Der Cyber Resilience Act ist bereits in Kraft

Von /

Was KMU ab 2027 erwartet

Was die DSGVO für personenbezogene Daten war, ist der Cyber Resilience Act (CRA) für digitale Produkte. Klingt erstmal wie ein weiteres Bürokratie-Monster – ist aber ernst. Und zwar für alle, die Hard- oder Software verkaufen, entwickeln oder weiterverarbeiten.

Worum geht’s?

Der CRA ist eine EU-Verordnung (EU 2024/2847), die erstmals verbindliche Cybersicherheits-Pflichten für Produkte mit digitalen Komponenten einführt – also fast alles mit Firmware, Software oder Netzwerkanschluss. Egal ob Router, App, Steuerungseinheit oder Smart-Home-Zubehör: Wer es in der EU verkaufen will, muss künftig beweisen, dass es nicht zum Einfallstor für Angriffe wird.

Ab wann?

  • Seit 10. Dezember 2024: Der CRA ist in Kraft.
  • Ab 11. September 2026: Wer eine aktiv ausgenutzte Schwachstelle entdeckt, muss das binnen 24 h melden.
  • Ab 11. Dezember 2027: Nur noch Produkte mit CE-Kennzeichnung nach CRA dürfen verkauft werden.
    Ohne CE = kein Markt.

Was heißt das konkret für KMU?

1. Dokumentation und Risikomanagement
Schon bei der Entwicklung braucht es eine Risikoanalyse, eine „Software-Stückliste“ (SBOM) und klare Prozesse zur Sicherheitsüberwachung. Kein Produkt ohne Papier.

2. Pflicht zur Update-Fähigkeit
Alle Produkte müssen während ihrer geplanten Lebensdauer mit Sicherheitsupdates versorgt werden können – mindestens 5 Jahre lang. Und zwar getrennt von Funktionsupdates.

3. Meldepflicht bei Sicherheitsvorfällen
Innerhalb von 24 Stunden muss ein Vorfall bei der ENISA oder der nationalen Cybersicherheitsbehörde gemeldet werden – auch wenn Du nur Reseller bist.
Ja, auch dann.

4. Selbstbewertung oder externe Prüfung
Die meisten Produkte fallen in die Kategorie „geringes Risiko“ – da reicht eine Selbstbewertung. Kritische Systeme (z. B. VPNs, Passwortmanager, Firewalls) brauchen eine externe Zertifizierung. Wer keine hat, fliegt aus dem Markt.

5. Haftung und Bußgelder
Verstöße können mit bis zu 15 Millionen Euro oder 2,5 % des globalen Jahresumsatzes geahndet werden. Ja, auch für KMU. Wenn Du also Hard- oder Software vertreibst – oder entwickelst – solltest Du das nicht auf die leichte Schulter nehmen.

Was bedeutet das für Dich als KMU?

Du entwickelst eine Access-Lösung, die Daten mit einer Azure-Komponente synchronisiert? Du baust IoT-Module in Lichtsteuerungen ein? Du vertreibst ein Open-Source-Tool mit kleiner GUI, das per Installer rausgeht? Willkommen im Club der „digitalen Produkte“.
Und damit in der Pflicht.

Wer meint, der CRA betreffe nur große Konzerne, wird 2027 von der Realität eingeholt – und von der Marktaufsicht.

Mein Tipp: Frühzeitig anfangen. Jetzt.

  • Bau die Konformität gleich in neue Produkte ein
  • Nutze den CRA als Verkaufsargument („zukunftssicher & CRA-konform“)
  • Kläre mit Partnern & Lieferanten, ob sie ihre Pflichten erfüllen
  • Lass Dich beraten – oder frag jemanden, der Datenschutz & Technik zusammenbringt 🐑

Quellen (deutschsprachig)

  1. Wikipedia-Artikel zum Cyber Resilience Act
  2. DIHK: Durchblick zum CRA
  3. Carbyte.de: CRA einfach erklärt für KMU
  4. Contechnet Blog: CRA kompakt
Gilt der CRA auch für KMU?

Ja. Der Cyber Resilience Act gilt für alle Unternehmen – auch kleine und mittlere. Hersteller, Importeure und Händler von digitalen Produkten sind verpflichtet, CRA-konform zu handeln. Eine Ausnahme greift nicht. Die EU-Regel berücksichtigt KMU zwar mit weniger bürokratischen Anforderungen, doch die Pflicht bleibt bestehen. Bei Verstößen drohen Bußgelder.

Betroffen: Nur Hardware oder auch Software?

Beides – Hard- und Software mit digitalen Elementen (Netzwerk, Firmware, indirekte Verbindung) zählen. Smart-Home-Geräte, Apps, Firmware-gesteuerte Sensoren – sobald sie Daten verarbeiten oder vernetzt sind, fällt der CRA. Auch Open-Source-Software kann betroffen sein, wenn sie kommerziell eingesetzt wird.

Ab wann musst Du aktiv werden?

Seit 10. Dezember 2024: Der CRA gilt formal.
Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden bei Behörden.
Ab 11. Dezember 2027: CE‑Kennzeichnung nach CRA ist Pflicht – Produkte ohne CRA-Konformität sind illegal auf dem EU-Markt.

Darf man künftig „China-Waren“ von Temu in Deutschland noch kaufen?

Auch Importprodukte müssen CRA-konform sein, egal ob aus China, USA oder irgendwoher. Plattformen wie Temu sind laut EU-Regeln künftig zur Haftung für unsichere Produkte verpflichtet – etwa wenn Sicherheitsstände nicht erfüllt werden oder keine CE-Konformität nachgewiesen ist. Die EU untersucht Temu und Shein bereits wegen gefährlicher Waren. Bei Verstößen drohen Händler und Betreiber Schadenersatz und Verkaufsverbot. Kurz: Solange Temu-Produkte keine CRA-konforme CE haben, darfst Du sie offiziell nicht verkaufen oder einsetzen.

Ähnliche Beiträge

Nach oben scrollen