Wir verwenden Cookies für Analyse und Fehlerbehebung.

Zurück zum Blog
Dr. Markus Hornsteiner

CRA-Timeline: Alle Daten zum Cyber Resilience Act

CRARegulierungComplianceEUTimeline

CRA-Timeline: Alle Daten zum Cyber Resilience Act – vom Entwurf bis zur vollen Anwendung

Stand: März 2026 | Alle Angaben basieren auf der Verordnung (EU) 2024/2847 und offiziellen Quellen (BSI, EU-Kommission, EUR-Lex).

Der Cyber Resilience Act (CRA) ist die erste EU-weite Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Seit dem Inkrafttreten am 10. Dezember 2024 läuft die Uhr – und die ersten Pflichten greifen früher, als viele Hersteller denken.

Dieser Beitrag gibt einen vollständigen chronologischen Überblick über alle relevanten Daten: von der politischen Entstehung über die Gesetzgebung bis zu den kommenden Deadlines, die Hersteller, Importeure und Händler kennen müssen.

Der Weg zum Gesetz (2021–2024)

September 2021 – Die Ankündigung

EU-Kommissionspräsidentin Ursula von der Leyen bringt den Cyber Resilience Act erstmals in ihrer Rede zur Lage der Union ins Spiel. Im Mai 2022 fordert der Rat der EU die Kommission auf, bis Ende des Jahres einen konkreten Vorschlag vorzulegen.

Quelle: Rat der EU – Pressemitteilung vom 19. Juli 2023 (enthält Verweis auf die Schlussfolgerungen des Rates vom 23. Mai 2022)

15. September 2022 – Der Entwurf

Die EU-Kommission veröffentlicht den Entwurf des Cyber Resilience Act. Es ist der erste europäische Rechtsakt, der horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen vorschlägt – also sowohl Hardware als auch Software, die direkt oder indirekt mit einem Netzwerk verbunden werden können.

Quellen: EU-Kommission – Cyber Resilience Act, Rat der EU – Pressemitteilung vom 10. Oktober 2024

Juli 2023 – Parlamentarische Prüfung

Die zuständigen Fachausschüsse des EU-Parlaments nehmen den Abschlussbericht an. Am selben Tag verabschiedet der Ausschuss der ständigen Vertreter der Mitgliedstaaten (COREPER) den Standpunkt des Europäischen Rates.

Quelle: Rat der EU – Pressemitteilung vom 19. Juli 2023

November 2023 – Trilog-Einigung

Nach Verhandlungen zwischen EU-Kommission, Europäischem Parlament und Rat wird am 30. November 2023 eine politische Einigung erzielt. Wesentliche Anpassungen gegenüber dem Ursprungsentwurf: Die Übergangsfrist wird von 24 auf 36 Monate verlängert, die Produktlebensdauer-Unterstützung auf mindestens 5 Jahre festgelegt, und die Produktklassifizierung wird vereinfacht.

Quelle: Rat der EU – Pressemitteilung vom 30. November 2023

12. März 2024 – Annahme im Parlament

Das Europäische Parlament nimmt den finalen Kompromisstext an.

Quelle: EUR-Lex – Verordnung (EU) 2024/2847

10. Oktober 2024 – Finale Billigung

Der Rat der Europäischen Union billigt die Verordnung offiziell.

Quelle: Rat der EU – Pressemitteilung vom 10. Oktober 2024

20. November 2024 – Veröffentlichung

Die Verordnung (EU) 2024/2847 wird im EU-Amtsblatt veröffentlicht. Offizieller Titel: „Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen."

Quelle: EUR-Lex – Verordnung (EU) 2024/2847 (Volltext)

10./11. Dezember 2024 – Inkrafttreten

20 Tage nach Veröffentlichung tritt der CRA offiziell in Kraft. Die 36-monatige Übergangsfrist beginnt. Da scheiden sich die Geister, ob es der 10 oder der 11. Dezember war. Die meisten verweisen wohl auf den 11.

Quellen: BSI – Cyber Resilience Act, EU-Kommission – Zusammenfassung des Legislativtexts, EUR-Lex – Verordnung (EU) 2024/2847

Durchführung und Normung (2025–2026)

3. Februar 2025 – Normungsauftrag

Die EU-Kommission erteilt den europäischen Normungsorganisationen CEN, CENELEC und ETSI den Normungsauftrag M/606 (Dokument C(2025) 618): Es sollen 41 harmonisierte Normen erarbeitet werden, die die grundlegenden Cybersicherheitsanforderungen des CRA konkretisieren. Das Mandat läuft bis zum 30. November 2027. Am 3. April 2025 wurde der Normungsauftrag offiziell von CEN, CENELEC und ETSI angenommen.

Quellen: EU-Kommission – CRA Standardisation, CEN-CENELEC – Standardization Request Officially Accepted, Normungsauftrag C(2025) 618 (PDF)

1. Dezember 2025 – Durchführungsverordnung

Die Durchführungsverordnung (EU) 2025/2392 wird im EU-Amtsblatt veröffentlicht. Sie enthält die technische Beschreibung der Produktkategorien – also die konkrete Definition, welche Produkte als „wichtig" (Klasse I und II) oder „kritisch" im Sinne des CRA gelten.

Quellen: EU-Kommission – Cyber Resilience Act Implementation, BSI – Cyber Resilience Act

3. März 2026 – Umsetzungsleitlinien

Die EU-Kommission veröffentlicht den Entwurf der Umsetzungsleitlinien zum CRA. Die öffentliche Konsultation läuft bis zum 31. März 2026. Für Unternehmen ist dies die letzte Möglichkeit, die praktischen Durchführungsmechanismen mitzugestalten.

Quelle: EU-Kommission – Cyber Resilience Act Implementation

Die kommenden Deadlines: Was wann gilt

11. Juni 2026 – Konformitätsbewertungsstellen

Kapitel IV des CRA wird anwendbar. Die Mitgliedstaaten müssen bis zu diesem Datum notifizierende Behörden benannt haben, die für die Zulassung von Konformitätsbewertungsstellen zuständig sind. Ab diesem Zeitpunkt können Prüfstellen für CRA-Zertifizierungen benannt werden.

Für Hersteller von Produkten der Klasse II und kritischen Produkten bedeutet das: Die Infrastruktur für externe Konformitätsbewertungen entsteht.

Quellen: BSI – Cyber Resilience Act, EU-Kommission – Zusammenfassung des Legislativtexts, TÜV Rheinland – Cyber Resilience Act; Rechtsgrundlage: Art. 71 Abs. 2 CRA

August 2026 (geplant) – Erste harmonisierte Normen

Nach aktuellem Zeitplan sollen die horizontalen Typ-A-Normen sowie die Typ-B-Normen zur Schwachstellenbehandlung bis zum 30. August 2026 vorliegen.

Hinweis: Dies sind geplante Stichtage aus dem CEN/CENELEC-Normungsprozess. Sie können sich verschieben.

Quelle: CEN-CENELEC – Webinar „Standards supporting the Cyber Resilience Act" (PDF)

11. September 2026 – Meldepflicht startet

Dies ist die erste harte Deadline, die Hersteller direkt betrifft. Ab diesem Tag müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle den Behörden gemeldet werden:

  • 24 Stunden: Frühwarnung an das zuständige nationale CSIRT und an ENISA
  • 72 Stunden: Vollständige Meldung mit Details zur Schwachstelle
  • 14 Tage: Abschlussbericht (nach Bereitstellung eines Patches oder Workarounds)

Die Meldung erfolgt über die ENISA Single Reporting Platform, die derzeit aufgebaut wird.

Wichtig: Diese Meldepflicht gilt für ALLE Produkte mit digitalen Elementen, die auf dem EU-Markt verfügbar sind – auch für solche, die vor September 2026 in Verkehr gebracht wurden.

Quellen: BSI – Cyber Resilience Act, EU-Kommission – Zusammenfassung des Legislativtexts, Fraunhofer IEM – Cyber Resilience Act, BGHM – FAQs Cyber-Resilience-Act; Rechtsgrundlage: Art. 14 + Art. 71 Abs. 2 CRA

Oktober 2026 (geplant) – Produktspezifische Normen

Geplanter Stichtag für die Typ-C-Normen, die produktkategorienspezifische Anforderungen definieren.

Hinweis: Geplanter Termin, kann sich verschieben.

Quelle: CEN-CENELEC – Webinar „Standards supporting the Cyber Resilience Act" (PDF)

11. Dezember 2026 – Ausreichend Prüfstellen

Die Mitgliedstaaten müssen bis zu diesem Datum sicherstellen, dass eine ausreichende Zahl notifizierter Konformitätsbewertungsstellen verfügbar ist, um Engpässe beim Marktzugang zu verhindern.

Quelle: BSI – Cyber Resilience Act; Rechtsgrundlage: Art. 35 Abs. 2 CRA

20. Januar 2027 – Maschinenverordnung wird parallel anwendbar

Die neue EU-Maschinenverordnung (2023/1230) ersetzt die bisherige Maschinenrichtlinie. Für Maschinenhersteller bedeutet das: Ab Ende Januar 2027 müssen Maschinen mit digitalen Elementen sowohl die Maschinenverordnung als auch den CRA erfüllen. Beide müssen in der EU-Konformitätserklärung genannt werden.

Quellen: Industrial Cyber – CRA and Machinery Regulation (Sarah Fluchs), EUR-Lex – Maschinenverordnung (EU) 2023/1230

Oktober 2027 (geplant) – Letzte Normen

Geplanter Stichtag für die Typ-B-Normen zu technischen Maßnahmen.

Quelle: CEN-CENELEC – Webinar „Standards supporting the Cyber Resilience Act" (PDF)

30. November 2027 – Normungsmandat läuft aus

Alle 41 im Normungsauftrag M/606 beauftragten harmonisierten Normen sollen bis zu diesem Datum vorliegen.

Quellen: EU-Kommission – CRA Standardisation, Normungsauftrag C(2025) 618 – „This Decision shall expire on 30 November 2027"

11. Dezember 2027 – Volle Anwendung

Ab diesem Tag müssen alle neuen Produkte mit digitalen Elementen, die auf den EU-Markt gebracht werden, vollständig CRA-konform sein. Das umfasst:

  • CE-Kennzeichnung nur noch mit CRA-Konformitätsnachweis
  • Security-by-Design muss in der Produktentwicklung verankert sein
  • Schwachstellenmanagement über den gesamten Produktlebenszyklus (mindestens 5 Jahre Sicherheitsupdates)
  • SBOM (Software Bill of Materials) muss in maschinenlesbarem Format vorliegen
  • Konformitätsbewertung durchgeführt (Selbsterklärung für ca. 90% der Produkte, externe Bewertung für ca. 10%)
  • Verantwortung für Gesamtprodukt – inklusive zugekaufter Komponenten

Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, sind nur betroffen, wenn nachträglich eine wesentliche Änderung vorgenommen wird.

Ohne CRA-Konformität: Kein CE, kein EU-Marktzugang.

Quellen: BSI – Cyber Resilience Act, EU-Kommission – Zusammenfassung des Legislativtexts, EUR-Lex – Verordnung (EU) 2024/2847; Rechtsgrundlage: Art. 71 Abs. 2 CRA

11. Juni 2028 – Bestehende Zertifikate laufen aus

Bestehende EU-Baumusterprüfbescheinigungen und Genehmigungsentscheidungen zu Cybersicherheitsanforderungen bleiben bis zu diesem Datum gültig, sofern sie nicht vorher ablaufen.

Quelle: EU-Kommission – Zusammenfassung des Legislativtexts

Sanktionen bei Verstößen

Die Nichteinhaltung der CRA-Anforderungen kann erhebliche Konsequenzen haben:

  • Bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes (je nachdem, was höher ist) bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen
  • Marktzugangsbeschränkungen bis hin zum vollständigen Verkaufsverbot für nicht-konforme Produkte
  • Rückrufanordnungen durch nationale Marktüberwachungsbehörden

Ausnahme: Kleinstunternehmen und Kleinunternehmen können nicht mit einer Geldstrafe belegt werden, wenn sie die 24-Stunden-Frist für die Meldung von Schwachstellen nicht einhalten.

Quellen: EUR-Lex – Verordnung (EU) 2024/2847, Art. 64, EU-Kommission – Zusammenfassung des Legislativtexts

Was Hersteller jetzt tun sollten

Die erste harte Deadline (Meldepflicht) ist in 6 Monaten. Wer noch nicht angefangen hat, sollte jetzt handeln:

  1. Betroffenheit prüfen: Fallen eure Produkte unter den CRA? Enthält euer Produkt digitale Elemente mit direkter oder indirekter Netzwerkverbindung?

  2. Produktklassifizierung durchführen: Standard, wichtig (Klasse I/II) oder kritisch? Die Durchführungsverordnung (EU) 2025/2392 definiert die Kategorien.

  3. Meldeprozesse aufbauen (bis September 2026): PSIRT einrichten, interne Meldewege definieren, 24h-Frist sicherstellen.

  4. Schwachstellenmanagement etablieren: Prozesse für die Identifikation, Bewertung und Behebung von Schwachstellen über den gesamten Produktlebenszyklus.

  5. SBOM erstellen: Software-Stückliste in maschinenlesbarem Format (CycloneDX oder SPDX) für jedes Produkt.

  6. Konformitätsbewertung vorbereiten: Technische Dokumentation, Risikobewertung, EU-Konformitätserklärung.

  7. Zulieferer einbinden: Sicherstellen, dass auch zugekaufte Komponenten den CRA-Anforderungen entsprechen.

Fazit

Der Cyber Resilience Act ist die größte regulatorische Veränderung für Hersteller vernetzter Produkte seit der Einführung der CE-Kennzeichnung. Die Übergangsfrist bis Ende 2027 mag lang erscheinen – aber die Meldepflicht greift bereits im September 2026, und die notwendigen Anpassungen in Produktentwicklung, Schwachstellenmanagement und Lieferantenbewertung brauchen Zeit.

Hersteller, die frühzeitig handeln, schaffen nicht nur Compliance – sie schaffen einen Wettbewerbsvorteil. Denn in einem Markt, in dem viele noch zögern, wird CRA-Konformität zum Vertrauenssignal gegenüber Kunden und Partnern.

Dieser Beitrag wird regelmäßig aktualisiert. Alle Angaben basieren auf der Verordnung (EU) 2024/2847 und offiziellen Quellen. Dieser Beitrag stellt keine Rechtsberatung dar.

Fragen zur CRA-Compliance? Kontakt aufnehmen →

Bereit, loszulegen?

Cyber Resilience Act

11. September 2026.

Ab dann ist Product Security gesetzliche Pflicht.

176
Tage
:
15
Std.
:
27
Min.
:
39
Sek.

Wissen allein reicht nicht. Handeln zählt.

Setze die Erkenntnisse direkt um. Complioty macht Product Security umsetzbar.

Kostenloser CRA-Quick Scan