Dieses Dokument befindet sich in aktiver Entwicklung und ist noch nicht finalisiert.
CRA Compliance

Deutsch

English
简体中文

Deutsch

English
简体中文

Erscheinungsbild

1.3 Fristen & Deadlines

CRA-Zeitplan

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und trat am 10. Dezember 2024 in Kraft.

Kritische Fristen

DatumAnforderungStatus
10.12.2024Inkrafttreten des CRAErfolgt
11.06.2026Konformitätsbewertungsstellen müssen benannt seinVorbereitung
11.09.2026Meldepflichten greifen – Art. 14 CRA (aktiv ausgenutzte Schwachstellen, schwere Vorfälle)HANDLUNGSBEDARF
11.12.2027Vollständige Anwendbarkeit – alle Anforderungen inkl. Konformitätsbewertung, CE-Kennzeichnung, technische DokumentationHANDLUNGSBEDARF

MELDEPFLICHT AB 11.09.2026

Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA / die zuständige nationale Behörde gemeldet werden. Der Incident-Response-Prozess muss zu diesem Zeitpunkt vollständig operativ sein.

Detaillierter Zeitplan

Phase 1: Vorbereitung (bis 11.06.2026)

  • Produktkatalog erstellen und CRA-Klassifizierung durchführen
  • SBOM-Prozesse etablieren und validieren
  • Incident-Response-Playbook erstellen und testen
  • ENISA-Meldevorlagen vorbereiten
  • CVE-Monitoring-Workflows implementieren

Phase 2: Meldepflichten (ab 11.09.2026)

  • Meldeprozesse müssen operativ sein
  • ENISA Single Reporting Platform (SRP) nutzen
  • 24h-Frühwarnung bei aktiv ausgenutzten Schwachstellen
  • 72h-Meldung mit Detailbewertung
  • 14d-Abschlussbericht

Phase 3: Vollständige Konformität (ab 11.12.2027)

  • Technische Dokumentation gemäß Annex VII vollständig
  • EU-Konformitätserklärung (Annex V) je Produkt
  • CE-Kennzeichnung
  • Konformitätsbewertung durchgeführt
  • Support-Zeitraum deklariert und veröffentlicht
  • SBOM verfügbar für jedes ausgelieferte Produkt
  • Nutzerinformationen gemäß Annex II bereitgestellt

NIS2-Zeitplan

DatumAnforderung
17.10.2024NIS2-Umsetzungsfrist für Mitgliedstaaten
FortlaufendMeldepflichten gem. Art. 23 NIS2 bei erheblichen Sicherheitsvorfällen

Interner Umsetzungszeitplan

QuartalMaßnahmen
Q1 2026Compliance-Dokumentation aufbauen, SBOM-Prozesse validieren
Q2 2026Incident-Response-Playbook testen, ENISA-Meldevorlagen finalisieren
Q3 2026Meldepflichten operativ (Deadline: 11.09.2026)
Q4 2026Technische Dokumentation je Produkt beginnen
Q1-Q2 2027Konformitätsbewertung vorbereiten, EU DoC erstellen
Q3 2027Testlauf Konformitätsbewertung, CE-Kennzeichnung vorbereiten
Q4 2027Vollständige Konformität (Deadline: 11.12.2027)

Dokumentation lizenziert unter CC BY-NC 4.0 · Code lizenziert unter MIT

© 2026 BAUER GROUP. Kommerzielle Nutzung der Dokumentation nicht gestattet.

Dokumentation lizenziert unter CC BY-NC 4.0 · Code lizenziert unter MIT

© 2026 BAUER GROUP. Kommerzielle Nutzung der Dokumentation nicht gestattet.