Cyber Resilience Act

CRA-Check für Software, Hardware und Produkte mit digitalen Elementen

Dieser interaktive Check unterstützt Unternehmen, Hersteller, Importeure, Händler, Softwareanbieter, Komponentenlieferanten und Open-Source-Strukturen bei der ersten Einordnung, ob der Cyber Resilience Act relevant sein kann und welche nächsten Schritte für Security, Konformität, SBOM, Vulnerability Handling und Produktdokumentation naheliegen.

Produkte mit digitalen Elementen
Secure-by-design
SBOM und OSS
VDP, PSIRT und Meldelogik
CE- und Konformitätsakte

Was Sie als Ergebnis erhalten

Der CRA-Check liefert eine vorläufige Risikostufe, eine wahrscheinliche Rollen- und Produkteeinordnung, typische Gründe, priorisierte Prüfpunkte, vorzubereitende Unterlagen und einen kopierbaren Kurzüberblick für eine strukturierte Anfrage.

Berücksichtigung von Hersteller-, Importeur-, Händler-, Reseller-, Komponenten- und OSS-Konstellationen.
Einordnung der Fristen 11.09.2026 für Meldepflichten und 11.12.2027 für CRA-Hauptpflichten.
Schnittstellen zu NIS2/BSIG, Data Act, GPSR, Produkthaftung, DSGVO, Open Source und Softwareverträgen.

Interaktive Visualisierung

CRA-Produkt-Security-Kompass

Der Cyber Resilience Act verlangt keine isolierte Checkliste, sondern ein belastbares Produkt-Sicherheitsmodell. Klicken Sie auf ein Prüfmodul, um zu sehen, welcher Nachweis im CRA-Projekt typischerweise aufgebaut werden muss.

Scope & Rolle Startpunkt ist die Abgrenzung des Produkts mit digitalen Elementen: Hersteller, Importeur, Händler, wesentlicher Änderer, Komponentenlieferant oder Open-Source-Steward. Ohne diese Einordnung lässt sich der CRA-Pflichtenpfad nicht belastbar bestimmen.

Orientierung in fünf Schritten

Produktgrenze klärenSoftware, Hardware, Remote-Komponente, Firmware, SDK, Bibliothek, Cloud-Funktion oder rein interner Dienst müssen sauber abgegrenzt werden.

Rolle bestimmenHersteller, Importeur, Händler, wesentlicher Änderer, Komponentenlieferant, Open-Source-Steward oder Käufer haben unterschiedliche Pflichten und Nachweispunkte.

Kategorie und Konformität prüfenWichtige oder kritische Produktkategorien können das Konformitätsverfahren und die Anforderungen an Nachweise verschärfen.

Security-Lifecycle aufbauenThreat Modeling, Secure-by-design, SBOM, Vulnerability Handling, Security Updates, Supportzeitraum und technische Dokumentation sollten zusammen gedacht werden.

Fristen und Schnittstellen steuernMeldepflichten ab 11.09.2026, Hauptpflichten ab 11.12.2027 sowie NIS2, Data Act, GPSR, Produkthaftung, DSGVO und Open Source sollten in einer Roadmap zusammengeführt werden.

Was dieser Check leistet

Der CRA-Check ist eine strukturierte Erstorientierung. Er ersetzt keine Einzelfallprüfung, hilft aber dabei, den Prüfgegenstand, die wahrscheinlich relevante Rolle, typische Readiness-Lücken und die nächsten Unterlagen für eine anwaltliche oder interne Compliance-Prüfung zu sortieren.

Wann ist der CRA typischerweise relevant?

Der CRA ist typischerweise relevant, wenn Software, Hardware, vernetzte Produkte, eingebettete Systeme, Firmware, Komponenten oder digitale Funktionen auf dem EU-Markt bereitgestellt werden. Entscheidend sind Produktgrenze, Marktbereitstellung, Rolle des Unternehmens und mögliche Ausnahmen.

Welche Pflichten stehen im Mittelpunkt?

Im Mittelpunkt stehen Cybersicherheitsanforderungen über Design, Entwicklung, Produktion, Auslieferung und Wartung, Schwachstellenmanagement, Security Updates, Supportzeitraum, technische Dokumentation, EU-Konformitätserklärung, CE-/Kennzeichnungsthemen und Meldeprozesse für aktiv ausgenutzte Schwachstellen oder schwere Sicherheitsvorfälle.

Was sind die Grenzen des Checks?

Der Check kann keine verbindliche Produktklassifizierung, keine technische Prüfung und keine finale Konformitätsbewertung ersetzen. Spezialrecht, Open-Source-Sonderregeln, Drittbewertung, harmonisierte Normen, ENISA-Meldeformate und konkrete Produktkategorien müssen im Einzelfall geprüft werden.

Interaktiver Fragebogen

CRA-Betroffenheit und Readiness einschätzen

Beantworten Sie die folgenden Fragen so konkret wie möglich. Das Ergebnis wird aus Rollen-, Produkt-, Kategorie-, Readiness- und Dringlichkeitssignalen berechnet.

Schritt 1 von 6

1. Welche Rolle hat Ihr Unternehmen?

Wählen Sie die Rolle, die dem Produkt am nächsten kommt.

Hersteller oder Anbieter unter eigener MarkeSie entwickeln, beauftragen, vermarkten oder stellen Software, Hardware oder digitale Produkte unter eigenem Namen bereit. Importeur in die EUSie bringen ein Produkt eines Herstellers außerhalb der EU erstmals auf den EU-Markt. Händler, Distributor oder ResellerSie stellen Produkte mit digitalen Elementen bereit, ohne sie wesentlich zu verändern. Reseller, Integrator oder White-Label-Anbieter mit wesentlicher ÄnderungSie verändern, branden, konfigurieren oder integrieren das Produkt so, dass eine Herstellerrolle möglich wird. Software-, Hardware- oder KomponentenlieferantSie liefern Bibliotheken, SDKs, Firmware, Module, Hardwarekomponenten oder eingebettete Software. Open-Source-Steward oder kommerzielle OSS-StrukturSie unterstützen freie oder Open-Source-Software dauerhaft, strukturiert oder in einem kommerziellen Umfeld. Käufer, Nutzer oder Integrator fremder ProdukteSie möchten Lieferanten, Verträge, Nachweise, SBOM, Security Advisories oder Updatezusagen prüfen. Nur interne EntwicklungDas Tool wird nicht extern bereitgestellt und nicht als Produkt auf dem EU-Markt angeboten.

2. Um welches Produkt geht es?

Der CRA knüpft an Produkte mit digitalen Elementen an. Die Produktgrenze ist oft der wichtigste Prüfpunkt.

Software, App, Desktop-Programm, Plugin oder Mobile AppEigenständige Software oder Anwendung, die extern bereitgestellt wird oder werden soll. Cloud-, SaaS-, API- oder Remote-Komponente als ProduktbestandteilEine entfernte digitale Funktion ist für das Produkt erforderlich oder wird vom Hersteller verantwortet. IoT, Smart Device, Wearable oder vernetztes VerbraucherproduktHardware mit digitalem Element, Datenverbindung, App-Anbindung oder Updatefähigkeit. Industrie-, OT-, Maschinen-, Steuerungs- oder Edge-SystemProdukt mit digitaler Steuerung, Sensorik, Gateway, Automatisierungs- oder Betriebsfunktion. Cybersecurity-ProduktFirewall, VPN, IAM, Passwortmanager, EDR, SIEM, Scanner, Schlüsselmanagement oder vergleichbares Security-Tool. Komponente, Bibliothek, Firmware, SDK oder ModulEin Baustein, der separat bereitgestellt oder in andere Produkte integriert wird. Open-Source-Software oder OSS-KomponenteCommunity-Projekt, kommerziell unterstützte OSS, Open-Core-Modell oder OSS-Baustein. Kein externes MarktproduktRein interne Nutzung ohne externe Bereitstellung, Vertrieb oder produktförmiges Angebot.

3. Wie wird das Produkt bereitgestellt?

Marktbereitstellung, EU-Bezug und mögliche Spezialregelungen beeinflussen die Einordnung stark.

Bereits auf dem EU-MarktDas Produkt wird bereits verkauft, zum Download angeboten, vertrieben oder Kunden in der EU bereitgestellt. EU-Markteinführung oder größeres Release geplantEin Launch, Release, Rebranding, Import oder neuer Vertriebskanal steht bevor. B2B-Lieferkette oder OEM-/White-Label-BereitstellungDas Produkt oder die Komponente wird an andere Unternehmen, Hersteller, Integratoren oder Plattformen geliefert. Möglicherweise spezialregulierter ProduktbereichMedizinprodukt, Automotive, Luftfahrt, Funkanlage, Seeschifffahrt oder sonstiges Spezialrecht könnte relevant sein. Nicht-kommerzielle freie Open-Source-SoftwareCommunity-Projekt ohne kommerzielle Bereitstellung, systematische Unterstützung oder Produktvermarktung. UnklarProduktgrenze, EU-Bezug, Marktbereitstellung oder Rollenverteilung sind noch nicht sauber dokumentiert.

4. Welche CRA-Kategorie könnte betroffen sein?

Wenn die Kategorie noch nicht geprüft wurde, wählen Sie „unklar“.

Normales Produkt mit digitalen ElementenKeine erkennbare wichtige oder kritische Kategorie, aber Software, Hardware oder digitale Funktion mit Security-Relevanz. Möglicherweise wichtiges Produkt Klasse IZum Beispiel sicherheitsrelevante Software, Netzwerk-/Systemmanagement, Identitäts- oder Zugriffsfunktionen. Möglicherweise wichtiges Produkt Klasse IIErhöhte Systemnähe, Sicherheitsfunktion, Infrastrukturbezug oder besonders relevante Software-/Hardwarekomponente. Möglicherweise kritisches ProduktHohe Cybersecurity-Relevanz, kritische Produktkategorie oder möglicher Bedarf einer besonderen Konformitätsprüfung. Möglicherweise ausgenommen oder überlagertSpezialrecht, Produktrecht oder sektorspezifische Regulierung könnte den CRA überlagern oder abgrenzen. Unklar oder noch nicht geprüftEs gibt noch keine belastbare Produktkategorisierung, keine Normenprüfung und kein Konformitätskonzept.

5. Welche CRA-Readiness-Bausteine gibt es bereits?

Markieren Sie alles, was belastbar dokumentiert oder bereits operativ umgesetzt ist.

Produktbezogene Cybersecurity-RisikoanalyseBedrohungen, Einsatzumgebung, Nutzer, Angriffsszenarien und Schutzmaßnahmen sind dokumentiert. Secure-by-design und Secure-by-defaultSichere Standards, Härtung, Zugriffsschutz, minimale Angriffsfläche und sichere Updates sind geplant oder umgesetzt. SBOM, OSS- und KomponentenübersichtKomponenten, Versionen, Abhängigkeiten, OSS-Lizenzen, CVEs und Supply-Chain-Risiken sind nachvollziehbar. Vulnerability-Handling, VDP oder PSIRTSchwachstellenannahme, Bewertung, Behebung, Disclosure, Patchprozess und Kommunikation sind geregelt. Technische Dokumentation und ProduktakteArchitektur, Sicherheitsanforderungen, Tests, Maßnahmen, Restrisiken und Nachweise sind dokumentiert. Konformitätsbewertung, CE und EU-Konformitätserklärung geplantKonformitätsverfahren, Normenstrategie, Kennzeichnung, Nutzerinformationen und Herstellerangaben sind vorbereitet. Supportzeitraum und Updatepolitik definiertSecurity Updates, Patch-Level, End-of-Life, Supportdauer und Nutzerinformationen sind festgelegt. Meldeprozess für aktiv ausgenutzte Schwachstellen und schwere VorfälleRollen, Eskalation, Fristen, Beweissicherung, ENISA-/CSIRT-Logik und Kundenkommunikation sind vorbereitet. Noch keine strukturierte CRA-ReadinessEinzelmaßnahmen können vorhanden sein, aber es gibt kein belastbares CRA-Gesamtbild.

6. Gibt es Handlungsdruck oder Schnittstellen?

Wählen Sie alle Signale aus, die für das Produkt oder die Organisation relevant sind.

Aktiv ausgenutzte Schwachstelle oder kritische VulnerabilityCVE, Exploit, Security Advisory, Patchdruck, Kundendruck oder Risiko für Nutzer ist bekannt. Schwerer Sicherheitsvorfall mit ProduktbezugAngriff, Kompromittierung, Missbrauch, Ausfall, Datenabfluss oder Sicherheitswirkung auf Nutzer. Launch, Import, Vertrieb oder Release steht bevorDas Produkt soll in der EU neu bereitgestellt, erweitert, rebrandet oder in Verkehr gebracht werden. Kunde, Investor, Versicherung oder Auditor verlangt NachweiseSecurity Questionnaire, Vendor Assessment, Due Diligence, Ausschreibung oder Cyberversicherung. Drittbewertung oder besondere Konformitätsbewertung könnte relevant seinWichtige oder kritische Kategorie, harmonisierte Normen, Zertifizierung oder benannte Stelle sind unklar. Lieferketten-, OSS- oder KomponentenproblemUnsichere Bibliothek, fehlende SBOM, unklare Upstream-Verantwortung, Lieferantenlücke oder Build-Risiko. Schnittstelle zu NIS2, Data Act, GPSR, Produkthaftung oder DSGVOCybersecurity-, Datenzugangs-, Produktsicherheits-, Haftungs- oder Datenschutzpflichten laufen parallel. Roadmap bis 2026/2027 soll geplant werdenMeldepflichten, Hauptpflichten, Legacy-Produkte, Portfolio, Releaseplanung und Supportzeitraum sollen gesteuert werden. Präventive Prüfung ohne akute FristEs besteht kein konkreter Vorfall, aber CRA-Betroffenheit und Gap-Analyse sollen geklärt werden.

Typische Fristen, Risiken und Maßnahmen

Datum / Anlass	Relevanz	Typische Maßnahme	Risikosignal
10.12.2024	Cyber Resilience Act in Kraft.	Produkt- und Rollenmapping starten, Produktportfolio gegen CRA-Scope prüfen.	Keine Zuständigkeit für CRA im Unternehmen definiert.
11.09.2026	CRA-Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle werden praktisch relevant.	VDP, PSIRT, Incident-Runbook, Beweissicherung, Eskalation und Meldewege vorbereiten.	Kein Prozess für Vulnerability Intake, CVE-Bewertung oder Kundenkommunikation.
12.09.2026	Data-Act-by-design für neue vernetzte Produkte und verbundene Dienste kann parallel relevant werden.	Produktdaten, Schnittstellen, Geschäftsgeheimnisse und DSGVO-Gates zusammen mit CRA-Architektur planen.	Connected Product ohne Datenzugangs- und Security-by-design-Konzept.
09.12.2026	Neue Produkthaftungsregeln sind für Software, KI, Updates und Cybersecurity-Risiken einzuplanen.	Release Notes, Security Patches, technische Dokumentation und Haftungsakte strukturieren.	Security-Entscheidungen sind technisch vorhanden, aber nicht gerichtsfest dokumentiert.
11.12.2027	CRA-Hauptpflichten werden anwendbar.	Secure-by-design, technische Dokumentation, SBOM, CE-/Konformitätsakte, Supportzeitraum und Updatepolitik etablieren.	Produkt wird weiter vertrieben, ohne Konformitätsstrategie und Nachweisführung.
Ereignisabhängig	Aktiv ausgenutzte Schwachstelle, schwerer Sicherheitsvorfall, Rückruf, Kunden- oder Behördenanfrage.	Incident Response, rechtliche Meldeprüfung, Kundenkommunikation, Patchplan und Beweissicherung koordinieren.	Öffentlicher Exploit, kritischer CVE, kompromittierte Komponente oder fehlende SBOM.

Nächste sinnvolle Schritte

CRA-Betroffenheit strukturiert prüfen lassen

Bei Software, vernetzten Produkten, IoT, Embedded Devices, Security-Produkten, Komponenten oder Open-Source-Strukturen sollte die CRA-Prüfung früh in Produktroadmap, Security Engineering, Vertragsgestaltung und Nachweisdokumentation eingebunden werden.

Kontakt aufnehmen Softwareverträge prüfen

Rechtlicher Orientierungshinweis

Dieser CRA-Check dient der ersten Orientierung und ersetzt keine Rechtsberatung im Einzelfall. Ob der Cyber Resilience Act tatsächlich anwendbar ist, welche Rolle Ihr Unternehmen einnimmt, ob eine wichtige oder kritische Produktkategorie betroffen ist und welche Konformitäts-, Melde- oder Dokumentationspflichten bestehen, muss anhand des konkreten Produkts, der Lieferkette, der technischen Architektur, der Marktbereitstellung und der aktuellen Behörden- und Normenlage geprüft werden.

CRA-Check für Software, Hardware und Produkte mit digitalen Elementen

Was Sie als Ergebnis erhalten

CRA-Produkt-Security-Kompass

Orientierung in fünf Schritten

Was dieser Check leistet

CRA-Betroffenheit und Readiness einschätzen

Gründe für die Einordnung

Empfohlene nächste Prüfpunkte

Sinnvoll vorzubereitende Unterlagen

Kopierbarer Kurzüberblick für Ihre Anfrage

Typische Fristen, Risiken und Maßnahmen

Verwandte ITMR-Checker und Anschlussprüfungen

CRA-Betroffenheit strukturiert prüfen lassen

Rechtlicher Orientierungshinweis