Gilt der CRA für mein Produkt? / Android-App
Gilt der Cyber Resilience Act für Android-Apps?
Ja. Eine Android-App, die EU-Nutzer über Google Play, F-Droid, Sideloading oder direkten APK-Download erreicht, ist ein Produkt mit digitalen Elementen. „Geschäftstätigkeit“ wird weit ausgelegt: Werbung, In-App-Käufe, Datenmonetarisierung oder die Bündelung mit einem bezahlten Dienst genügen.
Was das konkret für Sie bedeutet
- ▸Gradle-Abhängigkeiten, native Bibliotheken (.so) und eingebettete Dritt-SDKs (Analytics, Werbung, Crash-Reporting) gehören in die SBOM — Werbe-SDKs sind genau dort, wo Prüfer Schwachstellen erwarten.
- ▸Wer außerhalb von Google Play vertreibt (APK auf der eigenen Website), trägt auch die Pflichten des sicheren Vertriebskanals: signierte Updates, Integrität des Downloads.
- ▸Google-Play-Richtlinien (Target-API-Level, Data-Safety-Formular) haben mit den grundlegenden Anforderungen des CRA nichts zu tun und erfüllen sie nicht.
- ▸Standardklasse: Selbstbewertung und selbst ausgestellte CE-Kennzeichnung sind zulässig — keine Benannte Stelle nötig.
Die Falle, in die die meisten Teams laufen
Eingebettete Dritt-SDKs in der SBOM vergessen. Ein veraltetes Werbe-SDK mit bekannter CVE ist exakt das, was Anhang I Teil II „unverzüglich“ zu beheben verlangt.
Die Fristen
2026-09-11
Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.
2027-12-11
Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.
Wo steht Ihr Produkt konkret?
Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.
Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:
Weitere Produkttypen
Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.