Wir respektieren Ihre Privatsphäre

Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse (Google Analytics) und Marketing (Meta, LinkedIn, Google Ads, HubSpot).

Dabei werden Daten auch an Anbieter in den USA übermittelt (Art. 49 DSGVO). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

Datenschutz·Impressum

Stichtag 11.12.2027

Ab 2027: Kein EU-Verkauf ohne CRA

Ab dem 11. Dezember 2027 dürfen Produkte mit digitalen Elementen ohne CRA-Konformität nicht mehr in der EU verkauft, bereitgestellt oder in Verkehr gebracht werden. Die Uhr läuft - und sie hört nicht auf.

Betroffenheit prüfen

11.12.2027

Stichtag Vertriebsverbot

15 Mio. €

max. Bußgeld pro Verstoß

2,5 %

vom weltweiten Konzernumsatz

100%

Marktzugang gesichert mit uns

Was steht auf dem Spiel

Drei Konsequenzen, die Sie
ab Dezember 2027 treffen

CRA-Nichtkonformität ist keine Formalie. Marktüberwachungsbehörden in den EU-Mitgliedstaaten haben harte Eingriffsrechte.

Stop

Verkauf, Auslieferung, Bereitstellung

Vertriebsverbot in der EU

Nicht-konforme Produkte dürfen nicht mehr in Verkehr gebracht oder bereitgestellt werden. Bestehende Bestände müssen aus dem Markt genommen werden.

2,5 %

des weltweiten Konzernumsatzes

Bußgelder bis 15 Mio. €

Bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes - je nachdem, was höher ist. Bei mehreren betroffenen Produkten kumulieren sich die Risiken.

Tier-1

Aus dem Lieferantenpool gestrichen

Reputations- und Lieferkettenschaden

B2B-Kunden fordern bereits 2026 Konformitätsnachweise von Lieferanten. Wer nicht liefern kann, fliegt aus Ausschreibungen.

Was der CRA verlangt

4 Pflichten - ohne die kein EU-Vertrieb

Wir bringen Ihre Produkte und Prozesse strukturiert in den konformen Zustand - ohne Ihre Roadmap zu zerschießen.

Pflicht 1

Wesentliche Cybersecurity-Anforderungen

Anhang I des CRA listet zwingende Sicherheitseigenschaften - von sicherer Default-Konfiguration über Datenminimierung bis zu Zugriffsschutz. Ohne Nachweis: keine Konformitätserklärung.

Technische Sicherheitsanforderungen erfüllt

Pflicht 2

Meldeprozesse für Schwachstellen

Pflicht zur Schwachstellenmeldung an das BSI innerhalb von 24h, Software-Updates über die gesamte Support-Lebensdauer, koordinierte Veröffentlichung. Gilt für jedes betroffene Produkt.

PSIRT, SBOM und Disclosure-Policy aktiv

Pflicht 3

Technische Dokumentation

Risikobewertung, Architekturbeschreibung, Test-Evidenzen, Lieferkette. Marktüberwachungsbehörden können diese jederzeit anfordern - und Verkaufsverbote aussprechen.

Audit-fähige technische Doku archiviert

Pflicht 4

Konformitätsbewertung & CE+CRA

Je nach Risikoklasse Selbstbewertung oder notifizierte Stelle. Erst danach darf das Produkt mit aktualisierter CE-Kennzeichnung in den EU-Markt.

Konformitätserklärung unterzeichnet

Frühere Pflichten ab 11.09.2026

Die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle gilt bereits ab September 2026 - also über ein Jahr vor dem vollen Stichtag. Ohne Meldeprozesse entsteht hier sofort ein Compliance-Risiko.

Unser Qualitätsversprechen

Ihr Produkt bleibt im EU-Markt - auch nach dem 11.12.2027

Wir kombinieren Produktsicherheits-Wissen mit Erfahrung aus ISO 27001- und NIS2-Programmen. Sie bekommen einen Plan, der hält, was im Audit nachgefragt wird.

Ergebnisse

Was Sie nach unserem CRA-Programm
in der Hand haben

CE+CRA

Marktzugang gesichert

Vertrieb in allen 27 EU-Mitgliedstaaten ohne Unterbrechung - auch über den 11.12.2027 hinaus.

Bis 15 Mio.

Bußgeldrisiko abgefangen

Klare Konformitätsnachweise schützen Geschäftsführung und Bilanz vor Sanktionen der Marktüberwachungsbehörden.

PSIRT live

24h-Meldekette etabliert

Funktionierender Vulnerability-Handling-Prozess - Pflicht bereits ab September 2026, nicht erst 2027.

Vertriebsargument

Statt Vertriebsstopp

B2B-Kunden fragen CRA-Status aktiv an. Nutzen Sie Konformität als Differenzierungs-Merkmal in Ausschreibungen.

Lieferkette

Lieferanten unter Kontrolle

SBOM und Lieferantenbewertung integriert - Sie behalten den Überblick auch über Open-Source-Komponenten.

ISO-Synergie

Bestehende Strukturen genutzt

Wer ISO 27001 oder NIS2 schon umsetzt, spart 60–70 % Aufwand. Wir zeigen Ihnen, welche Bausteine wiederverwendbar sind.

Vertrauen Sie auf bewährte Expertise

Häufige Fragen

Was Sie wissen sollten

Ab diesem Datum dürfen Produkte mit digitalen Elementen nur noch dann in der EU in Verkehr gebracht oder bereitgestellt werden, wenn sie die CRA-Anforderungen erfüllen und entsprechend konformitätsbewertet sind. Bestehende Bestände müssen ggf. zurückgerufen werden.

Ja. Der CRA betrifft Software-Produkte mit digitalen Elementen - egal ob standalone oder eingebettet vertrieben. Für reine SaaS-Angebote gilt der CRA hingegen nicht. Ausnahmen gibt es zudem für sehr eng definierte Bereiche (z. B. Medizinprodukte unter MDR).

Ja. Sobald Sie Produkte in den EU-Markt einführen oder bereitstellen, gelten die Pflichten - auch für US-, UK- oder asiatische Hersteller. Importeure und Händler übernehmen anteilig Verantwortung.

Bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes (jeweils der höhere Wert) bei Verstößen gegen wesentliche Anforderungen. Bei Verstößen gegen Mitwirkungspflichten bis zu 5 Mio. EUR oder 1 % vom Umsatz.

Technisch ja, organisatorisch in vielen Fällen nicht. Insbesondere PSIRT-Prozess, technische Doku nach Anhang VII und die Konformitätsbewertung erfordern Erfahrung mit EU-Produktrecht. Eine externe Begleitung spart erfahrungsgemäß 50–70 % Aufwand und vermeidet Auditmängel.

Kostenlos & unverbindlich

Sichern Sie Ihren EU-Marktzugang

In 30 Minuten klären wir Ihre CRA-Betroffenheit und zeigen Ihnen, welche Schritte bis Dezember 2027 unverzichtbar sind.