Der Cyber Resilience Act, im Griff.
Wenn Sie ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellen, betrifft Sie der CRA. Reglyze bewertet Ihre Konformität in Klartext und erstellt Ihre technische Dokumentation (Anhang VII) sowie Ihre EU-Konformitätserklärung — die meisten Produkte zertifizieren sich nach Modul A selbst.
Sehen Sie es in Aktion — vom Produkt bis zur unterschriebenen Erklärung
Eine Tour in zwei Minuten: Produkt eingrenzen, die Selbstbewertung in Klartext durchführen und die technische Dokumentation (Anhang VII) sowie die EU-Konformitätserklärung erstellen.
Von „Betrifft mich das?“ zur unterschriebenen Erklärung
1 · Eingrenzen & klassifizieren
Vier Fragen sagen Ihnen, ob der CRA gilt, welche Klasse nach Anhang III/IV vorliegt und welcher Konformitätsweg gilt. Kostenlos, ohne Konto.
2 · Selbst bewerten
Beantworten Sie rund 20 einfache Fragen zu Ihrem Produkt. Der Assistent schlägt je grundlegender Anforderung (Anhang I) einen Reifegrad von 0–3 vor, auf Basis von IEC 62443.
3 · Dossier erstellen
Technische Dokumentation (Anhang VII) und Ihre EU-Konformitätserklärung — aus Ihren Antworten zusammengestellt, SBOM-fähig, in Ihrer Sprache.
Das erhalten Sie
- Technische Dokumentation (Anhang VII)
- EU-Konformitätserklärung (erst freigegeben, wenn jede Anforderung erfüllt ist)
- Abweichungsbericht (Anhang I) mit den offenen Punkten zum Schließen
- SBOM-Import (CycloneDX / SPDX), in der technischen Dokumentation aufgeführt
Grundlage: IEC 62443-4-1 (sichere Entwicklung) und 62443-4-2 (Komponentenanforderungen). Der CRA-Text ist öffentliches EU-Recht; die IEC-Verweise sind paraphrasiert, niemals wörtlich wiedergegeben.
Cyber Resilience Act — häufig gestellte Fragen
Gilt der europäische Cyber Resilience Act (CRA) für mein Produkt?
Der CRA gilt für jedes Produkt mit digitalen Elementen — Hardware mit Software oder Firmware sowie eigenständige Software —, das auf dem EU-Markt bereitgestellt wird. Wenn Sie ein vernetztes Gerät, ein IoT-Produkt oder installierbare Software auf dem EU-Markt in Verkehr bringen, fallen Sie in den Anwendungsbereich. Der kostenlose Geltungsbereichs-Check von Reglyze bestätigt dies in vier Fragen.
Wann tritt der Cyber Resilience Act in Kraft?
Zwei Daten sind entscheidend: Die Pflichten zur Meldung von Schwachstellen und Vorfällen gelten ab dem 11. Sept. 2026, und die vollständige Konformität einschließlich CE-Kennzeichnung ist ab dem 11. Dez. 2027 erforderlich. Der CRA ist die Verordnung (EU) 2024/2847.
Was ist die Selbstbewertung nach Modul A im Rahmen des CRA?
Modul A ist das Konformitätsverfahren, bei dem der Hersteller das Produkt selbst anhand der grundlegenden Anforderungen bewertet und seine eigene EU-Konformitätserklärung ausstellt, ohne dass eine notifizierte Stelle eingebunden wird. Rund 90 % der Produkte — die „Standard“-Klasse — kommen für Modul A in Frage.
Benötige ich für den CRA eine notifizierte Stelle?
Nur für „wichtige“ Produkte der Klasse II und „kritische“ Produkte (CRA Anhang III Klasse II und Anhang IV). Standardprodukte und die meisten „wichtigen“ Produkte der Klasse I können sich nach Modul A selbst zertifizieren, insbesondere wenn harmonisierte Normen angewendet werden.
Was ist die technische Dokumentation nach Anhang VII?
Anhang VII führt die technische Dokumentation auf, die ein Hersteller erstellen und für die Marktüberwachungsbehörden bereithalten muss: Produktbeschreibung, Risikobewertung, Nachweise zu den grundlegenden Anforderungen sowie die Software-Stückliste (SBOM). Reglyze stellt sie aus Ihrer Selbstbewertung zusammen.
Was ist eine EU-Konformitätserklärung im Rahmen des CRA?
Es handelt sich um die unterzeichnete Erklärung, dass Ihr Produkt die grundlegenden Cybersicherheitsanforderungen des CRA erfüllt. Sie ist vor der CE-Kennzeichnung und dem Inverkehrbringen des Produkts verpflichtend. Reglyze stellt sie aus, sobald jede grundlegende Anforderung erfüllt ist.
Welche Produkte sind nach dem CRA „wichtig“ oder „kritisch“?
Anhang III des CRA führt „wichtige“ Produkte (Klasse I und II) wie Passwort-Manager, VPNs, Firewalls und Betriebssysteme auf; Anhang IV führt „kritische“ Produkte wie Smart-Meter-Gateways und sichere Elemente auf. Alles, was nicht aufgeführt ist, gilt als „Standard“ und zertifiziert sich nach Modul A selbst.
Welche Sanktionen drohen bei Nichteinhaltung des CRA?
Verstöße gegen die grundlegenden Cybersicherheitsanforderungen und die zentralen Herstellerpflichten können mit Geldbußen von bis zu €15 Mio. oder 2,5 % des gesamten weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist, sowie mit möglichen Anordnungen zur Marktrücknahme. Für sonstige Verstöße gelten niedrigere Obergrenzen.
Worin unterscheidet sich der CRA von NIS2?
NIS2 regelt die Cybersicherheit von Organisationen (wesentliche und wichtige Einrichtungen); der CRA regelt die Cybersicherheit von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden. Ein Hersteller kann beiden unterliegen — NIS2 für die Art und Weise, wie er arbeitet, der CRA für das, was er ausliefert.
Erfasst der CRA Software und Open Source?
Ja. Eigenständige Software ist ein Produkt mit digitalen Elementen. Open-Source-Software, die im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird, fällt in den Anwendungsbereich, wobei für nicht-kommerzielle Open-Source-Verwalter leichtere Pflichten gelten. Eigenständige gehostete SaaS-Angebote liegen in der Regel außerhalb des CRA, es sei denn, es handelt sich um eine Lösung zur Datenfernverarbeitung, die integraler Bestandteil eines Produkts ist.