What products does the CRA cover?

The Cyber Resilience Act covers all products with digital elements placed on the EU market — hardware and software that can connect to a device or network, including IoT devices, operating systems, mobile apps, and firmware.

What is an SBOM and is it required by the CRA?

A Software Bill of Materials (SBOM) documents a products software dependencies. The CRA requires manufacturers to provide an SBOM documenting at minimum the top-level dependencies (Article 13.5, Annex I.2).

How long must manufacturers provide security updates under the CRA?

Manufacturers must handle vulnerabilities and provide free security updates throughout the products expected lifetime, with a minimum of 5 years (Article 13.6).

CRA

Gesetz zur Cyber-Resilienz

CE-Kennzeichnung für Software – denn IoT-Toaster sollten nicht gehackt werden können

Das Gesetz zur Cyber-Resilienz (CRA) führt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten ein – von Smart-Home-Geräten bis hin zu Unternehmenssoftware. Zum ersten Mal schreibt die EU vor, dass digitale Produkte sicher konzipiert, während ihres gesamten Lebenszyklus gewartet und mit einer Software-Stückliste (SBOM) versehen sein müssen. Stellen Sie sich dies als eine Art CE-Kennzeichnung für Software vor: Wenn ein Produkt mit einem Netzwerk verbunden ist, muss es sicher sein.

Geltungsbereich

Alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden – Hardware und Software, die direkt oder indirekt mit einem Gerät oder einem Netzwerk verbunden werden können. Dazu gehören IoT-Geräte, Betriebssysteme, mobile Apps, Firmware und sogar Komponenten wie Bibliotheken und SDKs.

Geografische Reichweite

EU-weite Verordnung mit unmittelbarer Wirkung. Gilt für alle Produkte, die in der EU in Verkehr gebracht werden, unabhängig davon, wo der Hersteller ansässig ist.

Gültig seit

10. Dezember 2024 (Meldepflichten ab September 2026, vollständige Anwendung ab Dezember 2027)

Zweck

Damit Produkte mit digitalen Komponenten mit weniger Sicherheitslücken auf den EU-Markt gebracht werden und die Hersteller die Sicherheit während des gesamten Produktlebenszyklus ernst nehmen. Denn die Auslieferung eines vernetzten Geräts mit dem Standardpasswort „admin“ sollte kein Geschäftsmodell sein.

Zu Ihrer Rolle springen:

Hersteller

Sie entwickeln oder haben ein Produkt mit digitalen Elementen entwickelt und vermarkten es unter Ihrem eigenen Namen oder Ihrer eigenen Marke. Unabhängig davon, ob Sie jede Zeile Code selbst geschrieben oder die Entwicklung ausgelagert haben: Wenn Ihr Name auf dem Produkt steht, sind Sie der Hersteller. Dies gilt sowohl für Hardware-Hersteller (IoT-Geräte, Router) als auch für Software-Anbieter.

Ihre Pflichten

Produkte so zu gestalten, dass Sicherheit von vornherein gewährleistet ist – keine bekannten ausnutzbaren Schwachstellen zum Zeitpunkt der Veröffentlichung (Art. 13)
Führen Sie eine Bewertung der Cybersicherheitsrisiken durch und halten Sie diese in der technischen Dokumentation fest (Art. 13.2)
Legen Sie eine Software-Stückliste (SBOM) vor, die mindestens die Abhängigkeiten auf oberster Ebene dokumentiert (Art. 13.5, Anhang I.2)
Sicherheitslücken während der gesamten voraussichtlichen Lebensdauer des Produkts (mindestens 5 Jahre) wirksam beheben (Art. 13.6)
Melden Sie aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden an die ENISA (Art. 14)
Stellen Sie sicher, dass das Produkt über eine Konformitätsbewertung und eine CE-Kennzeichnung verfügt, bevor Sie es in Verkehr bringen (Art. 24–28)
Bereitstellung von Sicherheitsupdates für die gesamte Supportdauer des Produkts – kostenlos (Anhang I, Teil II)
Informieren Sie die Nutzer über die Sicherheitseigenschaften und geben Sie Anweisungen für die sichere Verwendung (Anhang I, Teil II)

Wichtige Artikel

§ 13 – Pflichten des Herstellers§ 14 – Meldung von Sicherheitslücken§ 24 – KonformitätsbewertungAnhang I – Grundlegende AnforderungenAnhang III – Kritische Produkte

Profi-Tipp

Beginnen Sie jetzt mit der Einführung Ihrer SBOM-Praxis. Selbst eine einfache Bestandsaufnahme der Abhängigkeiten mithilfe von Standardtools (CycloneDX, SPDX) ist besser, als 2027 in Panik zu geraten. Und wenn Sie schon dabei sind, überprüfen Sie Ihre Standardkonfigurationen – „secure by default“ bedeutet, dass der Benutzer keinen Doktortitel benötigen sollte, um sicher zu sein.

Importeur

Sie bringen Produkte von Herstellern aus Nicht-EU-Ländern auf den EU-Markt. Sie sind für die Einhaltung der Vorschriften verantwortlich – wenn der Hersteller die CRA-Anforderungen nicht erfüllt hat, darf das Produkt nicht mit Ihrem Namen in den Einfuhrpapieren über die Grenze gelangen.

Ihre Pflichten

Bringen Sie nur Produkte in Verkehr, die die grundlegenden Anforderungen an die Cybersicherheit erfüllen (Art. 15.1)
Vergewissern Sie sich, dass der Hersteller die Konformitätsbewertung durchgeführt hat (Art. 15.2)
Stellen Sie sicher, dass das Produkt die CE-Kennzeichnung trägt und die erforderlichen Unterlagen beigefügt sind (Art. 15.3)
Stellen Sie sicher, dass der Hersteller über ein Verfahren zum Umgang mit Sicherheitslücken verfügt (Art. 15.4)
Bewahren Sie eine Kopie der EU-Konformitätserklärung 10 Jahre lang auf (Art. 15.7)
Informieren Sie den Hersteller und die Marktüberwachungsbehörde über etwaige Probleme hinsichtlich der Konformität (Art. 15.5)

Wichtige Artikel

§ 15 – Pflichten des Importeurs§ 24 – Konformitätsbewertung§ 28 – CE-Kennzeichnung

Profi-Tipp

Erstellen Sie einen Fragebogen zur Lieferantenqualifizierung, der die wesentlichen Aspekte der CRA abdeckt: Status der Konformitätsbewertung, Verfügbarkeit der SBOM, Verfahren zum Umgang mit Sicherheitslücken und geplante Supportdauer. Es ist besser, ein nicht konformes Produkt frühzeitig abzulehnen, als es später zurückrufen zu müssen.

Vertriebspartner

Sie bieten Produkte mit digitalen Elementen auf dem Markt an, ohne deren Hersteller oder Importeur zu sein. Sie sind Teil der Lieferkette – als Wiederverkäufer, Marktplatzbetreiber oder Einzelhandelspartner. Die CRA erwartet von Ihnen, dass Sie eine grundlegende Sorgfaltsprüfung durchführen, bevor Sie ein Produkt in Ihr Sortiment aufnehmen (sei es physisch oder digital).

Ihre Pflichten

Vergewissern Sie sich, dass das Produkt die CE-Kennzeichnung trägt und über die erforderlichen Unterlagen verfügt (Art. 16.1)
Stellen Sie kein Produkt bereit, von dem Sie wissen oder wissen müssten, dass es nicht konform ist (Art. 16.2)
Stellen Sie sicher, dass Lagerung und Transport die Konformität des Produkts nicht beeinträchtigen (Art. 16.3)
Informieren Sie den Hersteller und die Marktüberwachungsbehörde über etwaige Probleme hinsichtlich der Konformität (Art. 16 Abs. 4)
Auf Aufforderung mit den Marktüberwachungsbehörden zusammenarbeiten (Art. 16 Abs. 5)

Wichtige Artikel

§ 16 – Pflichten des Vertriebshändlers§ 28 – CE-Kennzeichnung

Profi-Tipp

Wenn Sie einen Software-Marktplatz betreiben, integrieren Sie Compliance-Prüfungen in Ihren Einstellprozess. Ein einfacher Filter mit der Frage „Verfügt dieses Produkt über CRA-Unterlagen?“ spart allen Beteiligten Zeit.

Wie Euregas Ihnen helfen kann

Verfügbare Tools

Produktregister – Katalogisieren Sie Produkte mit digitalen Elementen und verfolgen Sie den Konformitätsstatus
SBOM-Verwaltung – Hochladen, Auswerten und Nachverfolgen von Software-Stücklisten
Schwachstellenverfolgung – Überwachung und Verwaltung gemeldeter Schwachstellen nach Produkt
Compliance-Bewertung – automatisierte Bewertung der Compliance-Bereitschaft auf Grundlage der CRA-Anforderungen

KI-gestützte Funktionen

Semantische Suche in den Artikeln und Anhängen der CRA
Durch KI vorab ausgefüllte Fallschritte für Compliance-Fälle im Zusammenhang mit der CRA

Hinweis

Das CRA-Modul befindet sich noch in einem frühen Entwicklungsstadium. Es stehen bereits grundlegende Tools für die Produktkatalogisierung und das SBOM-Management zur Verfügung. Die Integration von KI (z. B. automatisierte Schwachstellenanalyse, Risikobewertung von SBOM-Abhängigkeiten) ist für zukünftige Versionen geplant.

Alle Beispiele sind fiktiv und dienen lediglich der Veranschaulichung.