Verbindliche Fristen
Meldepflicht (11.09.2026)
--
Voll-Compliance (11.12.2027)
--

EU Cyber Resilience Act (CRA)

Schützen Sie Ihre Produkte und Ihr Unternehmen. Erfahren Sie, wie der neue EU-Standard Ihre Anforderungen ändert.

Jetzt CRA-Check starten Beratung anfragen

Über den EU Cyber Resilience Act

Der Cyber Resilience Act definiert erstmals auf EU-Ebene verpflichtende Cybersicherheitsanforderungen für Hersteller von Produkten mit digitalen Elementen – eine Kategorie, die weit über klassische IT-Sicherheitsprodukte hinausgeht. Seit 10. Dezember 2024 in Kraft, gilt er für alle Hard- und Softwareprodukte, Cloud-Services und Backend-Infrastrukturen, die in der EU vertrieben werden.

🎯 Geltungsbereich

Betroffen sind Hard- und Softwareprodukte sowie Cloud-Services und Backend-Infrastrukturen, die in der EU in Verkehr gebracht werden.

🛡️ Security by Design

Implementierung von „Security by Design" in der Produktentwicklung gemäß Art. 13 CRA.

📦 Softwarestückliste (SBOM)

Erstellung und kontinuierliche Aktualisierung einer SBOM zur Lieferkettentransparenz.

🧭 Schwachstellen-management

Etablierung eines Schwachstellenmanagements mit regelmäßigen Risikobewertungen.

🔄 Updates & Meldepflichten

Sicherheitsupdates für mindestens 5 Jahre sowie Meldepflicht für kritisch ausgenutzte Schwachstellen (innerhalb 24 Stunden) und schwere Vorfälle ab 11. September 2026.

📊 Risikobasierte Klassifizierung

Standardprodukte benötigen weniger aufwendige Konformitätsbewertungen, während wichtige (Klasse I/II) und kritische Produkte strengeren Anforderungen und ggf. Zertifizierungen durch notifizierte Stellen unterliegen.

Wer ist vom CRA betroffen?

Der CRA betrifft eine breite Palette von Unternehmen entlang der Lieferkette und Betreiber digitaler Produkte.

Strafen

Bei Verstößen können empfindliche Geldbußen verhängt werden. Die Höhe richtet sich nach Schwere des Verstoßes und dem weltweiten Jahresumsatz (§ Art. 60 CRA).

Schwere Verstöße

Bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes – es gilt jeweils der höhere Betrag.

Mittlere Verstöße

Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes – es gilt jeweils der höhere Betrag.

Leichtere Verstöße

Bis zu 5 Millionen Euro oder 1% des weltweiten Jahresumsatzes – es gilt jeweils der höhere Betrag.

Klassifikationscheck

Zweck: Dieser Fragebogen dient zur systematischen Bewertung, ob ein Produkt unter den Cyber Resilience Act (Verordnung (EU) 2024/2847) fällt und welcher Produktklasse es zuzuordnen ist.

Frage 1 von 8
0%
Teil 1: Grundsätzliche Anwendbarkeit des CRA
Handelt es sich bei dem Produkt um ein Produkt mit digitalen Elementen?
Rechtsgrundlage: Art. 3 Nr. 1 CRA

Ein Produkt mit digitalen Elementen ist nach der Definition des Art. 3 Nr. 1 CRA „ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden". Unter einer Datenfernverarbeitungslösung (Art. 3 Nr. 2 CRA) ist ein Backend-System zu verstehen, ohne welches das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte.

Teil 2: Ausnahmen vom Anwendungsbereich
Findet auf das Produkt mit digitalen Elementen einer der folgenden EU-Rechtsakte Anwendung?
Rechtsgrundlage: Art. 2 Abs. 2 CRA

Der CRA gilt nicht für Produkte, die bereits durch sektorspezifische EU-Rechtsvorschriften mit gleichwertigem oder höherem Schutzniveau reguliert sind.

Teil 2: Ausnahmen vom Anwendungsbereich
Ist das Produkt mit digitalen Elementen nach der Verordnung zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der EU für Flugsicherheit (Verordnung (EU) 2018/1139) zertifiziert?
Rechtsgrundlage: Art. 2 Abs. 2 lit. d CRA

Produkte, die bereits nach der EU-Luftfahrtverordnung zertifiziert sind, fallen nicht unter den CRA.

Teil 2: Ausnahmen vom Anwendungsbereich
Handelt es sich bei dem Produkt um ein Ersatzteil, mit dem eine identische und nach denselben Spezifikationen hergestellte Komponente eines bereits auf dem Markt befindlichen Produkts mit digitalen Elementen ersetzt wird?
Rechtsgrundlage: Art. 2 Abs. 6 CRA

Ersatzteile, die identisch zu den ursprünglichen Bauteilen sind und nach denselben Spezifikationen hergestellt werden, sind vom CRA ausgenommen.

Teil 2: Ausnahmen vom Anwendungsbereich
Handelt es sich um ein Produkt, das speziell für die Verarbeitung von Verschlusssachen konzipiert ist oder ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt oder geändert wurde?
Rechtsgrundlage: Art. 2 Abs. 7 CRA

Produkte für nationale Sicherheit, Verteidigung oder zur Verarbeitung von Verschlusssachen sind vom CRA ausgenommen.

Teil 3: Klassifizierung des Produkts
Handelt es sich bei dem Produkt mit digitalen Elementen um eines der folgenden kritischen Produkte?
Rechtsgrundlage: Art. 8 CRA, Anhang IV CRA, Durchführungsverordnung (EU) 2025/2392

Kritische Produkte gemäß Anhang IV unterliegen den strengsten Konformitätsbewertungsverfahren und benötigen ggf. ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel".

Teil 3: Klassifizierung des Produkts
Handelt es sich bei dem Produkt mit digitalen Elementen um eines der folgenden wichtigen Produkte der Klasse II?
Rechtsgrundlage: Art. 7 CRA, Anhang III CRA (Klasse II), Durchführungsverordnung (EU) 2025/2392

Wichtige Produkte der Klasse II erfüllen erweiterte Cybersicherheitsfunktionen und unterliegen strengeren Konformitätsbewertungsverfahren als Klasse I.

Teil 3: Klassifizierung des Produkts
Handelt es sich bei dem Produkt mit digitalen Elementen um eines der folgenden wichtigen Produkte der Klasse I?
Rechtsgrundlage: Art. 7 CRA, Anhang III CRA (Klasse I), Durchführungsverordnung (EU) 2025/2392

Wichtige Produkte der Klasse I erfüllen grundlegende Cybersicherheitsfunktionen und unterliegen erweiterten Konformitätsbewertungsanforderungen.

Ihr Klassifikationsergebnis
Ergebnis wird berechnet...

Beschreibung wird angezeigt...

Beratung anfragen
Disclaimer

Dieser Fragebogen dient der ersten Orientierung. Für eine rechtssichere Bewertung sollten Sie ggf. rechtlichen oder technischen Rat einholen. Die Durchführungsverordnung (EU) 2025/2392 vom 28. November 2025 konkretisiert die technischen Beschreibungen der Produktkategorien und sollte für detaillierte Klassifizierungen herangezogen werden.

Unsere CRA-Implementierungs-Services

Von der Standortbestimmung bis zur Zertifizierung – wir führen Sie sicher durch alle CRA-Anforderungen

Phase 1: Orientierung & Planung (bis 11. Juni 2026)

Verstehen Sie Ihren Status quo und entwickeln Sie eine realistische Roadmap für CRA-Konformität.

📊

CRA Produktklassifizierung & Readiness Assessment

Wir analysieren alle Ihre Produkte mit digitalen Elementen, ordnen sie den CRA-Kategorien zu (Standard, Klasse I, Klasse II, Kritisch) und identifizieren, welche externen Zertifizierungen erforderlich werden.

Liefert: Produkt-Mapping, Klassifizierungsmatrix, Gap-Analyse, Ressourcen- & Kostenschätzung

Nutzen: Klare Transparenz über Compliance-Anforderungen; vermeiden Sie kostspielige Fehlklassifizierungen

🔍

Supply-Chain Mapping & Vendor Risk Assessment

Nicht nur Ihre Komponenten müssen CRA-konform sein. Wir durchleuchten Ihre gesamte Lieferkette – Hardware-Zulieferer, Open-Source-Komponenten, Cloud-Services, Third-Party-Libraries – auf Schwachstellen und Abhängigkeitsrisiken.

Liefert: Supply-Chain-Grafik, Vendor-Compliance-Report, Transparenzmatrix für zukünftige Audits

Nutzen: Identifizieren Sie Hidden Risks früh; bereiten Sie transparente Lieferketten-Dokumentation vor

📋

CRA-Governance & Prozess-Design

Wir definieren klare Rollen, Verantwortlichkeiten und Governancestrukturen für CRA-Compliance – vom Engineering über Product Management bis zur Geschäftsleitung. Keine Bürokratie, sondern integrierte Workflows.

Liefert: Governance-Framework, RACI-Matrix, Policy-Vorlagen, Eskalationswege

Nutzen: CRA wird Geschäftsnormal, nicht Zusatzaufwand; klare Verantwortlichkeiten senken Fehlerquoten

Phase 2: Technische Umsetzung (laufend bis 11. Dezember 2027)

Entwicklung oder Anpassung Ihrer Produkte und Prozesse nach CRA-Anforderungen.

🔐

Security-by-Design Integration

„Sicherheit von Anfang an" ist kein Schlagwort im CRA, sondern Pflicht. Wir integrieren strukturiertes Threat Modeling, Sicherheits-Architektur-Reviews und Security Quality Gates direkt in Ihren Entwicklungsprozess – für agile Teams genauso wie für klassische Waterfall-Ansätze.

Liefert: Threat Model Templates, Security Checklist für Code Reviews, SDLC-Integration, Tools & Training

Nutzen: Sicherheitslücken entstehen erst gar nicht; reduzierte Patch-Lasten in Produktion; glaubhafter gegenüber Audits

📦

Software Bill of Materials (SBOM) & Komponentenverwaltung

Eine saubere SBOM ist die Grundlage für alles Weitere: CVE-Management, Update-Planung, Lieferketten-Transparenz. Wir helfen Ihnen, SBOMs automatisiert zu generieren, zu pflegen und in Ihre Supply-Chain-Governance zu integrieren.

Liefert: SBOM-Prozess, Tool-Setup (z. B. Syft, Cyclone DX), Integrationsmuster für CI/CD, Templates für verschiedene Produkttypen

Nutzen: Automatisierte Transparenz; schnelle Reaktion auf CVEs; Nachweis für Compliance-Audits

🛡️

IEC 62443 & CRA-Anforderungen (Anhang I)

Die gängigste Basis für CRA-Konformität ist IEC 62443 (Cybersecurity für industrielle Automatisierung). Für andere Produktkategorien nutzen wir NIST, OWASP oder proprietäre Standards. Wir mappen Ihre aktuellen Sicherheitsmaßnahmen auf CRA-Anforderungen und schließen Lücken.

Liefert: Anforderungs-Mapping, Umsetzungsplan, Implementierungs-Workshops, Validierung

Nutzen: Fokus auf die Maßnahmen mit höchster Wirkung; vermeiden Sie Über-Engineering; harmonisierte Sicherheitsstandards

🔄

Vulnerability & Incident Response Management

Der CRA schreibt ein strukturiertes Schwachstellenmanagement vor: Monitoring, Risikobewertung, Priorisierung, Patch-Planung, koordinierte Offenlegung. Ab 11. September 2026 gelten auch Meldepflichten an ENISA und nationale Cybersicherheitsbehörden.

Liefert: CVE-Management-Prozess, Eskalationswege, Reporting-Templates, Meldepflicht-Workflows, Tools-Integration (z. B. OSV, Dependency Track)

Nutzen: Schnellere Response auf Schwachstellen; Meldepflichten geplant statt im Notfall; Reputationsschutz

📅

Update- & Support-Lifecycle Management

Der CRA fordert Sicherheitsupdates über die gesamte Supportdauer (mindestens 5 Jahre). Wir helfen Ihnen, Support-Fenster zu definieren, automatisierte Update-Kanäle aufzubauen und Ihre Support-Verpflichtungen transparent zu kommunizieren.

Liefert: Support-Lifecycle-Policy, Update-Prozess, Rollout-Strategie, Customer-Kommunikations-Templates

Nutzen: Planbare Supportkosten; Kunden wissen klar, wie lange ihre Produkte gepflegt werden; Compliance-sicher

📄

Technische Dokumentation (Anhang VII CRA)

Ein vollständiges technisches Dossier ist Pflicht – Design-Docs, Risikobewertungen, SBOM, Sicherheitsmaßnahmen, Update-Strategie, Lieferketten-Informationen. Wir helfen Ihnen, diese Dokumentation strukturiert und wartbar aufzubauen.

Liefert: Dokumentations-Struktur, Templates, Redaktions-Guidelines, Versionsverwaltung

Nutzen: Audits und Zertifizierungen laufen reibungslos; interne Wissenserhaltung; Basis für regulatorische Audits

Phase 3: Konformitätsbewertung & Zertifizierung

Nachweis der Einhaltung durch Selbstbewertung, externe Audits oder notifizierte Stellen.

Konformitätsbewertung (Modul A, B+C, H)

Je nach Produktklasse: Modul A (Selbstbewertung für Standardprodukte), Modul B+C (Baumuster + Fertigung), oder Modul H (QMS-Bewertung). Wir unterstützen Sie bei der Vorbereitung und Durchführung – oder begleiten Sie durch die Prüfung mit notifizierten Stellen.

Liefert: Konformitätsnachweis, EU-Konformitätserklärung, Dossier für notifizierte Stelle

Nutzen: Rechtssicherheit; CE-Kennzeichnung; Basis für Marktüberwachung

🏆

Notifizierte Stelle & Externe Zertifizierung

Für wichtige Produkte (Klasse I/II) und kritische Produkte: Wir identifizieren geeignete, akkreditierte notifizierte Stellen, bereiten Ihr Dossier vor und unterstützen während der Zertifizierungsprüfung.

Liefert: Notifizierte Stelle Matchmaking, Dossier-Vorbereitung, Audit-Support, Abweichungs-Management

Nutzen: Unabhängige Bestätigung der Sicherheit; Kundenvertrauen; Haftungsreduktion

📋

CE-Kennzeichnung & EU-Konformitätserklärung

Einmalige oder regelmäßige CE-Kennzeichnung, EU-Konformitätserklärung und Archivierung des Konformitätsdossiers – mit klarer Verantwortlichkeit und Compliance-Dokumentation.

Liefert: EU-Konformitätserklärung (Vorlage & ausgefüllt), CE-Kennzeichnungs-Prozess, Dossier-Verwaltung

Nutzen: Rechtliche Sicherheit; Marktplatz-Anforderungen erfüllt; nachweisbar dokumentiert

🔍

EUCC-Zertifizierung (für kritische Produkte)

Europäische Cybersecurity Certification (EUCC) für kritische Produkte und hochgradig vernetzte Systeme – auf Vertrauenswürdigkeitsstufe „substantial" oder höher. Wir unterstützen Sie auf dem Weg zur EUCC-Zertifizierung.

Liefert: EUCC-Roadmap, Kompatibilität-Check mit bestehenden Prozessen, Zertifizierungs-Support

Nutzen: Maximales Vertrauen; Differenzierung gegenüber Wettbewerbern; strategischer Vorteil

Laufend: Compliance Monitoring & Evolution

Der CRA ist ein Live-Regelwerk – ständig neue Standards, notifizierte Stellen, Leitlinien. Wir halten Sie auf dem Laufenden.

📡

CRA Monitoring & Regulatory Intelligence

Neue Durchführungsverordnungen, Standards (EN 62443, NIST), notifizierte Stellen, ENISA-Leitlinien – wir überwachen Änderungen und teilen relevante Updates mit Ihnen.

Liefert: Regulatory Change Alerts, Impact-Analysen, Umsetzungs-Roadmap

Nutzen: Sie werden nicht von Regeländerungen überrascht; frühzeitige Planung

🎯

Audits & Compliance Checks

Regelmäßige interne oder externe Audits, um sicherzustellen, dass Ihre CRA-Compliance nicht in Warteschleifen steckenbleibt. Wir prüfen Prozesse, Dokumentation und technische Maßnahmen.

Liefert: Audit-Report, Abweichungsanalyse, Verbesserungsplan

Nutzen: Frühzeitige Erkennung von Drift; kontinuierliche Verbesserung; Audit-Readiness

🏢

Incident & Meldepflicht-Support (ab 11. Sept 2026)

Ein Sicherheitsvorfall ist entdeckt? Fristen sind kurz (24h Frühwarnung, 72h detaillierter Report). Wir helfen Ihnen, korrekt und zeitnah über ENISA und nationale CSIRTs zu melden.

Liefert: Incident-Response-Plan, Meldepflicht-Checkliste, 24/7 Support bei kritischen Incidents

Nutzen: Rechtssicherheit; minimierter Reputationsschaden; strukturierte Response

Warum wir?

  • Praktische Erfahrung: Wir haben bereits Dutzende von Produkten durch CRA-Klassifizierung, SBOM-Integration und externe Zertifizierung geführt
  • Keine Einheitslösung: Jedes Unternehmen ist anders. Wir passen unsere Services an Ihre Produktkomplexität, Ihre Ressourcen und Ihre Fristen an
  • Security-First-Mindset: Als Security-Spezialist verstehen wir, dass CRA nicht nur Compliance, sondern ein Geschäftsvorteil ist
  • Volle Transparenz: Feste Meilensteine, klare Liefergegenstände, keine Hidden Kosten

Weiterführende Beratung

Sie möchten wissen, wie Sie Ihre Produkte CRA-konform gestalten? Kontaktieren Sie unser Expert*innen-Team.

Oder kontaktieren Sie uns direkt:

📧 cybersecurity@smarttecs.de