CRA Compliance-Checkliste für Hersteller

Wenn Ihr Team vernetzte Hardware oder Software entwickelt, importiert oder vertreibt, die in der EU in Verkehr gebracht wird, ist die folgende CRA Compliance-Checkliste für Hersteller die operative Landkarte, die Sie brauchen. Die Verordnung (EU) 2024/2847 ist am 10. Dezember 2024 in Kraft getreten und legt Sicherheitspflichten über den gesamten Produktlebenszyklus fest — Design, Entwicklung, Inverkehrbringen und Updates. Zwei Stichtage sind jetzt entscheidend: Die Meldepflichten für Schwachstellen und Vorfälle nach den Artikeln 11 und 14 gelten ab dem 11. September 2026, die wesentlichen Anforderungen und die Konformitätsbewertung ab dem 11. Dezember 2027. Behandeln Sie diese Liste als Arbeits-Backlog für Ihre Produkt- und Sicherheitsteams.

Was der CRA von Herstellern erwartet

Hersteller tragen die primäre Pflicht unter dem CRA. Bevor Sie ein Produkt mit digitalen Elementen in der EU in Verkehr bringen, müssen Sie es sicher entwickeln, frei von bekannten ausnutzbaren Schwachstellen ausliefern, über die erwartete Lebensdauer unterstützen, dokumentieren und Probleme an die ENISA Single Reporting Platform melden. Sanktionen erreichen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Die folgende Checkliste wandelt diese Kernpflichten in zuweisbare, belegbare Punkte um.

Die CRA Compliance-Checkliste für Hersteller

Bearbeiten Sie jeden Block in der angegebenen Reihenfolge. Jeder Punkt mappt auf eine konkrete Pflicht der Verordnung.

1. Scope prüfen und Produkt klassifizieren

• Alle Produkte mit digitalen Elementen erfassen, die Sie in der EU in Verkehr bringen — Standalone-Software, verbundene Geräte, eingebettete Komponenten.
• Ausnahmen prüfen — z. B. kommerziell nicht unterstützte Free-and-Open-Source-Software und Produkte, die bereits gleichwertigen sektoralen Regeln unterliegen.
• Jedes Produkt klassifizieren: Standard oder „kritisch” nach Anhang II oder III. Das bestimmt die Route der Konformitätsbewertung.

2. Security by Design und by Default (Anhang I)

• Produkte bei Inverkehrbringen frei von bekannten ausnutzbaren Schwachstellen ausliefern.
• Secure-by-Default-Konfiguration ab Werk aktivieren.
• Schutz vor unbefugtem Zugriff und Minimierung der Angriffsfläche.
• Designentscheidungen dokumentieren, die jede Anhang-I-Anforderung erfüllen.

3. Schwachstellenmanagement und Sicherheitsupdates

• Prozess für Schwachstellen und Sicherheitsupdates mit benannten Verantwortlichen etablieren.
• Kontaktweg für Schwachstellenmeldungen veröffentlichen und Disclosure-Policy definieren.
• Sicherheitsupdates über die erwartete Produktlebensdauer oder mindestens 5 Jahre ausliefern, je nachdem, was länger ist.

4. Software Bill of Materials (SBOM)

• SBOM für jedes Produkt erstellen und pflegen, einschließlich transitiver Abhängigkeiten.
• SBOM mit jedem Release versionieren und mit der technischen Dokumentation ablegen.

5. Konformitätsbewertung und CE-Kennzeichnung

• Konformitätsroute festlegen: Modul A (Selbstbewertung) für Standardprodukte, benannte Stelle für kritische Produkte (Anhang II/III).
• Technische Dokumentation zusammenstellen und Konformitätserklärung ausstellen.
• CE-Kennzeichnung anbringen und Produktkennzeichnung prüfen.

6. Meldepflichten nach Artikel 14 (ab 11. September 2026)

• Meldungsverantwortlichen benennen und Zugang zur ENISA Single Reporting Platform einrichten.
• Vorlagen für Frühwarnung (24 h), Vorfallmeldung (72 h) und Abschlussbericht vorhalten.
• Erkennung an die Meldung koppeln — „aktiv ausgenutzt” erreicht den Verantwortlichen automatisch.

7. Marktüberwachung und Zusammenarbeit

• Kooperationspflichten mit nationalen Marktüberwachungsbehörden vorbereiten.
• Korrekturmaßnahmen (Updates, Rückrufe) für den Fall definieren, dass Nichtkonformität festgestellt wird.

Zeitachsen, die Sie im Kopf behalten

• 11. September 2026 — Meldepflichten (Artikel 11 & 14) werden anwendbar.
• 11. Dezember 2027 — Allgemeine Anwendung der wesentlichen Anforderungen und Konformitätsbewertung.
• 11. Juni 2026 — Mitgliedsstaaten benennen nationale Cybersicherheitsbehörden / CSIRTs.

Vom Checklistenpunkt zum lebenden Risikoregister

Eine Checkliste wird erst wirksam, wenn sie mit einem lebenden Risikoregister verbunden ist. So lässt sich jeder Anhang-I-Punkt und jede Meldung den Produkten, Lieferanten und Assets zuordnen, die er betrifft. Ein Blick auf die Preise für die Werkzeuge, die dieses Register aktuell halten, stellt sicher, dass Compliance ein finanziertes Standing Capability ist statt eine Lücke, die Sie im Audit entdecken.

Fazit

Die CRA Compliance-Checkliste für Hersteller ist ambitioniert, aber methodisch: Scope und Klassifizierung klären, Security by Design umsetzen, Schwachstellen managen, SBOM führen, Konformität bewerten und rechtzeitig melden. Wer die Artikel-14-Meldepflichten bis zum 11. September 2026 operationalisiert hat, baut den Rest bis Dezember 2027 auf einem stabilen Fundament auf.

Einen vertieften Blick auf die Meldepflichten bietet unser Artikel zu den CRA Artikel 14 Meldepflichten.