Alle Pflichten gemäß Verordnung (EU) 2024/2847 — zurückführbar auf den Artikel, mit Erläuterungen in einfacher Sprache und Hinweisen zu Nachweisen.
Produkte mit digitalen Elementen dürfen auf dem EU-Markt nur bereitgestellt werden, wenn sie die in Anhang I Teil I festgelegten grundlegenden Cybersicherheitsanforderungen erfüllen, sofern sie ordnungsgemäß installiert, gewartet und zweckgemäß genutzt werden und erforderliche Sicherheitsupdates eingespielt wurden.
Produkte mit digitalen Elementen dürfen auf dem EU-Markt nur bereitgestellt werden, wenn die vom Hersteller eingerichteten Prozesse den in Anhang I Teil II festgelegten grundlegenden Cybersicherheitsanforderungen entsprechen, die die Identifizierung, Behandlung und Offenlegung von Schwachstellen über den gesamten Unterstützungszeitraum abdecken.
Produkte, deren Kernfunktionalität in eine Kategorie des Anhangs III fällt, gelten als „wichtige Produkte mit digitalen Elementen" und müssen strengere Konformitätsbewertungsverfahren durchlaufen. Klasse-I-Produkte dürfen die Modul-A-Selbstbewertung nur nutzen, wenn harmonisierte Normen oder gemeinsame Spezifikationen angewendet werden; andernfalls ist eine notifizierte Stelle erforderlich. Für Klasse II ist stets eine notifizierte Stelle vorgeschrieben.
Produkte, deren Kernfunktionalität in Anhang IV fällt (Hardware-Sicherheitsboxen, Smart-Meter-Gateways und Smartcards/Secure Elements), sind „kritische Produkte mit digitalen Elementen". Sobald die Kommission den entsprechenden delegierten Rechtsakt erlässt, müssen sie ein europäisches Cybersicherheitszertifikat der Vertrauenswürdigkeitsstufe „substantiell" oder höher erlangen. Bis dahin ist ein Konformitätsbewertungsverfahren nach Modul B+C oder Modul H erforderlich.
Hersteller müssen Produkte mit digitalen Elementen so konzipieren, entwickeln und herstellen, dass sie auf der Grundlage der bestehenden Risiken ein angemessenes Cybersicherheitsniveau bieten. Die Sicherheit muss über den gesamten Lebenszyklus des Produkts – von der Konzeption bis zur Außerbetriebnahme – berücksichtigt werden.
Vor dem Inverkehrbringen eines Produkts mit digitalen Elementen müssen Hersteller eine Bewertung der mit dem Produkt verbundenen Cybersicherheitsrisiken durchführen. Die Risikobewertung muss die Konzeption, Entwicklung und Herstellung des Produkts beeinflussen und als Bestandteil der technischen Dokumentation dokumentiert werden.
Hersteller müssen eine technische Dokumentation erstellen, die alle Informationen enthält, die zum Nachweis der Konformität des Produkts mit den grundlegenden CRA-Anforderungen erforderlich sind. Die Dokumentation muss aktuell gehalten und ab dem Inverkehrbringen zehn Jahre lang aufbewahrt werden (oder über die erwartete Produktlebensdauer, wenn diese länger ist).
Hersteller müssen die Konformität mithilfe des für ihre Produktklasse geeigneten Verfahrens nachweisen. Standardprodukte können sich selbst zertifizieren (Modul A). Produkte der Klasse Wichtig I können sich selbst zertifizieren, sofern harmonisierte Normen angewendet werden; andernfalls ist eine benannte Stelle einzubeziehen. Produkte der Klassen Wichtig II und Kritisch erfordern stets eine benannte Stelle.
Enthält ein Produkt mit digitalen Elementen eine Softwarekomponente, die nicht vom Hersteller selbst entwickelt wurde, muss der Hersteller angemessene Sorgfalt walten lassen, um sicherzustellen, dass die Komponente die Sicherheit des Produkts nicht beeinträchtigt. Als Bestandteil der technischen Dokumentation ist eine Software-Stückliste (SBOM) zu erstellen und zu pflegen.
Beim Inverkehrbringen eines Produkts mit digitalen Elementen müssen Hersteller sicherstellen, dass das Produkt keine bekannten ausnutzbaren Schwachstellen enthält. Diese Pflicht gilt zum Zeitpunkt der Distribution und für jedes anschließend veröffentlichte Update.
Hersteller müssen eine Richtlinie zur koordinierten Schwachstellenoffenlegung (CVD) einrichten und öffentlich zugänglich machen. Die Richtlinie muss eine Kontaktstelle für die Meldung von Schwachstellen benennen und beschreiben, wie der Hersteller Meldungen bearbeitet – einschließlich Bestätigungsfristen und des Prozesses zur koordinierten Offenlegung mit Forschenden.
Hersteller müssen den Unterstützungszeitraum ihres Produkts erklären und diese Informationen den Nutzern vor dem Kauf zugänglich machen. Der Unterstützungszeitraum muss mindestens fünf Jahre betragen, sofern die erwartete Nutzungsdauer des Produkts nicht kürzer ist. Das Ende des Unterstützungszeitraums muss in der Produktdokumentation und am Verkaufsort erscheinen.
Hersteller müssen Sicherheitsupdates mindestens fünf Jahre lang (oder während der erwarteten Nutzungsdauer, falls kürzer) kostenlos bereitstellen. Updates müssen zeitnah, getrennt von Funktionsupdates, geliefert werden, und das Ende des Unterstützungszeitraums muss offengelegt werden.
Hersteller müssen Prozesse einrichten, um Schwachstellen in ihren Produkten über den gesamten Unterstützungszeitraum hinweg zu identifizieren, zu analysieren und zu beheben. Anhang I Teil II legt detaillierte Anforderungen fest, darunter CVE-Zuweisung, CVSS-Bewertung, koordinierte Offenlegung und zeitnahe Behebung.
Hersteller müssen eine EU-Konformitätserklärung gemäß Artikel 28 und Anhang V ausstellen, in der erklärt wird, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt. Die EU-Konformitätserklärung muss aktuell gehalten und den Marktüberwachungsbehörden sowie gegebenenfalls den Nutzern zugänglich gemacht werden.
Hersteller müssen die CE-Kennzeichnung vor dem Inverkehrbringen am Produkt anbringen, als Nachweis dafür, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt. Die CE-Kennzeichnung muss sichtbar, lesbar und dauerhaft sein und darf erst nach der Ausstellung der EU-Konformitätserklärung angebracht werden.
Hersteller müssen sicherstellen, dass jedes Produkt mit digitalen Elementen einen Typ, eine Chargennummer, eine Seriennummer oder ein anderes Element trägt, das seine Identifikation ermöglicht. Bei reinen Softwareprodukten dient die Versionsnummer diesem Zweck.
Hersteller müssen ihren Namen, eingetragenen Handelsnamen oder ihre Handelsmarke sowie ihre Postanschrift am Produkt oder auf dessen Verpackung angeben. Eine elektronische Kontaktadresse (Website oder E-Mail) ist ebenfalls anzugeben, sofern verfügbar. Dies ermöglicht es Marktüberwachungsbehörden, Importeuren, Händlern und Nutzern, den Hersteller zu kontaktieren.
Hersteller müssen dem Produkt die in Anhang II aufgeführten Informationen und Anweisungen in einer für Nutzer leicht verständlichen Sprache beifügen. Dies umfasst die Produktidentität, Sicherheitseigenschaften, Kontaktangaben für Schwachstellenmeldungen, das Enddatum des Unterstützungszeitraums und Hinweise zur sicheren Nutzung.
Wenn ein Hersteller Grund zu der Annahme hat, dass ein in Verkehr gebrachtes Produkt nicht den CRA-Anforderungen entspricht, muss er unverzüglich Korrekturmaßnahmen ergreifen – einschließlich Rücknahme oder Rückruf, falls erforderlich. Hersteller müssen außerdem mit den Marktüberwachungsbehörden kooperieren und alle angeforderten Informationen und Unterlagen vorlegen.
Hersteller müssen jede aktiv ausgenutzte Schwachstelle in ihrem Produkt über die einheitliche Meldemeldeplattform innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) an ENISA melden. Ein Abschlussbericht ist innerhalb von 14 Tagen einzureichen. Diese Pflicht gilt ab dem 11. September 2026.
Innerhalb von 72 Stunden nach Kenntniserlangung einer aktiv ausgenutzten Schwachstelle in einem Produkt müssen Hersteller über die einheitliche Meldeplattform eine detaillierte Schwachstellenmeldung an ENISA übermitteln. Diese folgt auf die 24-Stunden-Frühwarnung (OBL-ART14-01) und muss technische Details zur Schwachstelle und zum betroffenen Produkt enthalten.
Innerhalb von 14 Tagen nach Kenntniserlangung einer aktiv ausgenutzten Schwachstelle müssen Hersteller einen Abschlussbericht an ENISA übermitteln, der eine vollständige Beschreibung der Schwachstelle, die ergriffenen Korrekturmaßnahmen und Angaben dazu enthält, ob die Schwachstelle öffentlich bekannt gemacht wurde oder ein CVE zugewiesen wurde.
Wenn eine Schwachstelle aktiv ausgenutzt wird, müssen Hersteller betroffene Nutzer unverzüglich informieren. Die Benachrichtigung muss ausreichende Informationen enthalten, damit Nutzer Schutzmaßnahmen ergreifen können, einschließlich verfügbarer Minderungsmaßnahmen vor der Veröffentlichung eines Patches.
Ein Hersteller kann einen Bevollmächtigten (AR) durch schriftliches Mandat bestellen. Das Mandat muss dem AR mindestens drei gesetzliche Mindestaufgaben ermöglichen: Aufbewahrung der EU-Konformitätserklärung und technischen Dokumentation für mindestens 10 Jahre; Vorlage von Konformitätsinformationen auf Anfrage; sowie Zusammenarbeit mit der Marktüberwachung bei Korrekturmaßnahmen. Kernpflichten aus Design und Produktion können nicht delegiert werden.
Vor dem Inverkehrbringen eines Produkts mit digitalen Elementen auf dem EU-Markt müssen Importeure prüfen, ob der Hersteller die geeignete Konformitätsbewertung durchgeführt, die technische Dokumentation erstellt, die CE-Kennzeichnung angebracht und die EU-Konformitätserklärung oder Leistungserklärung verfügbar gemacht hat.
Wenn ein Importeur der Ansicht ist oder Grund zu der Annahme hat, dass ein Produkt mit digitalen Elementen nicht den grundlegenden Cybersicherheitsanforderungen entspricht, darf er das Produkt erst dann in den Verkehr bringen, wenn die Konformität hergestellt wurde.
Importeure müssen ihren Namen, eingetragenen Handelsnamen oder ihre Handelsmarke, Postanschrift sowie, sofern verfügbar, ihre Website oder E-Mail-Adresse am Produkt selbst, auf seiner Verpackung oder in einem dem Produkt beigefügten Dokument angeben.
Solange ein Produkt mit digitalen Elementen in der Verantwortung des Importeurs liegt, muss dieser sicherstellen, dass die Lagerungs- und Transportbedingungen seine Konformität mit den grundlegenden Cybersicherheitsanforderungen nicht gefährden.
Wenn ein Importeur erfährt, dass ein von ihm in den Verkehr gebrachtes Produkt nicht konform ist, muss er unverzüglich Korrekturmaßnahmen ergreifen – einschließlich Rücknahme oder Rückruf, falls erforderlich. Bei einem erheblichen Cybersicherheitsrisiko des Produkts muss der Importeur die zuständige nationale Behörde unverzüglich informieren.
Importeure müssen eine Kopie der EU-Konformitätserklärung oder Leistungserklärung 10 Jahre lang nach dem Inverkehrbringen des Produkts aufbewahren und sicherstellen, dass die technische Dokumentation den Marktüberwachungsbehörden auf Anfrage zugänglich gemacht werden kann.
Auf begründete Anfrage einer zuständigen Behörde müssen Importeure alle Informationen und Unterlagen – in Papier- oder elektronischer Form – vorlegen, die zum Nachweis der Konformität eines Produkts mit digitalen Elementen erforderlich sind. Sie müssen außerdem bei etwaig erforderlichen Korrekturmaßnahmen kooperieren.
Bei der Bereitstellung eines Produkts mit digitalen Elementen auf dem Markt müssen Händler mit der gebotenen Sorgfalt handeln und prüfen, ob das Produkt die CE-Kennzeichnung trägt, von den erforderlichen Unterlagen und Informationen begleitet wird und ob Hersteller und Importeur (soweit vorhanden) ihre Kennzeichnungs- und Identifikationspflichten erfüllt haben.
Wenn ein Händler der Ansicht ist oder Grund zu der Annahme hat, dass ein Produkt nicht den grundlegenden CRA-Anforderungen entspricht, darf er das Produkt erst dann auf dem Markt bereitstellen, wenn die Konformität hergestellt wurde, und muss Hersteller und gegebenenfalls die Marktüberwachungsbehörde informieren.
Händler müssen sicherstellen, dass Lagerungs- und Transportbedingungen die Konformität eines Produkts mit digitalen Elementen mit den grundlegenden Cybersicherheitsanforderungen nicht gefährden, solange das Produkt in ihrer Verantwortung liegt.
Wenn ein Händler erfährt, dass ein von ihm auf dem Markt bereitgestelltes Produkt nicht konform ist, muss er unverzüglich Korrekturmaßnahmen ergreifen – einschließlich Rücknahme oder Rückruf, falls erforderlich. Bei einem erheblichen Cybersicherheitsrisiko des Produkts muss er die zuständige nationale Marktüberwachungsbehörde unverzüglich informieren.
Auf begründete Anfrage einer zuständigen Behörde müssen Händler alle Informationen und Unterlagen vorlegen, die zum Nachweis der Konformität eines Produkts erforderlich sind, und bei etwaig erforderlichen Korrekturmaßnahmen dieser Behörde kooperieren.
Ein Importeur oder Händler gilt als Hersteller – und unterliegt damit vollständig den Artikeln 13 und 14 –, wenn er ein Produkt mit digitalen Elementen unter eigenem Namen oder eigener Marke in Verkehr bringt oder eine wesentliche Veränderung an einem bereits in Verkehr gebrachten Produkt vornimmt.
Jede natürliche oder juristische Person – außer dem ursprünglichen Hersteller, Importeur oder Händler –, die eine wesentliche Veränderung an einem Produkt vornimmt und es auf dem Markt bereitstellt, gilt als Hersteller. Diese Person unterliegt dann den Artikeln 13 und 14 entweder für den betroffenen Produktteil oder – sofern die Veränderung die Cybersicherheit des Gesamtprodukts berührt – für das gesamte Produkt.
Alle Wirtschaftsakteure müssen auf Anfrage der Marktüberwachungsbehörden in der Lage sein, (a) jeden Wirtschaftsakteur zu benennen, der ihnen ein Produkt geliefert hat, und (b) jeden Wirtschaftsakteur, dem sie ein Produkt geliefert haben. Die Aufzeichnungen sind ab jeder Transaktion 10 Jahre lang aufzubewahren.
Betreiber von Open-Source-Software müssen eine Cybersicherheitsrichtlinie einrichten und dokumentieren, die die Entwicklung eines sicheren Produkts fördert und eine effektive Behandlung von Schwachstellen in den von ihnen betreuten Open-Source-Software-Komponenten ermöglicht.
Betreiber von Open-Source-Software müssen das als Koordinator benannte CSIRT (Computer Security Incident Response Team) unverzüglich über jede aktiv ausgenutzte Schwachstelle in ihren Open-Source-Software-Komponenten sowie über jeden schwerwiegenden Vorfall, der die Sicherheit dieser Komponenten beeinträchtigt, informieren.
Betreiber von Open-Source-Software müssen auf Anfrage mit Marktüberwachungsbehörden kooperieren und alle für die Erfüllung ihrer Regulierungsaufgaben erforderlichen Informationen bereitstellen.
Auf Anfrage von Marktüberwachungsbehörden müssen Betreiber von Open-Source- Software technische Dokumentation für die von ihnen verwalteten Open-Source- Software-Komponenten erstellen und aktuell halten, die eine Beurteilung der Cybersicherheits-Konformität ermöglicht.
Hersteller müssen eine EU-Konformitätserklärung (EU-DoC) erstellen, die der Musterstruktur des Anhangs V folgt und alle festgelegten Elemente enthält. Die EU-DoC erklärt, dass das Produkt die anwendbaren grundlegenden Cybersicherheitsanforderungen erfüllt. Eine vereinfachte Version (Anhang VI) darf dem Produkt beigefügt werden, sofern die vollständige DoC online abrufbar ist. Die DoC ist bei relevanten Änderungen zu aktualisieren.
Hersteller müssen technische Dokumentation erstellen, bevor sie ein Produkt in Verkehr bringen, und diese fortlaufend aktualisieren (mindestens während des Unterstützungszeitraums). Die Dokumentation muss alle in Anhang VII aufgeführten Elemente enthalten und belegen, wie das Produkt und die Herstellerprozesse die grundlegenden Cybersicherheitsanforderungen des Anhangs I erfüllen. Sie ist den Marktüberwachungsbehörden mindestens 10 Jahre zugänglich zu halten.
Hersteller müssen eine Konformitätsbewertung durchführen, die belegt, dass sowohl das Produkt als auch die Herstellerprozesse die grundlegenden Anforderungen des Anhangs I erfüllen – vor dem Inverkehrbringen. Das erforderliche Verfahren richtet sich nach der Produktklassifizierung: Modul A für Standardprodukte, Drittparteiprüfung für wichtige Produkte unter bestimmten Umständen, und obligatorische notifizierte Stelle für Klasse-II-Produkte und kritische Produkte.
