Der Cyber Resilience Act ist seit Dezember 2024 in Kraft – gefühlt Lichtjahre entfernt. Ist er nicht. Die erste scharfe Frist liegt im September 2026, und wer bis dahin keinen funktionierenden Meldeprozess hat, bekommt ein handfestes Problem. Trotzdem sind laut aktuellen Branchenzahlen nur etwa ein Drittel der deutschen Industrieunternehmen überhaupt mit den Anforderungen vertraut.
In diesem Artikel bekommst du:
- Den kompletten CRA-Zeitplan mit allen relevanten Stichtagen
- Was genau ab September 2026 von dir verlangt wird – und was erst 2027 kommt
- Eine praktische Checkliste, mit der du jetzt startest
- Die häufigsten Fehler, die uns in der Praxis begegnen
Warum der CRA kein Thema für 2027 ist, sondern für heute
Der Cyber Resilience Act betrifft praktisch jeden, der Produkte mit digitalen Elementen in der EU in Verkehr bringt – Hardware genauso wie Software. Vernetzte Maschinensteuerungen, IoT-Geräte, Firmware, aber auch reine Softwareprodukte mit Netzwerkanbindung fallen darunter. Der Geltungsbereich ist deutlich breiter, als die meisten annehmen: Auch ein Maschinenbauer mit einer simplen Ethernet-Schnittstelle an der SPS ist betroffen.
Der Denkfehler, den wir bei fast jedem CRA-Erstgespräch hören: „Wir haben ja bis Dezember 2027 Zeit.“ Stimmt nur für die vollständigen Anforderungen. Die erste harte, bußgeldbewehrte Pflicht kommt 15 Monate früher.
Der CRA-Zeitplan im Überblick
10. Dezember 2024 – Der CRA tritt offiziell in Kraft. Ab hier dürfen Unternehmen ihre Prozesse anpassen, es gelten aber noch keine Pflichten.
11. Juni 2026 – Die notifizierenden Behörden müssen die Verfahren zur Benennung von Konformitätsbewertungsstellen etabliert haben. Relevant vor allem für Hersteller von Produkten der Kategorie I und II (höheres Risiko), die eine externe Prüfung brauchen.
11. September 2026 – die erste harte Deadline. Ab diesem Datum gilt Art. 14 CRA: die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Konkret bedeutet das:
- 24 Stunden für die initiale Frühwarnung an ENISA und die zuständige nationale Behörde
- 72 Stunden für eine detailliertere Meldung mit weiteren verfügbaren Informationen
- 14 Tage nach einem Sicherheitsupdate bzw. Workaround für den Abschlussbericht bei Schwachstellen
- 1 Monat nach der initialen Meldung für den Abschlussbericht bei Sicherheitsvorfällen
Die Meldungen laufen künftig über die zentrale CRA Single Reporting Platform (SRP) der ENISA.
11. Dezember 2026 – Die Mitgliedstaaten müssen sicherstellen, dass ausreichend notifizierte Stellen für Konformitätsbewertungen zur Verfügung stehen.
11. Dezember 2027 – vollständige Anwendung. Ab hier gelten alle CRA-Anforderungen: Security by Design, CE-Kennzeichnung mit Cybersicherheitsnachweis, lückenlose Dokumentation über den gesamten Produktlebenszyklus. Produkte ohne diesen Nachweis dürfen ab diesem Stichtag nicht mehr neu auf dem EU-Markt in Verkehr gebracht werden.
Wichtig für Bestandsprodukte: Der Stichtag gilt pro in Verkehr gebrachter Einheit, nicht pro Modellreihe. Wird ein Produkt nach dem 11.12.2027 weiter vertrieben oder wesentlich verändert, greift die Konformitätspflicht – was genau als „wesentliche Modifikation“ zählt, ist in der Praxis noch nicht abschließend geklärt.
Praxis-Checkliste: So kommst du bis September 2026 startklar
1. Produktinventar erstellen
Welche Produkte mit digitalen Elementen bringst du in Verkehr? Netzwerkanbindung, Firmware, Softwarekomponenten?
2. SBOM aufbauen
Für jedes betroffene Produkt eine vollständige Software-Stückliste mit Versionsständen, Lizenzen und bekannten Schwachstellen. Erfahrungsgemäß der aufwändigste Punkt, weil Zulieferer oft nicht die nötigen Informationen liefern.
3. Meldekette dokumentieren
Wer meldet was, an wen, in welcher Frist? Ohne klar definierten Prozess zwischen Product Security, Incident Response und Legal ist die 24-Stunden-Frist praktisch nicht zu halten.
4. Risikoklasse bestimmen
Standard, wichtiges Produkt (Kategorie I/II) oder kritisches Produkt? Davon hängt ab, ob eine Selbsterklärung reicht oder eine externe Konformitätsbewertung nötig ist. Für rund 90 % aller vernetzten Produkte genügt laut Branchenexperten eine Selbsterklärung.
5. Gap-Analyse zu bestehenden Standards
Wer bereits ISO 27001 oder IEC 62443 umsetzt, deckt einen großen Teil der organisatorischen Anforderungen bereits ab. Doppelarbeit vermeiden, offene Lücken identifizieren.
Die häufigsten Fehler in der Praxis
„Wir haben ja noch bis 2027.“ Die Meldepflicht ist schon 2026 scharf – und ohne vorbereiteten Prozess reißt man die 24-Stunden-Frist beim ersten echten Vorfall garantiert.
SBOM wird als reine IT-Aufgabe behandelt. In der Praxis braucht es Input von Einkauf, Entwicklung und Lieferanten gleichermaßen – wer das erst kurz vor der Deadline angeht, läuft in Lieferanten, die nicht liefern können oder wollen.
Governance wird unterschätzt. Der größte Aufwand liegt selten in der Technik, sondern in der Klärung von Zuständigkeiten: Wer ist verantwortlich, wie läuft die Eskalation, wer spricht mit Behörden und Kunden.
Fazit
Der 11. Dezember 2027 klingt weit weg. Der 11. September 2026 ist es nicht. Wer jetzt mit Produktinventar, SBOM und Meldeprozess startet, hat die Zeit, sauber zu arbeiten. Wer wartet, arbeitet unter Zeitdruck nach – und das ist bei Compliance-Themen selten günstig.
Willst du dein CRA-Produktinventar, deine SBOMs und deine Meldeprozesse direkt strukturiert und auditfähig in einem Tool abbilden – statt in Excel-Listen, die keiner pflegt? Teste deveca GRC kostenlos.
