What is the Cyber Resilience Act (CRA)?

The Cyber Resilience Act (Regulation 2024/2847) is the EU's regulation establishing cybersecurity requirements for products with digital elements. It covers hardware and software products placed on the EU market and requires manufacturers, importers, and distributors to ensure products are secure by design throughout their lifecycle.

When does the CRA apply?

The CRA entered into force on December 10, 2024. Reporting obligations for actively exploited vulnerabilities apply from September 11, 2026. The main obligations for manufacturers, importers, and distributors apply from December 11, 2027.

Who is affected by the CRA?

The CRA applies to manufacturers, importers, and distributors of products with digital elements placed on the EU market. This includes IoT devices, software applications, operating systems, network equipment, smart home devices, industrial control systems, firmware, and SaaS components. Open-source software stewards also have specific obligations.

How is the CRA different from NIS2?

NIS2 focuses on the cybersecurity of organisations (essential and important entities in 18 sectors), while the CRA focuses on the cybersecurity of products with digital elements. NIS2 requires organisations to implement security measures; the CRA requires product manufacturers to build security into their products. Both regulations complement each other as part of the EU's cybersecurity framework.

How does SiteGuardian help with CRA compliance?

SiteGuardian continuously monitors security properties required by the CRA: HTTPS/TLS enforcement, deprecated protocol detection, weak cipher identification, certificate expiry monitoring, security.txt (RFC 9116) for vulnerability disclosure, encryption in transit, and security header validation. It maps findings directly to CRA articles and Annex I requirements.

EU-Verordnung 2024/2847

Cyber Resilience Act.
Ist Ihr Produkt bereit?

Der CRA verpflichtet alle Produkte mit digitalen Elementen auf dem EU-Markt zur Einhaltung von Cybersicherheitsanforderungen — oder es drohen Bußgelder bis zu 15 Mio. €. Die Uhr tickt.

---

Tage

Stunden

Minuten

Sekunden

bis zum 11. Dezember 2027

Meldepflichten gelten ab dem 11. September 2026

Scannen Sie jetzt Ihr Produkt Compliance-Pläne anzeigen

Gilt der CRA für Sie?

Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden. Wenn Ihr Produkt Software enthält oder sich mit einem Netzwerk verbindet, fällt es wahrscheinlich in den Anwendungsbereich.

IoT-Geräte

Standard / Kritisch

Softwareprodukte

Standard / Kritisch

Netzwerkausrüstung

Kritisch

Smart Home

Standard / Kritisch

Industrielle Steuerungssysteme

Kritisch

Mobile Apps

Standard

Cloud-Dienste

Standard / Kritisch

Open Source

Mit Verpflichtungen

Die Kosten der Nichteinhaltung

Wesentliche Anforderungen

€15M

oder 2,5 % des weltweiten Jahresumsatzes

je nachdem, welcher Betrag höher ist

Sonstige Verpflichtungen

€10M

oder 2 % des weltweiten Jahresumsatzes

je nachdem, welcher Betrag höher ist

Irreführende Angaben

€5M

oder 1 % des weltweiten Jahresumsatzes

je nachdem, welcher Betrag höher ist

Nicht konforme Produkte können von den Marktüberwachungsbehörden vom EU-Markt genommen werden.

Was der CRA fordert — und was SiteGuardian überwacht

Der CRA definiert wesentliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. SiteGuardian überwacht die technischen kontinuierlich.

Art. 6 / Annex I

Sicher ab Werk

Überwacht

SiteGuardian überwacht HTTPS-Durchsetzung, HSTS-Header, sichere Cookie-Flags und erkennt Standard-Zugangsdaten oder unsichere Konfigurationen, die dem Netzwerk ausgesetzt sind. Produkte müssen mit sicheren Standardeinstellungen ausgeliefert werden.

Art. 10(1)

Keine bekannten Schwachstellen

Überwacht

SiteGuardian validiert TLS-Versionen, erkennt veraltete Protokolle (SSLv3, TLS 1.0/1.1), identifiziert schwache Cipher-Suiten und markiert bekannte Sicherheitsfehlkonfigurationen. Produkte müssen ohne bekannte ausnutzbare Schwachstellen ausgeliefert werden.

Art. 10(6)

Sicherheitsupdates

Überwacht

SiteGuardian überwacht SSL-Zertifikatsablaufdaten, verfolgt Änderungen der Sicherheitslage über die Zeit und warnt bei Konfigurationsrückschritten. Hersteller müssen zeitnahe Sicherheitsupdates für den Produktsupport-Zeitraum bereitstellen.

Art. 10(9)

Software-Stückliste (SBOM)

Hersteller müssen Komponenten in ihren Produkten identifizieren und dokumentieren, einschließlich einer Software-Stückliste. Dies ist eine organisatorische Maßnahme, die interne Werkzeuge und Prozesse erfordert.

Art. 10(10)

Koordinierte Offenlegung von Schwachstellen

Überwacht

SiteGuardian erkennt security.txt-Dateien (RFC 9116), prüft die Verfügbarkeit von Vulnerability-Disclosure-Richtlinien und kontrolliert korrekte Kontaktinformationen. Hersteller müssen eine koordinierte Richtlinie zur Offenlegung von Schwachstellen etablieren.

Art. 11

Meldepflichten

Überwacht

Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden. SiteGuardian bietet Vorfallerkennung, Klassifizierung und verfolgt Meldefristen für die regulatorische Compliance.

Art. 13

Konformitätsbewertung

Produkte müssen vor dem Inverkehrbringen auf dem EU-Markt eine Konformitätsbewertung durchlaufen. Produkte der Standardkategorie können sich selbst bewerten; kritische Produkte erfordern Prüfungen durch Dritte. Dies ist eine organisatorische Maßnahme.

Annex I.2

Sicherheitseigenschaften

Überwacht

SiteGuardian überprüft die Transportverschlüsselung (TLS 1.2+), validiert Zugriffskontrollmechanismen, prüft die Datenintegrität durch sichere Header-Konfigurationen und überwacht unbefugte Datenexposition. Produkte müssen Vertraulichkeit, Integrität und Verfügbarkeit schützen.

Beginnen Sie noch heute mit der Vorbereitung

Scannen Sie die Web-Oberfläche Ihres Produkts, um zu sehen, wo Sie stehen. SiteGuardian ordnet jeden Befund CRA-Artikeln zu — damit Sie genau wissen, was zu beheben ist.

Kostenloser Sicherheitsscan Compliance-Pläne anzeigen

Für immer kostenlos für 1 Monitor. Keine Kreditkarte erforderlich.

Häufig gestellte Fragen

Was ist der Cyber Resilience Act (CRA)?

Der CRA (Verordnung 2024/2847) ist die EU-Verordnung, die horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Er umfasst sowohl Hardware- als auch Softwareprodukte, die auf dem EU-Markt in Verkehr gebracht werden, und verpflichtet Hersteller, Produkte über ihren gesamten Lebenszyklus hinweg sicher zu gestalten.

Ab wann gilt der CRA?

Der CRA trat am 10. Dezember 2024 in Kraft. Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle gelten ab dem 11. September 2026. Die wesentlichen Verpflichtungen für Hersteller, Importeure und Händler — einschließlich Konformitätsbewertung und CE-Kennzeichnung — gelten ab dem 11. Dezember 2027.

Wer ist vom CRA betroffen?

Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden. Dazu gehören IoT-Geräte, Softwareanwendungen, Betriebssysteme, Netzwerkausrüstung, Smart-Home-Geräte, industrielle Steuerungssysteme, mobile Apps und Cloud-Service-Komponenten. Open-Source-Softwareverwalter haben spezifische, aber geringere Verpflichtungen.

Wie unterscheidet sich der CRA von NIS2?

NIS2 konzentriert sich auf die Cybersicherheit von Organisationen — wesentliche und wichtige Einrichtungen in 18 Sektoren müssen Sicherheitsmaßnahmen umsetzen. Der CRA konzentriert sich auf die Cybersicherheit von Produkten — Hersteller müssen Sicherheit in ihre Produkte einbauen, bevor sie diese auf dem EU-Markt in Verkehr bringen. Beide Verordnungen ergänzen sich: NIS2 sichert die Betreiber, der CRA sichert die Produkte, die sie nutzen.

Wie hilft SiteGuardian bei der CRA-Compliance?

SiteGuardian überwacht kontinuierlich die vom CRA geforderten technischen Sicherheitseigenschaften: HTTPS/TLS-Durchsetzung, Erkennung veralteter Protokolle, Identifizierung schwacher Cipher-Suiten, Zertifikatsablauf-Monitoring, security.txt für die Schwachstellenoffenlegung, Transportverschlüsselung und Security-Header-Validierung. Alle Befunde werden CRA-Artikeln und Anhang-I-Anforderungen zugeordnet, sodass Sie einen klaren Compliance-Überblick erhalten.

Cyber Resilience Act. Ist Ihr Produkt bereit?

Gilt der CRA für Sie?

Die Kosten der Nichteinhaltung

Was der CRA fordert — und was SiteGuardian überwacht

Sicher ab Werk

Keine bekannten Schwachstellen

Sicherheitsupdates

Software-Stückliste (SBOM)

Koordinierte Offenlegung von Schwachstellen

Meldepflichten

Konformitätsbewertung

Sicherheitseigenschaften

Beginnen Sie noch heute mit der Vorbereitung

Häufig gestellte Fragen

Sind Sie sicher?

Cyber Resilience Act.
Ist Ihr Produkt bereit?