Der Cyber Resilience Act (EU-Verordnung 2024/2847) führt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen ein, die in der EU auf den Markt gebracht werden. Software wird wie ein physisches Produkt behandelt: mit CE-Kennzeichnung, fünf Jahren Sicherheits-Support und 24-Stunden-Meldefristen bei Schwachstellen.
Die Verordnung ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten gelten ab dem 11. September 2026. Die vollständige Geltung aller Bestimmungen beginnt am 11. Dezember 2027. Für Bestandsprodukte, die vor diesem Datum in Verkehr gebracht wurden, gelten die Meldepflichten rückwirkend (Art. 69 Abs. 3).
Das umfasst nahezu alle Software und vernetzten Geräte, die in der EU auf den Markt gebracht werden:
Entscheidend ist: Wenn Ihr Produkt digitale Elemente enthält und auf dem EU-Markt bereitgestellt wird, fallen Sie unter den CRA - unabhängig davon, ob Ihr Unternehmen in der EU sitzt.
Eine einfache Faustregel: Wenn sich das Gerät mit irgendeinem Netzwerk verbinden kann - ob WLAN, Bluetooth, Mobilfunk, Ethernet oder ein anderes Protokoll - fällt es unter den CRA.
Freie und quelloffene Software fällt nur dann in den Anwendungsbereich, wenn sie im Rahmen einer geschäftlichen Tätigkeit auf den Markt gebracht wird. Reine Entwicklung und Bereitstellung in öffentlichen Repositories reicht nicht aus (EWG 20). Individuelle Contributor sind nicht betroffen (Art. 18, EWG 18). Wird Open-Source-Software jedoch als Teil eines kommerziellen Produkts integriert, trägt der Hersteller die volle Verantwortung (Art. 13 Abs. 5).
Der CRA führt eine völlig neue Rechtskategorie ein: den "Verwalter quelloffener Software" (Art. 3 Nr. 14). Ein Open Source Steward ist eine juristische Person, die kein Hersteller ist, aber systematisch und nachhaltig die Entwicklung von FOSS-Produkten unterstützt, die für kommerzielle Tätigkeiten bestimmt sind.
OTTRIA registriert sich freiwillig als Open Source Steward. Das ist keine Bequemlichkeit, sondern eine bewusste Verpflichtung. Denn als Steward hat OTTRIA in der Praxis mehr Pflichten als ein Nicht-Steward, der Open-Source-Komponenten lediglich nutzt:
Für Sie als Hersteller bedeutet das: Wenn Sie Open-Source-Komponenten integrieren, die von einem Steward betreut werden, erleichtert das Ihre Sorgfaltspflicht gemäß Art. 13 Abs. 5. Die freiwillige Sicherheitsbescheinigung nach Art. 25 kann diesen Nachweis weiter vereinfachen.
Jedes Produkt mit digitalen Elementen braucht künftig eine CE-Kennzeichnung. Bei Software wird diese auf der Konformitätserklärung oder der Website angebracht. Die CE-Kennzeichnung bestätigt, dass alle grundlegenden Cybersicherheitsanforderungen aus Anhang I erfüllt sind.
Produkte müssen ohne bekannte ausnutzbare Schwachstellen auf den Markt gebracht werden. Für FOSS-Komponenten geht die Pflicht weiter: Art. 13 Abs. 5 in Verbindung mit EWG 34 verlangt die Prüfung gegen die EU-Schwachstellendatenbank für alle bekannten Schwachstellen - nicht nur die ausnutzbaren.
Hersteller müssen eine Software-Stückliste erstellen und pflegen, die Schwachstellen und Komponenten dokumentiert. Die SBOM muss in einem gängigen maschinenlesbaren Format vorliegen und mindestens die obersten Abhängigkeiten umfassen.
Hersteller müssen für mindestens fünf Jahre Sicherheitsupdates bereitstellen. Bei längerer erwarteter Nutzungsdauer entsprechend länger. Sicherheitsaktualisierungen müssen unverzüglich und kostenlos bereitgestellt werden (Anhang I Teil II Nr. 8) und getrennt von Funktionsupdates angeboten werden (Anhang I Teil II Nr. 2).
| Frist | Pflicht |
|---|---|
| 24 Stunden | Frühwarnung bei aktiv ausgenutzten Schwachstellen oder schwerwiegenden Vorfällen (Art. 14 Abs. 2) |
| 72 Stunden | Meldung mit Bewertung (Art. 14 Abs. 2) |
| 14 Tage | Abschlussbericht nach Korrekturmaßnahme (Art. 14 Abs. 2) |
| 1 Monat | Abschlussbericht (Art. 14 Abs. 4) |
| Unverzüglich | Nutzer über die Schwachstelle und Abhilfemaßnahmen informieren (Art. 14 Abs. 8) |
Diese Fristen gelten auch am Wochenende und an Feiertagen. Die Meldepflichten gelten bereits ab dem 11. September 2026 -auch für Bestandsprodukte.
Wenn Sie Open-Source-Komponenten in Ihr Produkt integrieren, müssen Sie die gebotene Sorgfalt walten lassen -auch bei Komponenten, die nicht auf dem Markt bereitgestellt wurden. Mögliche Sorgfaltsmaßnahmen laut EWG 34: CE-Kennzeichnung prüfen, Sicherheitsupdates vorhanden?, frei von bekannten Schwachstellen (EU-Datenbank)?, zusätzliche Sicherheitsprüfungen. Wenn Sie Schwachstellen in quelloffenen Komponenten entdecken, müssen Sie die verantwortliche Person oder Einrichtung informieren und den Sicherheits-Patch teilen (Art. 13 Abs. 6).
| Stufe | Höhe | Rechtsgrundlage |
|---|---|---|
| Höchste Stufe | 15 Mio. Euro oder 2,5 % weltweiter Jahresumsatz | Art. 64 Abs. 2 - Verstöße gegen grundlegende Cybersicherheitsanforderungen (Anhang I) und Herstellerpflichten (Art. 13, 14) |
| Mittlere Stufe | 10 Mio. Euro oder 2 % Jahresumsatz | Art. 64 Abs. 3 - Pflichten für Bevollmächtigte, Einführer, Händler |
| Niedrigste Stufe | 5 Mio. Euro oder 1 % Jahresumsatz | Art. 64 Abs. 4 - Falsche oder unvollständige Angaben |
| Open Source Steward | Keine Bußgelder | Art. 64 Abs. 10b - Explizite gesetzliche Ausnahme |
Die Marktaufsichtsbehörden können Marktentnahme und Rückruf anordnen (Art. 54, 56). Die Europäische Kommission kann einen EU-weiten Rückruf anordnen (Art. 56) -mit unmittelbarer Wirkung für den gesamten Binnenmarkt. Das ist per se öffentlich sichtbar.
Ab dem 11. Dezember 2027 sind Verbandsklagen nach der EU-Richtlinie 2020/1828 anwendbar (Art. 65 CRA). Verbraucherschutzorganisationen können kollektiv gegen Hersteller klagen.
| CRA-Pflicht | OTTRIA-Leistung |
|---|---|
| SBOM erstellen und pflegen (Anhang I Teil II Nr. 1) | SBOM-Auswertung und laufende Überwachung Ihrer SBOM im maschinenlesbaren Format |
| Schwachstellen behandeln und beheben (Anhang I Teil II Nr. 2) | Upstream-Fixes koordinieren oder selbst erstellen |
| Sicherheit testen und überprüfen (Anhang I Teil II Nr. 3) | Code-Reviews, Security-Tests, Regressionstests für OSS-Komponenten |
| CVD-Policy (Anhang I Teil II Nr. 5) | Disclosure-Management als Teil der Steward-Rolle |
| Sichere Update-Verbreitung (Anhang I Teil II Nr. 7) | Patch-Koordination und Backports |
| Sorgfaltspflicht bei FOSS (Art. 13 Abs. 5) | Dokumentierte Bewertung aller OSS-Abhängigkeiten gegen EU-Schwachstellendatenbank |
| Meldungen an Behörden (Art. 14) | Zuarbeit zu Ihren Meldungen mit technischen Details und Bewertungen |
| Post-Market-Surveillance | Laufende Überwachung aller SBOM-Komponenten nach Release |
| Steward-Bescheinigung (Art. 25) | Nachweis systematischer OSS-Governance für Ihre Sorgfaltspflicht |
| Datum | Was gilt |
|---|---|
| 10. Dezember 2024 | Inkrafttreten der Verordnung |
| 11. Juni 2026 | Notifizierung von Konformitätsbewertungsstellen |
| 11. September 2026 | Meldepflichten gelten (Art. 14) -auch für Bestandsprodukte |
| 11. Dezember 2027 | Vollständige Geltung aller Bestimmungen |
Handeln Sie jetzt: Zwischen dem heutigen Tag und dem 11. September 2026 liegen weniger als sechs Monate. Die Meldepflichten erfordern Prozesse, die Sie nicht über Nacht aufbauen können.
Der CRA ist eine EU-Verordnung und gilt direkt in allen Mitgliedstaaten -ohne nationale Umsetzung. Allerdings müssen die Mitgliedstaaten nationale Marktaufsichtsbehörden benennen, die die Einhaltung überwachen. In Deutschland wird dies voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernehmen, möglicherweise in Zusammenarbeit mit der Bundesnetzagentur.
Da der CRA direkt gilt, gibt es keine nationalen Abweichungen bei den Anforderungen. Unterschiede zwischen EU-Ländern können sich aber bei der Aufsichtspraxis und der Durchsetzung ergeben.
Die Meldepflichten gelten ab September 2026. Sind Sie vorbereitet? Prüfen Sie jetzt Ihre CRA-Readiness.
CRA-Factsheet herunterladen (PDF)
Weiterlesen