Cyber Resilience Act
Gilt der Cyber Resilience Act für Bestandsprodukte?
11.12.2027 · Vollanwendung für neu in Verkehr gebrachte Produkte
Kurzantwort
Die kurze Antwort: teilweise — und genau das wird oft falsch eingeschätzt. Die vollständigen CRA-Produktpflichten gelten nur für Produkte, die ab dem 11. Dezember 2027 in Verkehr gebracht werden. Zwei Ausnahmen holen Bestandsprodukte trotzdem ein: Die Meldepflichten nach Artikel 14 greifen ab dem 11. September 2026 auch für Altprodukte, und eine wesentliche Veränderung eines Bestandsprodukts macht es rechtlich zu einem neuen Produkt — mit allen CRA-Pflichten.
Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · Cyber Resilience Act
Direkt weiter zum passenden Thema
Passende Folgeberechnungen für diese Parameter-Kombination.
Welches Datum zählt — Verkauf, Herstellung oder Inverkehrbringen?
Maßgeblich ist das Inverkehrbringen: die erstmalige Bereitstellung des einzelnen Produkts auf dem EU-Markt. Ein Gerät, das vor dem 11. Dezember 2027 in Verkehr gebracht wurde, muss die CRA-Produktanforderungen nicht nachträglich erfüllen — es darf weiterverkauft und betrieben werden. Für jedes Exemplar, das ab dem Stichtag erstmals in Verkehr geht, gelten die Anforderungen dagegen vollständig — auch wenn die Produktlinie seit Jahren unverändert läuft. Serienprodukte brauchen deshalb eine klare Antwort auf die Frage: Bringen wir dieses Modell nach dem Stichtag noch in Verkehr?
Wann macht eine Änderung mein Altprodukt zum neuen Produkt?
Der Hebel heißt „wesentliche Veränderung“: Wird ein bereits vermarktetes Produkt so verändert, dass seine Konformität berührt wird oder sich die Zweckbestimmung ändert, gilt es als neu in Verkehr gebracht — mit allen CRA-Pflichten. Ein reines Sicherheitsupdate, das Lücken schließt und die Zweckbestimmung unangetastet lässt, ist ausdrücklich keine wesentliche Veränderung. Ein Major-Release mit neuen Funktionen, neuer Konnektivität oder geänderter Sicherheitsarchitektur kann dagegen sehr wohl eine sein.
Für die Produktplanung lohnt deshalb eine einfache Regel: Sicherheits- und Bugfix-Updates für das Bestandssortiment einplanen und dokumentieren; Funktions-Releases ab 2027 dagegen bewusst als CRA-konforme Neueinführung behandeln — inklusive Dokumentation und gegebenenfalls neuer Konformitätsbewertung.
Warum gilt die Meldepflicht trotzdem schon für mein Altprodukt?
Artikel 14 knüpft nicht an das Inverkehrbringens-Datum des Produkts an, sondern an das Ereignis: Wird eine Schwachstelle in einem Produkt aktiv ausgenutzt oder trifft den Hersteller ein schwerwiegender Sicherheitsvorfall, ist ab dem 11. September 2026 zu melden — unabhängig davon, wann das betroffene Produkt auf den Markt kam. Das Bestandssortiment braucht daher ab September 2026 mindestens einen funktionierenden Melde- und Bewertungsprozess, auch wenn die übrigen CRA-Pflichten dafür nie gelten werden.
Welche CRA-Pflichten treffen welches Produkt ab wann?
| Situation | Meldepflichten (ab 11.09.2026) | Volle Produktpflichten (ab 11.12.2027) |
|---|---|---|
| Produkt vor 11.12.2027 in Verkehr gebracht, danach unverändert | Ja — bei aktiv ausgenutzter Schwachstelle oder schwerem Vorfall | Nein — keine nachträgliche Umrüstpflicht |
| Bestandsprodukt, ab 11.12.2027 wesentlich verändert (Funktion/Zweck/Sicherheitsarchitektur) | Ja | Ja — gilt als neues Inverkehrbringen mit allen Pflichten |
| Bestandsprodukt, nur Sicherheitsupdates ohne Änderung der Zweckbestimmung | Ja | Nein — Sicherheitsupdate ist keine wesentliche Veränderung |
| Neues Produkt bzw. weiteres Serien-Exemplar, ab 11.12.2027 in Verkehr gebracht | Ja | Ja — vollständig (Doku, SBOM, Updates, CE unter CRA) |
Anknüpfungspunkt ist das Inverkehrbringen des einzelnen Exemplars; „wesentliche Veränderung“ nach den Leitlinien zum EU-Produktrecht.
Häufige Fragen
Fachliche Details zu dieser Parameter-Kombination
Darf ich mein Lager nach dem 11.12.2027 noch abverkaufen?
Muss ich für Altprodukte rückwirkend eine SBOM erstellen?
Zählt ein Firmware-Update als neues Inverkehrbringen?
Quellen und Rechtstexte
- Verordnung (EU) 2024/2847 (CRA) — EUR-Lex, Volltext
- BSI — Cyber Resilience Act (Fristen und Pflichten)
- BGHM — FAQ zum Cyber Resilience Act
EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.
Verwandte Berechnungen
Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.
Alle Rechner
Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.