Cyber Resilience Act: Was deutsche Tech-Startups bis zum 11. September 2026 tun müssen
Der Cyber Resilience Act greift ab 11. September 2026 mit 24-Stunden-Meldepflicht für Schwachstellen. Was Startups mit Software, Firmware oder IoT jetzt tun.
Zusammenfassung
Die Verordnung (EU) 2024/2847 (Cyber Resilience Act) ist am 10. Dezember 2024 in Kraft getreten. Ab 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen gleichzeitig an das koordinierende nationale CSIRT und an ENISA über die Single Reporting Platform melden, und zwar binnen 24 Stunden, mit einer vollständigen Meldung binnen 72 Stunden. Ab 11. Dezember 2027 muss jedes neu auf den EU-Markt gebrachte Produkt die grundlegenden Cybersicherheitsanforderungen aus Anhang I erfüllen und eine CE-Kennzeichnung tragen. Die Bußgelder nach Art. 64 reichen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
Wenn du Software, Firmware oder ein vernetztes Gerät in den europäischen Markt bringst, läuft deine Compliance-Uhr. Der Cyber Resilience Act ist am 10. Dezember 2024 in Kraft getreten. Er greift in zwei Stufen: die Meldepflicht aus Art. 14 CRA ab 11. September 2026 und die materiellen Cybersicherheitsanforderungen mit CE-Kennzeichnung ab 11. Dezember 2027.
Meine CRA-Gespräche teilen sich sauber. Hardware- und Firmware-Teams wollen wissen, wie Anhang I zu lesen ist und ob sie ein notifiziertes Konformitätsbewertungsverfahren brauchen. B2B-SaaS-Gründer fragen, warum ihnen jede zweite Compliance-Mail sagt, der CRA gelte für sie. Die ehrliche Antwort: Reines Cloud-SaaS ohne Client-Komponente bleibt in der Regel außerhalb des Anwendungsbereichs. Sobald du einen herunterladbaren Agenten, eine Mobile App, Firmware oder ein vernetztes Gerät ausrollst, bist du Hersteller nach Art. 3 CRA, mit allen Pflichten.
Anwendungsbereich
Art. 3 CRA definiert ein Produkt mit digitalen Elementen als Software- oder Hardwareprodukt einschließlich seiner Datenfernverarbeitungslösungen, das auf dem Markt bereitgestellt wird und dessen bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk umfasst. Das zieht die meisten Startup-Produkte hinein: IoT-Hardware mit Firmware, jede herunterladbare Software, Mobile Apps, Desktop-Clients, Gerätetreiber und Cloud-Dienste, die gemeinsam mit einem Produkt ausgeliefert werden.
Zwei Ausnahmen sind für Startups wichtig. Erstens sind nicht-kommerzielle Open-Source-Entwickler ausgenommen; der CRA führt die neue Rolle des Open-Source-Software-Stewards mit reduzierten Pflichten ein. Zweitens werden Produkte, die sektorspezifischem EU-Cybersicherheitsrecht unterliegen (zum Beispiel Medizinprodukte unter der MDR oder Luftfahrt unter Verordnung 2018/1139), insoweit vom CRA verdrängt, wie sonst eine Doppelregulierung entstünde.
Die grundlegenden Anforderungen (Anhang I)
Anhang I hat zwei Teile. Teil I beschreibt Produkteigenschaften: Auslieferung mit sicherer Standardkonfiguration, Schutz vor unbefugtem Zugriff, Integritäts- und Vertraulichkeitsschutz, Minimierung der Angriffsfläche, Resilienz gegen DoS-Angriffe und Protokollierung sicherheitsrelevanter Ereignisse. Teil II regelt die Schwachstellen-Prozesse des Herstellers: Dokumentation und Behebung von Schwachstellen, getrennte Kanäle für Sicherheits-Updates wo möglich, eine Veröffentlichungsrichtlinie, koordinierte Offenlegung und eine Software Bill of Materials.
Art. 13 CRA verlangt vor der Markteinführung eine Cybersicherheits-Risikobewertung, die in das Produktdesign einfließt. Hersteller müssen eine technische Dokumentation erstellen, das passende Konformitätsbewertungsverfahren durchlaufen, eine EU-Konformitätserklärung ausstellen und das Produkt mit dem CE-Kennzeichen versehen. Für die meisten Produkte ist das eine Selbstbewertung.
Die Klassifizierung erfolgt in drei Stufen. Wichtige Produkte aus Anhang III Klasse I (Passwort-Manager, eigenständige Antiviren-Produkte, VPN-Clients, Netzwerkmanagement-Systeme, Boot-Manager) können im Selbstbewertungsverfahren konform werden, soweit eine harmonisierte Norm alle grundlegenden Anforderungen abdeckt. Anhang III Klasse II (Hypervisoren, Firewalls und Intrusion Detection Systems, manipulationssichere Mikroprozessoren) folgt derselben Logik, braucht aber häufiger eine notifizierte Stelle. Kritische Produkte aus Anhang IV (Hardware-Geräte mit Sicherheitsboxen, Smart-Meter-Gateways innerhalb intelligenter Messsysteme, Smartcards mit Sicherheitselementen) erfordern stets eine Bewertung durch eine notifizierte Stelle.
Die 24/72-Stunden-Meldekaskade
Ab 11. September 2026 gilt die zweistufige Meldepflicht aus Art. 14 CRA. Der Hersteller sendet eine Frühwarnung an die koordinierende nationale CSIRT und an ENISA über die Single Reporting Platform innerhalb von 24 Stunden ab Kenntnisnahme. Eine vollständige Schwachstellen-Meldung folgt binnen 72 Stunden. Für aktiv ausgenutzte Schwachstellen ist ein Abschlussbericht unverzüglich, spätestens aber binnen 14 Tagen nach Verfügbarkeit der Korrektur- oder Abhilfemaßnahme fällig. Für schwerwiegende Sicherheitsvorfälle gilt eine Abschlussfrist von einem Monat.
| Stufe | Frist ab Kenntnisnahme | Kanal |
|---|---|---|
| Frühwarnung (Schwachstelle oder Vorfall) | 24 Stunden | ENISA Single Reporting Platform |
| Vollständige Meldung | 72 Stunden | Single Reporting Platform |
| Abschlussbericht — Schwachstelle | 14 Tage nach Verfügbarkeit der Korrekturmaßnahme | Single Reporting Platform |
| Abschlussbericht — schwerwiegender Vorfall | 1 Monat | Single Reporting Platform |
Zwei Punkte unterschätzen Gründer regelmäßig. Erstens: aktiv ausgenutzt ist der Auslöser, enger als die Datenschutzverletzung nach Art. 33 DSGVO, aber mit kürzerem Zeitfenster. Eine einzelne aktiv ausgenutzte CVE in deiner Firmware startet die Uhr, auch wenn keine Nutzerdaten das Gerät verlassen. Zweitens: Die Meldung läuft gleichzeitig an das koordinierende CSIRT und an ENISA über eine EU-weite Plattform, die am 11. September 2026 live geht, nicht an jede nationale Behörde einzeln. In Deutschland koordiniert das BSI als CSIRT.
Bußgelder
Art. 64 CRA staffelt die Bußgelder in drei Stufen nach verletzter Pflicht.
| Verletzte Pflicht | Maximalbußgeld |
|---|---|
| Anhang I; Art. 13 und 14 (Herstellerpflichten und Meldung) | EUR 15.000.000 oder 2,5 % des weltweiten Jahresumsatzes |
| Art. 18–23, 28, 30–33, 39, 41, 47, 49, 53 (Dokumentation, Importeur-/Händlerpflichten, Zusammenarbeit) | EUR 10.000.000 oder 2 % des weltweiten Jahresumsatzes |
| Unrichtige, unvollständige oder irreführende Angaben gegenüber Marktüberwachungsbehörden oder notifizierten Stellen | EUR 5.000.000 oder 1 % des weltweiten Jahresumsatzes |
Maßgeblich ist der jeweils höhere Betrag. In Deutschland wird die CRA-Marktüberwachung beim BSI gebündelt, das zugleich die nationale CSIRT-Funktion für die Meldungen nach Art. 14 übernimmt. Kleinstunternehmen und kleine Unternehmen nach Empfehlung 2003/361/EG erhalten nach Art. 14 Abs. 8 CRA verlängerte Meldefristen. Von den materiellen Anforderungen aus Anhang I und von der Bußgeldandrohung befreit das nicht.
Eckdaten
Was in den nächsten sechs Monaten zu tun ist
Überschneidung mit NIS2 und AI Act
Drei EU-Cybersicherheitsregime treffen deutsche Tech-Startups auf jeweils eigener Grundlage. NIS2 reguliert dich als Einrichtung, die wichtige oder wesentliche Dienste betreibt, sobald du in einem erfassten Sektor die Schwelle mittlerer Unternehmen überschreitest (grob 50 Beschäftigte oder 10 Mio. EUR Umsatz, mit Ausnahmen für DNS-Dienste, TLD-Registries, Vertrauensdienste und Alleinanbieter). Der CRA reguliert dich als Hersteller eines Produkts, unabhängig von der Mitarbeiterzahl. Der AI Act ergänzt in Art. 15 Cybersicherheitsanforderungen speziell für hochriskante KI-Systeme. Ein Startup mit vernetzter Hardware kann unter allen drei Regimen gleichzeitig stehen. Die technischen Maßnahmen überschneiden sich stark, die Meldewege nicht. Ein einziges internes Security-Programm reicht, die Meldematrix sollte aber explizit sein.
Unter dem Strich
Die CRA-Meldepflicht startet am 11. September 2026. Die Uhr für CE-Kennzeichnung und Anhang I läuft bis 11. Dezember 2027. Wer ein Produkt mit Client-Komponente oder vernetzter Hardware in die EU bringt, ist im Anwendungsbereich, und der frühe Teil des Plans (Risikobewertung, SBOM, Schwachstellen-Prozess, Meldekanal) muss bis September stehen. Gründer, die im April und Mai starten, haben zur Series A saubere technische Unterlagen. Wer bis Dezember 2027 wartet, schreibt Produktdokumentation unter Zeitdruck kurz vor Finanzierungsrunden, während parallel der VPN-Lieferant eine CRA-Konformitätsbestätigung für den eigenen Einkauf verlangt.
Zur angrenzenden Compliance-Spur für die Verarbeitung personenbezogener Daten siehe DSGVO-Grundlagen für B2B-SaaS. Wie sich der AI Act für ML-Produkte darüberlegt, ist im Artikel AI Act: Was deutsche Startups wissen müssen beschrieben.
Rechtsquellen
- §Verordnung (EU) 2024/2847 — Cyber Resilience Act. Art. 3, 13, 14, 16, 52, 64, Anhang I, Anhang III
- §Art. 14 CRA — Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle über die ENISA Single Reporting Platform
- §Art. 64 CRA — Nach Pflichtstufe gestaffelte Bußgelder
- §Art. 32 DSGVO — Sicherheit der Verarbeitung; CRA-Anforderungen fliessen in den technisch-organisatorischen Massstab ein, wenn das Produkt personenbezogene Daten verarbeitet
- §Empfehlung 2003/361/EG — KMU-Definition: Kleinstunternehmen unter 10 Beschäftigte und unter 2 Mio. EUR Umsatz/Bilanz; kleines Unternehmen unter 50 Beschäftigte und unter 10 Mio. EUR
- •BSI Technische Richtlinie TR-03183 — BSI unterstützt Hersteller bei der CRA-Konformität über TR-03183, bringt sich in die europäische Normung bei CEN/CENELEC/ETSI ein und betreibt einen nationalen Helpdesk.
- •Entwurfs-Leitlinien der EU-Kommission (3. März 2026) — Kommission hat erste Anwendungsleitlinien veröffentlicht, die Herstellern bei Produktklassifizierung und Auslegung des Anhangs I helfen sollen.
Häufige Fragen
- Fällt mein reines SaaS-Produkt unter den Cyber Resilience Act?
- Ein rein gehosteter SaaS-Dienst ohne jede Software auf dem Endgerät des Nutzers fällt in der Regel nicht unter den CRA. Sobald du einen herunterladbaren Agenten, Firmware, einen Desktop- oder Mobile-Client oder ein vernetztes Gerät ausrollst, bist du Hersteller nach Art. 3 CRA mit voller Pflichtenlast.
- Was löst die 24-Stunden-Meldepflicht aus?
- Nach Art. 14 Abs. 1 und 2 CRA muss die Frühwarnung binnen 24 Stunden ab Kenntnisnahme gleichzeitig an das koordinierende CSIRT und an ENISA über die Single Reporting Platform übermittelt werden. Auslöser ist eine aktiv ausgenutzte Schwachstelle in einem Produkt mit digitalen Elementen. Eine vollständige Meldung folgt binnen 72 Stunden.
- Gelten die CRA-Pflichten auch für Produkte, die bereits auf dem Markt sind?
- Die Design- und Konformitätspflichten gelten erst für Produkte, die ab dem 11. Dezember 2027 neu in Verkehr gebracht oder wesentlich verändert werden. Die Meldepflicht nach Art. 14 CRA gilt ab 11. September 2026 für jedes Produkt, das auf dem Unionsmarkt bereitgestellt wird, unabhängig vom Inverkehrbringungszeitpunkt.
- Wie hoch können die Bußgelder für ein deutsches Startup werden?
- Nach Art. 64 CRA reichen die Bußgelder für Verstöße gegen Anhang I oder Art. 13 und 14 bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Verstöße gegen Dokumentations- und Kennzeichnungspflichten reichen bis 10 Millionen Euro oder 2 Prozent. Die Marktüberwachung liegt in Deutschland beim BSI.
- Gibt es eine Startup- oder KMU-Ausnahme im CRA?
- Keine pauschale Ausnahme. Kleinstunternehmen und kleine Unternehmen nach Empfehlung 2003/361/EG erhalten nach Art. 14 Abs. 8 CRA verlängerte Meldefristen (keine Befreiung, eine weichere Uhr), vereinfachte technische Dokumentation, Helpdesk-Zugang und Sandbox-Zugang. Von den materiellen Anforderungen aus Anhang I und von der CE-Kennzeichnungspflicht befreit das nicht.
Siehe auch
Weiterlesen
- 6 minDSGVO für B2B-SaaS: Die sieben Regeln, die deutsche Startups falsch machenB2B-SaaS-Unternehmen sind unter der DSGVO Verantwortliche und Auftragsverarbeiter. Die sieben wichtigsten Vorschriften und echte Bußgeldpraxis.
- 5 minAI Act: Was deutsche Startups vor August 2026 wissen müssenDer AI Act gilt ab August 2026 vollständig. Risikokategorien, Pflichten, Bußgelder und die Erleichterungen für Startups im Überblick.
CRA-Scope für dein Produkt geklärt?
30 Minuten. Wir prüfen deine Produktarchitektur, die Annex-I-Lücke und ob dein SaaS oder deine Firmware bis Dezember 2027 ein CE-Kennzeichen braucht.
Gespräch buchen