Veröffentlicht: 25.01.2026

Cyber Resilience Act: Alle Fristen im Überblick

Der Cyber Resilience Act ist in Kraft und die Uhr läuft. Während viele Unternehmen noch abwarten, haben die ersten Fristen bereits begonnen zu ticken. Wer zu spät reagiert, riskiert nicht nur den Marktzugang in der EU, sondern auch empfindliche Strafen. Dieser Beitrag gibt dir einen klaren Überblick über alle relevanten Termine, Übergangsregelungen und die Konsequenzen bei Versäumnis.

Der Cyber Resilience Act kurz erklärt

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen einführt – von vernetzten Haushaltsgeräten über IoT-Devices bis hin zu Software. Betroffen sind Hersteller, Importeure und Händler, unabhängig von der Unternehmensgröße. Als EU-Verordnung gilt der CRA direkt in allen Mitgliedstaaten, also auch in Österreich – ohne zusätzliches nationales Umsetzungsgesetz.

Du möchtest zunächst genauer verstehen, was der CRA überhaupt ist? Dann lies zuerst unseren Grundlagenartikel zum Cyber Resilience Act.

Die Fristen des CRA auf einen Blick

Der CRA ist keine “Alles-auf-einmal”-Verordnung. Verschiedene Regelungen greifen zu unterschiedlichen Zeitpunkten. Hier findest du eine übersichtliche Timeline des Cyber Resilience Acts:

Datum Was gilt ab dann?
10. Dezember 2024 CRA tritt in Kraft
11. Juni 2026 Benannte Stellen / Konformitätsbewertungsstellen
11. September 2026 Meldepflicht für Schwachstellen & Sicherheitsvorfälle
11. Dezember 2027 Vollständige Anwendbarkeit aller Hauptbestimmungen
11. Juni 2028 Ablauf bestehender EU-Typprüfzertifikate

10. Dezember 2024 – Der CRA ist in Kraft getreten

Der CRA ist bereits Realität. Auch wenn viele Hauptpflichten erst 2027 greifen, beginnt die Vorbereitungszeit jetzt. Entwicklungszyklen, Zertifizierungsverfahren und interne Prozessanpassungen brauchen Zeit. Wer jetzt noch wartet, könnte es 2027 schwer haben.

11. Juni 2026 – Benannte Stellen (Kapitel IV)

Ab diesem Datum können Konformitätsbewertungsstellen offiziell notifiziert werden. Das ist vor allem für Hersteller von wichtigen (Klasse II) und kritischen Produkten relevant, die eine externe Konformitätsbewertung benötigen. Wer auf eine Zertifizierung durch eine benannte Stelle angewiesen ist, sollte frühzeitig klären, welche Stellen dafür in Frage kommen – denn Kapazitäten könnten schnell knapp werden.

11. September 2026 – Meldepflicht für Schwachstellen (Artikel 14)

Das ist eine der kritischsten Fristen, die viele unterschätzen: Ab September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle bei der zuständigen Behörde gemeldet werden. Besonders wichtig: Diese Meldepflicht gilt nicht nur für neue Produkte, sondern für alle Produkte mit digitalen Elementen, die auf dem EU-Markt verfügbar sind – also auch für jene, die bereits vor 2027 in Verkehr gebracht wurden.

Dabei gelten strenge Meldefristen, die eingehalten werden müssen:

24 Stunden

Frühwarnung bei aktiv ausgenutzten Schwachstellen oder schwerwiegenden Vorfällen

72 Stunden

Detaillierte Schwachstellenmeldung mit ersten Bewertungen und Maßnahmen

14 Tage

Abschlussbericht für aktiv ausgenutzte Schwachstellen

30 Tage

Abschlussbericht für schwerwiegende Sicherheitsvorfälle

Um diese Fristen einhalten zu können, braucht es funktionierende interne Prozesse: Ein Schwachstellenmonitoring, klare Meldewege und definierte Verantwortlichkeiten.

11. Dezember 2027 – Volle Anwendbarkeit

Ab diesem Datum müssen alle Produkte mit digitalen Elementen, die neu in der EU in Verkehr gebracht werden, sämtliche CRA-Anforderungen erfüllen – inklusive CE-Kennzeichnung. Ohne diese darf ein Produkt ab dann nicht mehr auf den EU-Markt.

11. Juni 2028 – Ablauf der EU-Typprüfzertifikate

Bereits bestehende EU-Typprüfzertifikate behalten ihre Gültigkeit, laufen aber spätestens am 11. Juni 2028 aus. Wer solche Zertifikate für seine Produkte nutzt, sollte rechtzeitig prüfen, wann genau sie ablaufen und welche Schritte danach notwendig sind.

Was gilt für Produkte, die bereits auf dem Markt sind?

Eine Frage, die viele beschäftigt: Müssen auch bestehende Produkte nachgerüstet werden?

Grundsätzlich gilt, dass Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, nicht automatisch dem CRA unterliegen. Es gibt jedoch zwei wichtige Ausnahmen:

  • 1

    Wesentliche Änderungen: Wird ein bestehendes Produkt nach dem 11. Dezember 2027 wesentlich verändert, greift der CRA vollständig – als wäre es ein neues Produkt.

  • 2

    Meldepflicht: Die Pflicht zur Meldung von Schwachstellen und Vorfällen gilt bereits ab September 2026 für alle Produkte auf dem EU-Markt, unabhängig vom Inverkehrbringen-Datum.

Was passiert, wenn die Fristen des CRA nicht eingehalten werden?

Nichtstun ist keine Option – das machen die vorgesehenen Konsequenzen deutlich:

Kein Marktzugang

Produkte ohne gültige CE-Kennzeichnung dürfen nach dem 11. Dezember 2027 nicht mehr in der EU verkauft werden.

Rückruf und Marktstopp

Marktüberwachungsbehörden können Produkte sperren, zurückrufen oder deren Bereitstellung untersagen.

Empfindliche Bußgelder

  • Bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen.

  • Bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes bei sonstigen CRA-Verstößen.

  • Bis zu 5 Mio. EUR oder 1 % des Jahresumsatzes bei falschen oder irreführenden Angaben gegenüber Behörden.

Reputationsschäden

Verstöße können öffentlich bekannt gemacht werden – mit entsprechenden Folgen für das Vertrauen von Kunden und Partnern.

Checkliste: Was sollten Unternehmen jetzt tun?

Die folgende Kurzcheckliste hilft dir, den Einstieg zu strukturieren und keine wichtige Frist zu übersehen:

  • Eigenes Produktportfolio auf CRA-Relevanz prüfen
  • Produktkategorien bestimmen (Standard / Wichtig / Kritisch)
  • Interne Prozesse für Schwachstellenmanagement aufsetzen
  • Software Bill of Materials (SBOM) einführen
  • Meldewege definieren und testen
  • Konformitätsbewertungsverfahren einleiten (je nach Kategorie)
  • Technische Dokumentation aufbauen
  • Zulieferer und Lieferkette auf CRA-Anforderungen prüfen
  • Gültigkeit bestehender Typprüfzertifikate prüfen

Mit CRAVEN die Fristen des CRA einhalten

Die gute Nachricht: Du musst das alles nicht alleine stemmen. CRAVEN wurde speziell für Hersteller von Produkten mit digitalen Elementen entwickelt und unterstützt dich bei den wichtigsten Anforderungen:

  • Produkt-Check: Ein geführter Fragenkatalog ermittelt in wenigen Schritten, ob und wie stark dein Produkt vom CRA betroffen ist.

  • Schwachstellenüberwachung & Meldepflicht: CRAVEN überwacht automatisch externe Schwachstellendatenbanken, gleicht sie mit deiner SBOM ab und startet bei Bedarf den Incident-Response-Workflow – inklusive Fristenüberwachung für alle Meldefristen nach Artikel 14.

  • Zentrale Dokumentation: Alle CRA-relevanten Produktdaten an einem Ort – von der Risikobewertung bis zur EU-Konformitätserklärung, auf Knopfdruck generiert.

  • Externe Schwachstellen-Meldeplattform: Eine standardkonforme CVD-Plattform für die Entgegennahme externer Meldungen.

Kurz gesagt: CRAVEN deckt genau die Prozesse ab, die du bis September 2026 aufgebaut haben musst – und hilft dir, bis Dezember 2027 vollständig konform zu sein.

Häufige Fragen zu den Fristen des Cyber Resilience Act

Der Cyber Resilience Act wurde am 20. November 2024 im EU-Amtsblatt veröffentlicht und ist am 10. Dezember 2024 offiziell in Kraft getreten.

Die vollständige Umsetzung ist bis zum 11. Dezember 2027 erforderlich. Ab diesem Datum dürfen nur noch Produkte mit digitalen Elementen in der EU in Verkehr gebracht werden, die alle CRA-Anforderungen erfüllen. Einzelne Pflichten – insbesondere die Meldepflicht für Schwachstellen – greifen jedoch bereits ab September 2026.

Der CRA sieht eine Übergangsfrist von 36 Monaten vor. Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, müssen die Anforderungen grundsätzlich nicht erfüllen – außer sie werden nach diesem Datum wesentlich verändert. Für die Meldepflicht gilt eine Übergangsfrist von 21 Monaten seit Inkrafttreten der Verordnung.

Bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen drohen Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes. Verstöße gegen sonstige CRA-Pflichten können mit bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes geahndet werden. Zusätzlich können Behörden betroffene Produkte vom Markt nehmen oder zurückrufen lassen.

Weitere Beiträge

Updates & Infos zum CRAVEN-Launch

Erfahre als Erste:r vom Launch und nutze den Wettbewerbsvorteil.