← Zur Glossar-Übersicht

Glossar

CRA — Definition und Bedeutung für die Cybersicherheit

Was bedeutet CRA? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20264 Min. Lesezeit

Kurzdefinition

CRA ist der Cyber Resilience Act, also die Verordnung (EU) 2024/2847 über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.

Primaerquelle

Verordnung (EU) 2024/2847; ergänzend Erwägungsgrund 28 und Art. 21 Abs. 2 Buchst. d der Richtlinie (EU) 2022/2555 sowie § 30 Abs. 2 Nr. 4 BSIG

Rechtsgrundlage ansehen

CRA — Definition und Bedeutung für die Cybersicherheit

CRA ist der Cyber Resilience Act, also die Verordnung (EU) 2024/2847 für Produkte mit digitalen Elementen. Die Verordnung verpflichtet Hersteller, Importeure und Händler dazu, Cybersicherheit über den gesamten Produktlebenszyklus nachweisbar zu berücksichtigen und gilt mit ihren Kernpflichten vollständig ab dem 11. Dezember 2027.

Definition

Der CRA regelt erstmals unionsweit horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Gemeint sind nicht nur vernetzte Geräte, sondern auch Software, eingebettete Systeme und digitale Komponenten, die direkt oder mittelbar mit anderen Geräten oder Netzen verbunden werden können.

Für Unternehmen ist die Kernaussage einfach: Cybersicherheit wird beim Produkt selbst zu einer Marktzugangsvoraussetzung. Hersteller müssen Risiken bewerten, sichere Voreinstellungen umsetzen, technische Unterlagen bereithalten und in der Praxis regelmäßig auch eine strukturierte SBOM pflegen. Die Verordnung ist seit dem 10. Dezember 2024 in Kraft; Meldepflichten greifen ab dem 11. September 2026, die übrigen Kernpflichten wie Security by Design, Dokumentation und CE-Kennzeichnung ab dem 11. Dezember 2027.

Relevanz für NIS2

Im Rahmen der NIS2-Richtlinie ist CRA relevant, weil NIS2 nicht das Produkt, sondern die Organisation und ihre Lieferkette reguliert. Art. 21 Abs. 2 Buchst. d der Richtlinie (EU) 2022/2555 verlangt Maßnahmen zur Lieferkettensicherheit. Für Deutschland spiegelt sich das in § 30 Abs. 2 Nr. 4 BSIG wider.

Erwägungsgrund 28 der NIS2-Richtlinie zeigt die Verbindung besonders klar: NIS2-betroffene Einrichtungen können für ihre Lieferkette strengere Cybersicherheitsanforderungen an Produkte mit digitalen Elementen verlangen. Genau hier ergänzt der CRA die NIS2-Logik. NIS2 fragt, wie ein Betreiber Risiken steuert und Beschaffung absichert; der CRA liefert die produktbezogene Gegenlogik mit sicherer Entwicklung, Updatefähigkeit, Schwachstellenmanagement und technischen Nachweisen.

Für NIS2-betroffene Unternehmen ist das praktisch wichtig, auch wenn sie selbst keine Hersteller sind. Wer kritische oder wichtige Dienste erbringt, muss bei Beschaffung und Drittparteiensteuerung genauer prüfen, ob eingesetzte Produkte künftig CRA-fähig sind. Vertiefend helfen dazu unser NIS2-Hub, der Glossarbegriff NIS2-Richtlinie und der Überblick zu Cyber-Resilienz.

Was der CRA in der Praxis verlangt

Für die Praxis lassen sich die wichtigsten CRA-Anforderungen in vier Punkte verdichten:

  1. Security by Design und by Default: Produkte müssen von Beginn an mit angemessenen Sicherheitsfunktionen entwickelt und mit sicheren Standardeinstellungen ausgeliefert werden.
  2. Schwachstellenmanagement über den Lebenszyklus: Hersteller müssen Schwachstellen erfassen, beheben und relevante Vorfälle fristgerecht melden.
  3. Technische Dokumentation und SBOM: Die Produktarchitektur, Risiken und wesentlichen Software-Bausteine müssen nachvollziehbar dokumentiert werden.
  4. Konformitätsbewertung und CE-Kennzeichnung: Cybersicherheit wird Teil des regulatorischen Produktnachweises und nicht nur ein freiwilliges Qualitätsmerkmal.

Gerade für Supply Chain Security ist das relevant. Wenn ein Unternehmen unter NIS2 seine Lieferkette absichern muss, wird der CRA zu einem wichtigen Prüfmaßstab für belastbare Beschaffung und Integration digitaler Produkte.

Praxisbeispiel

Ein deutscher Maschinenbauer mit vernetzten Wartungsmodulen verkauft Anlagen an Betreiber, die unter NIS2 fallen. Der Betreiber prüft deshalb nicht mehr nur Preis und Funktion, sondern verlangt Nachweise zu Updatefähigkeit, Schwachstellenprozess, Komponentenübersicht und sicherer Standardkonfiguration.

Für den Maschinenbauer bedeutet das konkret: Er muss seine Software-Bausteine sauber dokumentieren, eine SBOM pflegen und Zuständigkeiten für Sicherheitsupdates definieren. Für den NIS2-betroffenen Kunden entsteht dadurch ein klarer Vorteil, weil sich Lieferkettensicherheit nicht mehr nur über Verträge, sondern über produktbezogene Nachweise besser prüfen lässt.

Häufige Fragen zum CRA

Was ist CRA?

CRA ist der Cyber Resilience Act, also die Verordnung (EU) 2024/2847. Sie verpflichtet Marktteilnehmer bei Produkten mit digitalen Elementen dazu, Cybersicherheit systematisch nachzuweisen und ab 2027 als Voraussetzung für die legale Marktbereitstellung zu behandeln.

Welche Rolle spielt CRA unter NIS2?

CRA ist unter NIS2 relevant, weil NIS2 Lieferkettensicherheit und sichere Beschaffung fordert, aber keine eigenen Produktregeln schafft. Der CRA ergänzt diese Lücke, indem er festlegt, welche Cybersicherheitsanforderungen digitale Produkte künftig erfüllen und dokumentieren müssen.

Wenn Sie CRA, Lieferkettensicherheit und Managementpflichten für Ihr Unternehmen strukturiert einordnen wollen, ist unsere NIS2-Schulung der passende nächste Schritt. Für einen direkten Einstieg in die Umsetzung finden Sie außerdem auf der Seite zur NIS2 Online Schulung einen kompakten Überblick.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen