Der Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Elementen zu umfassenden Cybersicherheitsmaßnahmen. Hier erfahren Sie genau, was auf Sie zukommt.

1. Wer gilt als Hersteller?

Der CRA definiert Hersteller als jede Person oder jedes Unternehmen, das ein Produkt mit digitalen Elementen entwirft, herstellt oder unter eigenem Namen vermarktet. Dies umfasst Softwareentwickler, IoT-Hersteller, Integratoren und Anbieter eingebetteter Komponenten.

2. Vor dem Inverkehrbringen

Risikoanalyse und Klassifizierung

Vor der Markteinführung müssen Sie eine vollständige Cybersicherheits-Risikoanalyse durchführen, Ihr Produkt klassifizieren (Klasse I, II oder außerhalb) und das Konformitätsbewertungsverfahren bestimmen.

Technische Dokumentation (Anhang VII)

Das Dossier muss Produktbeschreibung, Konstruktionspläne, angewandte Normen, Risikoanalyse, Sicherheitsmaßnahmen (Anhang I), SBOM und Schwachstellenmanagementverfahren enthalten.

3. Nach dem Inverkehrbringen

Schwachstellenmanagement

Sie müssen einen kontinuierlichen Prozess einrichten: Überwachung von CVE-Quellen, Auswirkungsanalyse, VEX-Erstellung und Sicherheitspatch-Bereitstellung.

Incident Reporting (Artikel 14)

Ab 11. September 2026: Frühwarnung innerhalb 24h, detaillierte Meldung innerhalb 72h, Abschlussbericht innerhalb 14 Tagen über die Single Reporting Platform.

4. Sanktionen

Bußgelder bis zu 15 Mio. Euro oder 2,5% des weltweiten Jahresumsatzes, obligatorischer Produktrückruf und potenzielle strafrechtliche Haftung.

Eine vollständige CRA-Compliance dauert 6 bis 18 Monate. Beginnen Sie noch heute mit einer kostenlosen Diagnose.