Art. 3(13)Ein Hersteller ist jede natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt, oder diese entwickeln oder herstellen lässt, und sie unter eigenem Namen oder Warenzeichen vermarktet.
11. Dezember 2024 — CRA tritt in Kraft
Die Verordnung ist rechtsgültig. Produkte, die ab diesem Datum auf den Markt gebracht werden, müssen ab den Anwendungsdaten dem CRA entsprechen.
11. September 2026 — Meldepflichten für Schwachstellen gelten
Die Meldung von Schwachstellen und Vorfällen an ENISA gemäß Art. 14 wird obligatorisch. Dies ist die erste harte Frist. Hersteller müssen ihre Meldeprozesse vor diesem Datum eingerichtet haben.
11. Juni 2027 — Benennung von Konformitätsbewertungsstellen
Die Mitgliedstaaten müssen der Kommission Konformitätsbewertungsstellen notifizieren.
11. Dezember 2027 — Vollständige Verordnung gilt
Alle CRA-Anforderungen gelten für alle betroffenen Produkte. Es dürfen keine neuen Produkte auf den EU-Markt gebracht werden, die nicht konform sind.
Hersteller müssen Produkte mit digitalen Elementen so konzipieren, entwickeln und herstellen, dass sie auf der Grundlage der bestehenden Risiken ein angemessenes Cybersicherheitsniveau bieten. Die Sicherheit muss über den gesamten Lebenszyklus des Produkts – von der Konzeption bis zur Außerbetriebnahme – berücksichtigt werden.
Vor dem Inverkehrbringen eines Produkts mit digitalen Elementen müssen Hersteller eine Bewertung der mit dem Produkt verbundenen Cybersicherheitsrisiken durchführen. Die Risikobewertung muss die Konzeption, Entwicklung und Herstellung des Produkts beeinflussen und als Bestandteil der technischen Dokumentation dokumentiert werden.
Hersteller müssen eine technische Dokumentation erstellen, die alle Informationen enthält, die zum Nachweis der Konformität des Produkts mit den grundlegenden CRA-Anforderungen erforderlich sind. Die Dokumentation muss aktuell gehalten und ab dem Inverkehrbringen zehn Jahre lang aufbewahrt werden (oder über die erwartete Produktlebensdauer, wenn diese länger ist).
Hersteller müssen die Konformität mithilfe des für ihre Produktklasse geeigneten Verfahrens nachweisen. Standardprodukte können sich selbst zertifizieren (Modul A). Produkte der Klasse Wichtig I können sich selbst zertifizieren, sofern harmonisierte Normen angewendet werden; andernfalls ist eine benannte Stelle einzubeziehen. Produkte der Klassen Wichtig II und Kritisch erfordern stets eine benannte Stelle.
Enthält ein Produkt mit digitalen Elementen eine Softwarekomponente, die nicht vom Hersteller selbst entwickelt wurde, muss der Hersteller angemessene Sorgfalt walten lassen, um sicherzustellen, dass die Komponente die Sicherheit des Produkts nicht beeinträchtigt. Als Bestandteil der technischen Dokumentation ist eine Software-Stückliste (SBOM) zu erstellen und zu pflegen.
Beim Inverkehrbringen eines Produkts mit digitalen Elementen müssen Hersteller sicherstellen, dass das Produkt keine bekannten ausnutzbaren Schwachstellen enthält. Diese Pflicht gilt zum Zeitpunkt der Distribution und für jedes anschließend veröffentlichte Update.
Hersteller müssen eine Richtlinie zur koordinierten Schwachstellenoffenlegung (CVD) einrichten und öffentlich zugänglich machen. Die Richtlinie muss eine Kontaktstelle für die Meldung von Schwachstellen benennen und beschreiben, wie der Hersteller Meldungen bearbeitet – einschließlich Bestätigungsfristen und des Prozesses zur koordinierten Offenlegung mit Forschenden.
Hersteller müssen den Unterstützungszeitraum ihres Produkts erklären und diese Informationen den Nutzern vor dem Kauf zugänglich machen. Der Unterstützungszeitraum muss mindestens fünf Jahre betragen, sofern die erwartete Nutzungsdauer des Produkts nicht kürzer ist. Das Ende des Unterstützungszeitraums muss in der Produktdokumentation und am Verkaufsort erscheinen.
Hersteller müssen Sicherheitsupdates mindestens fünf Jahre lang (oder während der erwarteten Nutzungsdauer, falls kürzer) kostenlos bereitstellen. Updates müssen zeitnah, getrennt von Funktionsupdates, geliefert werden, und das Ende des Unterstützungszeitraums muss offengelegt werden.
Hersteller müssen Prozesse einrichten, um Schwachstellen in ihren Produkten über den gesamten Unterstützungszeitraum hinweg zu identifizieren, zu analysieren und zu beheben. Anhang I Teil II legt detaillierte Anforderungen fest, darunter CVE-Zuweisung, CVSS-Bewertung, koordinierte Offenlegung und zeitnahe Behebung.
Hersteller müssen eine EU-Konformitätserklärung gemäß Artikel 28 und Anhang V ausstellen, in der erklärt wird, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt. Die EU-Konformitätserklärung muss aktuell gehalten und den Marktüberwachungsbehörden sowie gegebenenfalls den Nutzern zugänglich gemacht werden.
Hersteller müssen die CE-Kennzeichnung vor dem Inverkehrbringen am Produkt anbringen, als Nachweis dafür, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt. Die CE-Kennzeichnung muss sichtbar, lesbar und dauerhaft sein und darf erst nach der Ausstellung der EU-Konformitätserklärung angebracht werden.
Hersteller müssen sicherstellen, dass jedes Produkt mit digitalen Elementen einen Typ, eine Chargennummer, eine Seriennummer oder ein anderes Element trägt, das seine Identifikation ermöglicht. Bei reinen Softwareprodukten dient die Versionsnummer diesem Zweck.
Hersteller müssen ihren Namen, eingetragenen Handelsnamen oder ihre Handelsmarke sowie ihre Postanschrift am Produkt oder auf dessen Verpackung angeben. Eine elektronische Kontaktadresse (Website oder E-Mail) ist ebenfalls anzugeben, sofern verfügbar. Dies ermöglicht es Marktüberwachungsbehörden, Importeuren, Händlern und Nutzern, den Hersteller zu kontaktieren.
Hersteller müssen dem Produkt die in Anhang II aufgeführten Informationen und Anweisungen in einer für Nutzer leicht verständlichen Sprache beifügen. Dies umfasst die Produktidentität, Sicherheitseigenschaften, Kontaktangaben für Schwachstellenmeldungen, das Enddatum des Unterstützungszeitraums und Hinweise zur sicheren Nutzung.
Wenn ein Hersteller Grund zu der Annahme hat, dass ein in Verkehr gebrachtes Produkt nicht den CRA-Anforderungen entspricht, muss er unverzüglich Korrekturmaßnahmen ergreifen – einschließlich Rücknahme oder Rückruf, falls erforderlich. Hersteller müssen außerdem mit den Marktüberwachungsbehörden kooperieren und alle angeforderten Informationen und Unterlagen vorlegen.
Hersteller müssen jede aktiv ausgenutzte Schwachstelle in ihrem Produkt über die einheitliche Meldemeldeplattform innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) an ENISA melden. Ein Abschlussbericht ist innerhalb von 14 Tagen einzureichen. Diese Pflicht gilt ab dem 11. September 2026.
Innerhalb von 72 Stunden nach Kenntniserlangung einer aktiv ausgenutzten Schwachstelle in einem Produkt müssen Hersteller über die einheitliche Meldeplattform eine detaillierte Schwachstellenmeldung an ENISA übermitteln. Diese folgt auf die 24-Stunden-Frühwarnung (OBL-ART14-01) und muss technische Details zur Schwachstelle und zum betroffenen Produkt enthalten.
Innerhalb von 14 Tagen nach Kenntniserlangung einer aktiv ausgenutzten Schwachstelle müssen Hersteller einen Abschlussbericht an ENISA übermitteln, der eine vollständige Beschreibung der Schwachstelle, die ergriffenen Korrekturmaßnahmen und Angaben dazu enthält, ob die Schwachstelle öffentlich bekannt gemacht wurde oder ein CVE zugewiesen wurde.
Wenn eine Schwachstelle aktiv ausgenutzt wird, müssen Hersteller betroffene Nutzer unverzüglich informieren. Die Benachrichtigung muss ausreichende Informationen enthalten, damit Nutzer Schutzmaßnahmen ergreifen können, einschließlich verfügbarer Minderungsmaßnahmen vor der Veröffentlichung eines Patches.
Ein Hersteller kann einen Bevollmächtigten (AR) durch schriftliches Mandat bestellen. Das Mandat muss dem AR mindestens drei gesetzliche Mindestaufgaben ermöglichen: Aufbewahrung der EU-Konformitätserklärung und technischen Dokumentation für mindestens 10 Jahre; Vorlage von Konformitätsinformationen auf Anfrage; sowie Zusammenarbeit mit der Marktüberwachung bei Korrekturmaßnahmen. Kernpflichten aus Design und Produktion können nicht delegiert werden.
Jede natürliche oder juristische Person – außer dem ursprünglichen Hersteller, Importeur oder Händler –, die eine wesentliche Veränderung an einem Produkt vornimmt und es auf dem Markt bereitstellt, gilt als Hersteller. Diese Person unterliegt dann den Artikeln 13 und 14 entweder für den betroffenen Produktteil oder – sofern die Veränderung die Cybersicherheit des Gesamtprodukts berührt – für das gesamte Produkt.
Alle Wirtschaftsakteure müssen auf Anfrage der Marktüberwachungsbehörden in der Lage sein, (a) jeden Wirtschaftsakteur zu benennen, der ihnen ein Produkt geliefert hat, und (b) jeden Wirtschaftsakteur, dem sie ein Produkt geliefert haben. Die Aufzeichnungen sind ab jeder Transaktion 10 Jahre lang aufzubewahren.
Hersteller müssen eine EU-Konformitätserklärung (EU-DoC) erstellen, die der Musterstruktur des Anhangs V folgt und alle festgelegten Elemente enthält. Die EU-DoC erklärt, dass das Produkt die anwendbaren grundlegenden Cybersicherheitsanforderungen erfüllt. Eine vereinfachte Version (Anhang VI) darf dem Produkt beigefügt werden, sofern die vollständige DoC online abrufbar ist. Die DoC ist bei relevanten Änderungen zu aktualisieren.
Hersteller müssen technische Dokumentation erstellen, bevor sie ein Produkt in Verkehr bringen, und diese fortlaufend aktualisieren (mindestens während des Unterstützungszeitraums). Die Dokumentation muss alle in Anhang VII aufgeführten Elemente enthalten und belegen, wie das Produkt und die Herstellerprozesse die grundlegenden Cybersicherheitsanforderungen des Anhangs I erfüllen. Sie ist den Marktüberwachungsbehörden mindestens 10 Jahre zugänglich zu halten.
Hersteller müssen eine Konformitätsbewertung durchführen, die belegt, dass sowohl das Produkt als auch die Herstellerprozesse die grundlegenden Anforderungen des Anhangs I erfüllen – vor dem Inverkehrbringen. Das erforderliche Verfahren richtet sich nach der Produktklassifizierung: Modul A für Standardprodukte, Drittparteiprüfung für wichtige Produkte unter bestimmten Umständen, und obligatorische notifizierte Stelle für Klasse-II-Produkte und kritische Produkte.
Produkte mit digitalen Elementen dürfen auf dem EU-Markt nur bereitgestellt werden, wenn sie die in Anhang I Teil I festgelegten grundlegenden Cybersicherheitsanforderungen erfüllen, sofern sie ordnungsgemäß installiert, gewartet und zweckgemäß genutzt werden und erforderliche Sicherheitsupdates eingespielt wurden.
Produkte mit digitalen Elementen dürfen auf dem EU-Markt nur bereitgestellt werden, wenn die vom Hersteller eingerichteten Prozesse den in Anhang I Teil II festgelegten grundlegenden Cybersicherheitsanforderungen entsprechen, die die Identifizierung, Behandlung und Offenlegung von Schwachstellen über den gesamten Unterstützungszeitraum abdecken.
Produkte, deren Kernfunktionalität in eine Kategorie des Anhangs III fällt, gelten als „wichtige Produkte mit digitalen Elementen" und müssen strengere Konformitätsbewertungsverfahren durchlaufen. Klasse-I-Produkte dürfen die Modul-A-Selbstbewertung nur nutzen, wenn harmonisierte Normen oder gemeinsame Spezifikationen angewendet werden; andernfalls ist eine notifizierte Stelle erforderlich. Für Klasse II ist stets eine notifizierte Stelle vorgeschrieben.
Produkte, deren Kernfunktionalität in Anhang IV fällt (Hardware-Sicherheitsboxen, Smart-Meter-Gateways und Smartcards/Secure Elements), sind „kritische Produkte mit digitalen Elementen". Sobald die Kommission den entsprechenden delegierten Rechtsakt erlässt, müssen sie ein europäisches Cybersicherheitszertifikat der Vertrauenswürdigkeitsstufe „substantiell" oder höher erlangen. Bis dahin ist ein Konformitätsbewertungsverfahren nach Modul B+C oder Modul H erforderlich.
Erkunden Sie die vollständige Pflichtenbibliothek, verstehen Sie Ihre Rolle oder sehen Sie den regulatorischen Zeitplan.