverordnung, deren Einhaltung durch die CE-Kennzeichnung bestätigt werden muss und die der Marktüberwachung unterliegt. Ziel ist es, die Cybersicherheit über den gesamten Lebenszyklus eines Produkts hinweg zu gewährleisten.
Obwohl die Vorgaben der Verordnung erst bis Mitte Dezember 2027 vollständig erfüllt werden müssen, müssen Hersteller sie bereits jetzt schon bei der Planung und Entwicklung neuer Produkte mit digitalen Komponenten berücksichtigen.
Welche Produkte sind von der CRA-Verordnung betroffen?
Alle Produkte, die in der EU verkauft werden und digitale Komponenten enthalten, müssen den Vorgaben der Cyber Resilience Act (CRA) entsprechen. Die Regelung gilt für ein breites Spektrum: von günstigen Konsumgütern über B2B-Softwarelösungen bis hin zu hochkomplexen Industrieanlagen. Unter „Produkte mit digitalen Elementen“ versteht man solche, die mit einem Netzwerk oder einem anderen Gerät verbunden werden können. Dazu zählen sowohl Hardware mit Vernetzungsfunktionen (wie Smartphones, Laptops, Smart-Home-Geräte, Smartwatches, vernetztes Spielzeug, Mikroprozessoren, Firewalls oder intelligente Messsysteme) als auch reine Softwarelösungen (z. B. Buchhaltungsprogramme, Videospiele oder mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte werden von der Verordnung ausgenommen.
Die Pflichten der Wirtschaftsakteure
Im Rahmen der Cyber Resilience Act (CRA) werden alle an der Bereitstellung von Produkten mit digitalen Elementen beteiligten Wirtschaftsakteure – insbesondere Hersteller, Importeure und Händler – verpflichtet, konkrete Maßnahmen zur Gewährleistung der Cybersicherheit über den gesamten Produktlebenszyklus hinweg umzusetzen.
Was müssen Hersteller beachten?
Hersteller tragen die Hauptverantwortung für die Cybersicherheit eines Produktes. Sie dürfen nur dann ein Produkt mit digitalen Elementen in Verkehr bringen, wenn sie gewährleisten, dass dieses gemäß den grundlegenden Cybersicherheitsanforderungen
- konzipiert,
- entwickelt und
- hergestellt
worden ist.
Um diese Anforderungen zu erfüllen, muss der Hersteller eine Bewertung der Cybersicherheitsrisiken durchführen, die ein Produkt mit digitalen Elementen birgt, und das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts berücksichtigen. Damit sollen
- die Cybersicherheitsrisiken minimiert,
- Sicherheitsvorfälle verhindert und
- die Auswirkungen solcher Sicherheitsvorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich gehalten werden.
Die Bewertung des Cybersicherheitsrisikos muss in der technischen Dokumentation festgehalten werden.
Außerdem hat der Hersteller seiner Meldepflicht nachzukommen, falls er von Schwachstellen der digitalen Komponenten des Produktes Kenntnis erlangt. Diese sind den Meldestellen CSIRT und ENISA (Agentur der Europäischen Union für Cybersicherheit) zu melden.
Was gilt für Importeure und Händler?
Importeure übernehmen die Verantwortung dafür, dass nur konforme Produkte in die EU eingeführt werden. Sie kontrollieren, ob das Produkt eine CE-Kennzeichnung trägt und eine technische Dokumentation vorliegt, die die Risikobewertung und die Angaben zur Cybersicherheit enthält. Bei Sicherheitsmängeln müssen die Behörden sowie der Hersteller informiert und gegebenenfalls Korrekturmaßnahmen eingeleitet werden. Importeure sind verpflichtet, mit Marktüberwachungsbehörden proaktiv zu kooperieren.
Auch Händler unterliegen neuen Sorgfaltspflichten:
- Verkauf nur konformer Produkte: Kontrolle, ob Produkte korrekt gekennzeichnet und dokumentiert sind.
- Informationspflicht: Bei Hinweisen auf nicht-konforme oder gefährliche Produkte müssen Händler informieren und ggf. den Verkauf einstellen.
- Kooperation mit Behörden: Unterstützung bei Marktüberwachungsmaßnahmen.
- Informationspflicht gegenüber dem Kunden: Händler müssen ggf. ihre Kunden über bekannte Sicherheitsprobleme und verfügbare Sicherheitsupdates informieren.
