ZUSAMMENFASSEND
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist das Gesetz der Europäischen Union, das eine Software Bill of Materials verpflichtend macht.
Wenn Sie ein Produkt mit digitalen Elementen in der EU verkaufen, müssen Sie eine maschinenlesbare SBOM erstellen, aktuell halten und immer dann vorlegen, wenn eine Marktüberwachungsbehörde danach fragt.
Zwei Daten sind entscheidend. Die Meldung von Schwachstellen beginnt am 11. September 2026, und die übrigen Pflichten, einschließlich der SBOM, gelten ab dem 11. Dezember 2027. Das Gesetz verlangt nur Ihre Top-Level-Abhängigkeiten. Doch genau das ist die Lücke, durch die Log4Shell durchgerutscht ist.
Was ist der Cyber Resilience Act?
Der EU Cyber Resilience Act (CRA) ist die erste horizontale EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Hardware- und Softwareprodukte mit digitalen Elementen vorschreibt. Er verlangt Secure-by-Design-Prinzipien, den Umgang mit Schwachstellen und Transparenz über den gesamten Lebenszyklus für jedes Produkt, das auf dem EU-Markt verkauft wird – unabhängig davon, wo der Hersteller ansässig ist.
EURO 15 Mio.
24 Stunden
10 Jahre
90%
CRA-Compliance-Zeitplan

Wen betrifft das CRA?
Hersteller
Jede Partei, die Produkte mit digitalen Elementen unter eigenem Namen oder eigener Marke entwickelt, herstellt oder entwickeln lässt.
Importeure
In der EU ansässige Unternehmen, die ein Produkt mit digitalen Elementen unter dem Namen eines Herstellers aus einem Drittland auf dem EU-Markt in Verkehr bringen.
Händler
Jede Partei in der Lieferkette — außer dem Hersteller oder Importeur — die ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt.
Produktklassifizierung gemäß CRA
Standard (~90%)
Wichtig, Klasse I
Wichtig, Klasse II
Kritisch
SBOM-Anforderungen im Rahmen des CRA
Der Cyber Resilience Act schreibt eine umfassende Dokumentation der Software Bill of Materials vor. Die Verpflichtung ergibt sich aus Artikel 13 Absatz 1 Buchstabe h in Verbindung mit Anhang I Teil II Nummer 1 der Verordnung (EU) 2024/2847.
Hier sind die wichtigsten Anforderungen, die Sie erfüllen müssen:
Meldepflichten bei Schwachstellen
Das CRA führt strenge Fristen für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an die ENISA und Ihr CSIRT ein.
24 Std.
Frühwarnmeldung
72 Std.
Vollständige Schwachstellenmeldung
14 Tage
Abschlussbericht nach Behebung
1 Monat
Meldung schwerwiegender Vorfälle
NEU • KOSTENLOSE RESSOURCE
Finden Sie mit unserer kostenlosen Bewertungsrubrik die Plattform, die zu Ihnen passt.

Eine Demo und ein Vertriebsgespräch sagen Ihnen nicht, ob eine SBOM-Plattform den Anforderungen der CRA standhält. Deshalb haben wir diese Rubrik entwickelt. Sie bietet eine herstellerneutrale Möglichkeit, jede Plattform zu prüfen, auch Ihre eigene, und zwar an dem, was die CRA und die BSI TR-03183-2 verlangen. Es gibt 66 Prüfpunkte in sieben Bereichen, jeder mit einer konkreten Anforderung aus der CRA oder dem BSI verknüpft, und der Übersichtsreiter übernimmt die Berechnung. Am Ende sehen Sie, wo jedes Tool stark ist und wo es Schwächen hat. Kritische Punkte werden markiert, damit kein K.-o.-Kriterium übersehen wird.
Generierung
Inhalt & Qualität
Lebenszyklus
Schwachstellen & VEX
Format
Integration
Über die CRA hinaus
Rubrik anfordern
Sagen Sie uns, wohin wir sie senden sollen, und wir schicken sie Ihnen per E-Mail.
Wie Interlynk hilft?
Wir bilden jede CRA-Anforderung auf eine konkrete Plattformfunktion ab — damit Sie Compliance nachweisen können, nicht nur behaupten.
Häufig gestellte Fragen
Was ist der EU Cyber Resilience Act?
Der CRA ist eine EU-Verordnung, die verpflichtende Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, die in der Europäischen Union verkauft werden. Er umfasst Hardware und Software und verlangt Secure-by-Design-Entwicklung, den Umgang mit Schwachstellen und fortlaufende Sicherheitsupdates über den gesamten Produktlebenszyklus.
Wann tritt der CRA in Kraft?
Ist SaaS vom CRA erfasst?
Welches SBOM-Format verlangt der CRA?
Ist Open-Source-Software vom CRA ausgenommen?
Wie hoch sind die Strafen bei Nichteinhaltung des CRA?
Wie unterscheidet sich der CRA von NIS2?
Müssen US-Unternehmen den CRA einhalten?
Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen
Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quantum-Zeitalter vor — alles auf einer vertrauenswürdigen Plattform.