Ab 11.12.2027: Ohne CRA-Konformität kein Verkauf in der EU

Marcel Rieger

Managing Director, Cyber Risk

Ab dem 11. Dezember 2027 dürfen Produkte mit digitalen Elementen ohne nachgewiesene CRA-Konformität nicht mehr in der EU verkauft werden. Kein Verkauf ohne CE-Kennzeichnung, kein CE ohne CRA. Das gilt für Software, Hardware mit integriertem Software-Anteil, IoT-Geräte, Industriesteuerungen, Netzwerkgeräte und viele weitere Produkte. Für Hersteller, die ihren Umsatz wesentlich im EU-Markt machen, ist das eine existenzielle Deadline.

Was der CRA konkret fordert

Der Cyber Resilience Act basiert auf drei Kernpflichten.

1. Secure-by-Design: Sicherheit muss von Anfang an in den Produktentwicklungsprozess integriert sein – nicht nachträglich aufgesetzt. Das bedeutet Threat Modeling in der Designphase, Sicherheitsanforderungen als funktionale Anforderungen, Security Gates im Entwicklungsprozess.

2. Schwachstellenmanagement: Hersteller müssen Schwachstellen in ihren Produkten systematisch identifizieren, bewerten, beheben und melden – auch für Open-Source-Komponenten und über die gesamte Produktlebensdauer. Drittens Transparenz: Eine Software Bill of Materials (SBOM), vollständige Dokumentation des Sicherheitsniveaus und die CE-Kennzeichnung als Konformitätsnachweis.

Welche Produkte welcher Kategorie angehören

Der CRA unterscheidet drei Klassen. Standardprodukte (zum Beispiel Smart-Home Geräte, Wearables) können per Selbsterklärung des Herstellers zertifiziert werden. Wichtige Produkte der Klasse I (zum Beispiel Passwort-Manager, Netzwerksoftware, Router) benötigen eine strengere Konformitätsprüfung. Wichtige Produkte der Klasse II (kritische Infrastruktur-Software, Industrie-Steuerungssysteme) erfordern eine externe Konformitätsbewertung durch eine notifizierte Stelle.

Warum Sie jetzt starten müssen

Wer 2026 beginnt, hat genug Zeit für eine strukturierte Umsetzung. Wer 2027 beginnt, befindet sich im Krisenmodus – mit dem Risiko, die Deadline zu verpassen und vorübergehend keinen EU-Marktzugang zu haben. Zusätzlich drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Wir helfen Ihnen, den CRA-Scope zu definieren, den Entwicklungsprozess sicherheitsgerecht aufzustellen und die erforderliche Dokumentation strukturiert aufzubauen.

Was Sie als Hersteller jetzt tun sollten: CRA-Betroffenheitscheck durchführen, Entwicklungsprozess gegen die Kernpflichten bewerten, und einen realistischen Umsetzungsfahrplan entwickeln. Wer noch in 2026 beginnt, hat ausreichend Zeit. Wer erst 2027 beginnt, startet im Krisenmodus.

Unser kostenloser CRA-Readiness-Check gibt Ihnen in 60 Minuten eine erste Einschätzung – ohne Verkaufsdruck.