Der Cyber Resilience Act ist seit Ende 2024 in Kraft. Viele kleine Softwarehäuser halten ihn für ein Thema großer Gerätehersteller. Das ist ein Irrtum. Wer Software mit vernetzten Funktionen in der EU verkauft, fällt darunter. Eine Ausnahme für kleine Firmen gibt es nicht. Was zählt, sind zwei Fristen und vier Dinge, die du vorbereiten musst.
Wen der CRA trifft
Der CRA regelt Produkte mit digitalen Elementen. Gemeint ist Software und Hardware mit einer direkten oder indirekten Datenverbindung. Eine Web-App, ein SaaS-Backend mit ausgelieferter Komponente, ein Plugin, eine Desktop-Anwendung mit Update-Funktion: alles potenziell betroffen. Maßgeblich ist nicht deine Unternehmensgröße, sondern ob du ein digitales Produkt auf den EU-Markt bringst. Reine Cloud-Dienste ohne ausgeliefertes Produkt fallen teils unter andere Regelwerke, die Grenze ist im Einzelfall zu prüfen.
Die zwei Fristen, die zählen
Ab dem 11. September 2026 gilt die Meldepflicht. Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle musst du innerhalb von 24 Stunden als Frühwarnung melden, innerhalb von 72 Stunden folgt die genauere Meldung. Die Meldung läuft über eine zentrale Plattform, angebunden an die nationalen CSIRTs und die EU-Agentur ENISA.
Ab dem 11. Dezember 2027 gelten dann die vollständigen Herstellerpflichten. Dazu gehört die CE-Kennzeichnung für Cybersicherheit, eine vollständige technische Dokumentation und ein nachweisbares Konformitätsverfahren. Ohne diese Nachweise darfst du das Produkt formal nicht mehr in den Verkehr bringen.
Was das praktisch heißt
Hinter den Fristen stehen vier Fähigkeiten, die in deinem Betrieb funktionieren müssen. Du musst wissen, was in deiner Software steckt, also welche Abhängigkeiten und Fremdkomponenten du ausgelieferst. Du brauchst einen Prozess, der eine ausgenutzte Schwachstelle erkennt und innerhalb von 24 Stunden meldefähig macht. Du musst über die Produktlebensdauer Sicherheitsupdates liefern können. Und du musst das alles dokumentieren, sodass es im Zweifel vor einer Prüfung trägt.
Wo kleine Häuser typisch hängen
Die Lücken sind selten beim guten Willen, sondern bei der Substanz. Oft fehlt eine aktuelle Übersicht der eingesetzten Abhängigkeiten, also eine Software-Stückliste. Häufig gibt es keinen definierten Ablauf, wer eine gemeldete Schwachstelle bewertet und wer innerhalb der Frist meldet. Manchmal lässt sich nach Auslieferung gar kein Update mehr nachziehen, weil der Mechanismus dafür nie gebaut wurde. Und die Dokumentation existiert nur in Köpfen, nicht auf Papier.
Keine dieser Lücken ist in einer Woche entstanden, und keine schließt sich von selbst bis September 2026. Der Aufwand ist beherrschbar, wenn man früh anfängt, und unangenehm, wenn man wartet.
Womit du jetzt anfängst
Fang bei dem an, was du wirklich auslieferst. Verschaff dir eine ehrliche Übersicht: Was steckt im Produkt, wo liegen Zugangsdaten und Schlüssel, und wie würdest du heute eine Schwachstelle innerhalb von 24 Stunden melden. Diese drei Fragen zeigen schnell, wo der Stand wirklich ist. Das ist keine Panik-Übung, sondern eine nüchterne Bestandsaufnahme. Erst danach lohnt sich die Frage, welche Prozesse und Nachweise bis 2027 stehen müssen.
Du willst wissen, wo deine Pipeline und deine Auslieferung beim CRA wirklich stehen? Der GitSecOps QuickCheck liefert in 3 Werktagen eine klare Bestandsaufnahme: Abhängigkeiten, Secrets, Update- und Meldefähigkeit. 1.990 € netto. Kontakt: mm@crank.zone.
Dein Blog zum Thema digitales Business 
Hinterlasse einen Kommentar