MacherMentor
Regulierung

Cyber Resilience Act: CE-Kennzeichnung wird ab 2027 zur Verkaufsbedingung

Von Joe Martin · · Regulierung

Cyber Resilience Act: Flow von Produkt über Risikoanalyse, Security by Design, Konformitätsbewertung zur CE-Kennzeichnung und Marktzugang

Wer in der EU Produkte mit digitalen Elementen herstellt oder vertreibt, braucht ab 11. Dezember 2027 die CE-Kennzeichnung für Cybersicherheit. Ohne CE-Zeichen kein Marktzugang — das gilt auch für kleine Hersteller.

Was sich ändert

Die Cyber Resilience Act Verordnung (EU) 2024/2847 ist am 9. Dezember 2024 in Kraft getreten. Ab 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen binnen 24 Stunden an die EU-Cybersicherheitsbehörde ENISA melden. Ab 11. Dezember 2027 gilt die Verordnung in voller Breite.

Das heißt konkret: Jedes vernetzte Produkt braucht eine Risikoanalyse während der Entwicklung, muss nach Security-by-Design-Prinzipien gebaut werden, Schwachstellen müssen koordiniert offengelegt und gepatcht werden, Sicherheitsupdates müssen über die gesamte Produktlebensdauer bereitgestellt werden — und all das muss dokumentiert sein.

Die CE-Kennzeichnung darf erst angebracht werden, wenn die Konformität nachgewiesen ist.

Was das für dich heißt

Wenn du Produkte mit digitalen Elementen entwickelst, vertreibst oder importierst, musst du jetzt schon handeln. Die Fristen laufen.

Und das kostet: Zeit, Ressourcen, oft externe Berater. Für Kleinhersteller ohne eigene IT-Sicherheitsabteilung eine erhebliche Belastung.

Fair gesagt

Das Ziel der Verordnung ist richtig: Unsichere vernetzte Produkte sind ein Einfallstor für Cyberangriffe. Hersteller sollten Verantwortung für die Sicherheit ihrer Produkte übernehmen, gerade wenn diese ins Netz gehen.

Und die Verordnung räumt immerhin einen Zeitpuffer ein: 18 Monate von jetzt bis zum Stichtag für die Hauptpflichten, fast drei Jahre seit Inkrafttreten im Dezember 2024.

Der eigentliche Haken

Das Problem ist nicht das Ziel, sondern der Aufwand. Jedes Produkt einzeln durchleuchten, Risiken dokumentieren, Schwachstellen-Management aufbauen, Update-Infrastruktur bereitstellen — das bindet Kapazitäten, die kleine Hersteller oft nicht haben.

Dazu kommt die Meldepflicht: Binnen 24 Stunden muss eine aktiv ausgenutzte Schwachstelle an ENISA gemeldet werden. Das setzt voraus, dass du überhaupt weißt, dass dein Produkt betroffen ist — also Monitoring, Incident Response, permanente Wachsamkeit.

Und die Sanktionen sind deutlich: Verstöße gegen die wesentlichen Cybersicherheitsanforderungen können mit bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, was höher ist.

Wer das nicht stemmen kann, dem bleibt nur: Produkt vom Markt nehmen oder auslagern. Beides trifft den Umsatz.

Fazit

Der Cyber Resilience Act ist keine Empfehlung, sondern EU-Recht ab 2027. Wer digitale Produkte verkauft, muss jetzt anfangen — sonst wird es eng.

Nächster Schritt: Prüfe, ob deine Produkte betroffen sind. Bau dir einen Zeitplan. Hol dir externe Unterstützung, wenn du das intern nicht abdecken kannst. Und: Dokumentiere alles von Anfang an.

Für Unternehmer: Weiterführende Grundlagen

Der CRA gilt für jeden, der digitale Produkte mit Netzwerkverbindung entwickelt oder vertreibt — unabhängig von der Betriebsgröße, ohne KMU-Ausnahme. Wer ein Startup gründet mit vernetzter Software oder Hardware, muss den CRA von Anfang an einplanen. Auch wer eine Firma gründet und digitale Produkte anbietet, kommt nicht daran vorbei. Und selbst wer als Einzelunternehmer Hardware oder Software mit Netzwerkverbindung entwickelt: Die CE-Pflicht trifft auch kleine Hersteller.

Häufige Fragen

Welche Produkte sind vom Cyber Resilience Act betroffen?+
Alle Produkte mit digitalen Elementen, die eine Netzwerkverbindung haben oder verarbeiten können — Smart-Home-Geräte, IoT-Sensoren, vernetzte Maschinen, Netzwerk-Hardware, IP-Kameras, intelligente Türschlösser, Babyphone, Wearables, Smart-TVs, vernetzte Heizungssteuerungen, Router, Firewalls u.v.m. Ausnahmen: Open-Source ohne Gewinnabsicht, Medizinprodukte, Fahrzeuge, Luftfahrzeuge.
Wann gilt die CE-Kennzeichnungspflicht?+
Ab dem 11. Dezember 2027 dürfen nur noch Produkte in Verkehr gebracht werden, die die CRA-Anforderungen erfüllen und die CE-Kennzeichnung für Cybersicherheit tragen. Berichtspflichten für aktiv ausgenutzte Schwachstellen gelten bereits ab 11. September 2026.
Welche Pflichten haben Hersteller konkret?+
Security by Design in der Entwicklung, Risikoanalyse während Planung und Produktion, koordinierte Offenlegung und Patching von Schwachstellen, Bereitstellung von Sicherheitsupdates über die gesamte Produktlebensdauer, technische Dokumentation zum Nachweis der Konformität, automatische Update-Funktionen für Consumer-Produkte.
Wie hoch sind die Strafen bei Verstößen gegen den CRA?+
Verstöße gegen die wesentlichen Cybersicherheitsanforderungen können mit bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, was höher ist. Weitere Verstöße: bis zu 10 Mio. € bzw. 5 Mio. € je nach Schwere.
Gibt es Ausnahmen für kleine Hersteller?+
Nein, es gibt keine generelle KMU-Ausnahme. Auch kleine Hersteller müssen die CRA-Anforderungen erfüllen, wenn sie Produkte mit digitalen Elementen in der EU verkaufen wollen.

Du willst wissen, was das für deinen Betrieb bedeutet?

In der Macher-Session sprechen wir über genau solche Themen — konkret, ohne Theorie-Kurs.

Melde dich für die Macher-Session an
Quellen

Hinweis: Allgemeine Einordnung, keine Rechtsberatung im Einzelfall. Stand: 12. Juni 2026.

Über den Autor

Joe Martin baut seit über 45 Jahren Unternehmen — als Gründer, als Verkäufer eigener Firmen und als Berater für Startups und Banken. Er ist Autor von vier Büchern und entwickelt heute KI-Software. In der offenen Macher-Session beantwortet er reale Unternehmer-Fragen — kein Theorie-Kurs. Mehr über Joe Martin →

← Zurück zum Blog