Heimat der Akademie
Blogs
Für wen gilt die CRA? Geltungsbereich & Anwendbarkeit
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Für wen gilt die CRA? Geltungsbereich & Anwendbarkeit

ISO 27001-Sammlung
Für wen gilt die CRA? Geltungsbereich & Anwendbarkeit
NIS2-Sammlung
Für wen gilt die CRA? Geltungsbereich & Anwendbarkeit
Cyberday Blog
Für wen gilt die CRA? Geltungsbereich & Anwendbarkeit

Der Cyber Resilience Act legt grundlegende Cybersicherheitsregeln für jedes Hardware- oder Softwareprodukt mit einem digitalen Element fest, das auf dem EU-Markt angeboten wird.

Er richtet sich an Hersteller, Importeure und Händler, was bedeutet, dass reguläre Dienstleistungsunternehmen nicht in den Anwendungsbereich fallen, es sei denn, sie bringen solche Produkte auf den Markt. Dies ist von Bedeutung, da die CRA strenge Sicherheitsanforderungen vor dem Inverkehrbringen und langfristige Verpflichtungen zum Schwachstellenmanagement einführt, so dass die Frage "Wer muss den Cyber Resilience Act einhalten?

Datum des Inkrafttretens10.12.2024 (bereits in Kraft)
Gilt fürHersteller, Importeure, Vertreiber von Produkten mit digitalen Elementen (alle Sektoren)
Geografischer GeltungsbereichEU-Markt (globale Anbieter, die in die EU verkaufen)
Obligatorisch?Ja
SanktionenGeldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes; möglicher Produktrückruf/ Rücknahme
Unterstützung für Cyberday✅ Ja

Lesen Sie auch: Was ist der Cyber Resilience Act?

Anwendbarkeitskriterien für das Gesetz über die Widerstandsfähigkeit im Internet (CRA)

CRA wird auf der Grundlage einiger klarer Faktoren angewendet. Unternehmen müssen ihre Produkte, ihre Rolle in der Lieferkette sowie den Ort und die Art ihrer Tätigkeit bewerten.

  • Industrie/Sektor - jeder Sektor, der Hardware oder Software mit einem digitalen Element auf den EU-Markt bringt, vom IoT für Verbraucher bis zu industriellen Steuerungssystemen.
  • Rolle der Organisation - Hersteller, Importeure oder Händler (einschließlich Wiederverkäufer) sind abgedeckt; Nutzer von Standardprodukten sind nicht abgedeckt.
  • Geografie/Region - gilt, wenn das Produkt in der EU angeboten wird, unabhängig davon, wo das Unternehmen ansässig ist.
  • Produkttyp/Klasse - für kritische Produkte (z. B. Firewalls, Passwortmanager) gelten strengere Konformitätspfade; für nicht kritische Produkte sind weiterhin Basiskontrollen erforderlich.
  • Ausnahmen - freie und quelloffene Software, die auf nichtkommerzieller Basis bereitgestellt wird, und Produkte, die ausschließlich für die nationale Sicherheit oder Verteidigung entwickelt werden, fallen nicht in den Anwendungsbereich.

Ist der Cyber Resilience Act (CRA) verpflichtend und wie können Sie prüfen, ob er für Sie gilt?

Ja, die Einhaltung der CRA ist verpflichtend, wenn Ihr Unternehmen digitale Produkte auf den EU-Markt bringt, die in den Anwendungsbereich fallen. Hier erfahren Sie, wie Sie überprüfen können, ob dies auf Sie zutrifft:

  • Bestätigen Sie, dass das Produkt digitale Elemente enthält und auf dem EU-Markt in Verkehr gebracht wird.
  • Bestimmen Sie Ihre Rolle: Hersteller, Importeur oder Händler.
  • Prüfen Sie, ob es Ausnahmeregelungen gibt (nichtkommerzielle Open-Source-Nutzung, ausschließliche Verwendung im Verteidigungsbereich).
  • Vergleich des Produkts mit den Cybersicherheitsanforderungen von Anhang I der CRA.
  • Bestimmen Sie, ob das Produkt in eine kritische Klasse fällt, die eine Bewertung durch einen Dritten erfordert.

Testen Sie Ihren CRA-Konformitätsstatus

Nehmen Sie unsere kostenlose Bewertung vor, und verschaffen Sie sich einen schnellen Überblick darüber, wie Ihr Unternehmen die Anforderungen des Cyber Resilience Act erfüllt und worauf Sie sich als Nächstes konzentrieren sollten.

Nehmen Sie die Bewertung vor

Beispiele für Organisationen, die diese Anforderungen erfüllen müssen

Hier sind einige typische Unternehmensprofile, die unter die Anforderungen der CRA fallen:

  • Ein finnisches Startup, das intelligente IoT-Beleuchtungsgeräte in ganz Europa verkauft (Hersteller).
  • Ein deutscher Großhändler, der Netzwerk-Router aus Asien für Einzelhändler in der EU importiert (Importeur).
  • Ein SaaS-Anbieter in Irland liefert eine Sicherheitsanwendung vor Ort an EU-Kunden (Händler und Hersteller).

Wann tritt der Cyber Resilience Act (CRA) in Kraft?

Die CRA ist bereits in Kraft, aber für bestimmte Verpflichtungen gelten gestaffelte Fristen. Zu den wichtigsten Daten gehören:

  • 10. Dezember 2024 - Die Verordnung tritt in Kraft.
  • 10. September 2026 - erste Verpflichtungen (frühzeitige Meldung von Zwischenfällen und Schwachstellen) beginnen 21 Monate nach Inkrafttreten.
  • 10. Dezember 2027 - vollständige Einhaltung 36 Monate nach Inkrafttreten erforderlich.

Lesen Sie, wie Sie die Anforderungen der CRA erfüllen in diesem Artikel.

Was passiert, wenn Sie sich nicht daran halten?

Die Nichteinhaltung der Vorschriften hat schwerwiegende finanzielle und betriebliche Folgen. Folgendes kann passieren:

  • Geldbußen bis zu 15 Millionen Euro oder 2,5 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist
  • Rücknahme des Produkts vom EU-Markt
  • Obligatorische Rückrufe für unsichere Produkte
  • Verkaufsverbote in allen EU-Ländern
  • Untersuchungen der nationalen Marktüberwachungsbehörden

Wie Cyberday Organisationen im Geltungsbereich unterstützt

Wenn Ihre Produkte unter die CRA fallen, bietet Cyberday Ihnen eine klare Struktur, um die Anforderungen zu erfüllen. Unsere Plattform bildet die Anforderungen von Anhang I in nachvollziehbaren Aufgaben ab, hilft bei der Erstellung der technischen Dokumentation und unterstützt die Arbeitsabläufe für die Meldung von Vorfällen und Schwachstellen. Sie wurde entwickelt, um Ihnen dabei zu helfen, den Cyber Resilience Act auf praktische und kontinuierliche Weise zu erfüllen.

Beginnen Sie noch heute mit der Einhaltung Ihrer CRA-Vorschriften mit der kostenlosen Testversion von Cyberday!

Geschrieben von
Tuomas Pitkänen
25.7.2025
@
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Andere ähnliche Inhalte von Academy

Blogs

Für wen gilt die CRA? Geltungsbereich & Anwendbarkeit

Erfahren Sie, wer den Cyber Resilience Act einhalten muss, wann er gilt, ob er verpflichtend ist und wie Sie die Anforderungen der CRA in der EU erfüllen können.
25.7.2025

Wie erfüllt man das Gesetz über die Widerstandsfähigkeit im Cyberspace (CRA)?

Erfahren Sie, wie Sie Schritt für Schritt den CRA, den Cyber Resilience Act, erfüllen können und welche Tools Ihnen dabei helfen, das Ziel schnell zu erreichen.
24.7.2025

Was verlangt die CRA?

Schritt-für-Schritt-Leitfaden für die Einhaltung des Cyber Resilience Act, der die wichtigsten Anforderungen, Verantwortlichkeiten und Tools enthält und zeigt, wie man die Verpflichtungen der CRA schnell erfüllt.
21.7.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit