Gilt der CRA für mein Produkt? / Firmware / Embedded
CRA-Compliance für Firmware und Embedded-Software
Kommerziell gelieferte Firmware — ob im eigenen Gerät oder an OEMs lizenziert — ist Software mit digitalen Elementen. Als Zulieferer sind Sie Komponenten-Hersteller: die CRA-Compliance Ihrer Kunden hängt an Ihrer, und deren Einkaufsabteilungen wissen das inzwischen.
Was das konkret für Sie bedeutet
- ▸OEM-Kunden werden vertraglich verlangen: CycloneDX-/SPDX-SBOMs pro Release, CVE-Monitoring, VEX-Statements und zugesicherte Fix-SLAs — der CRA fließt über Verträge die Lieferkette hinunter.
- ▸Yocto-/Buildroot-Images: nutzen Sie die native SBOM-Generierung der Build-Systeme; handgepflegte Komponentenlisten überleben keine Prüfung.
- ▸Manipulationssichere Mikrocontroller/Mikroprozessoren und Sicherheitschips sind Anhang III Klasse II bzw. Anhang IV — nicht ungeprüft von der Standardklasse ausgehen.
- ▸Koordinieren Sie Offenlegungen mit Ihren OEMs: Ihre CVD-Richtlinie muss den Fall „ein Fund, vierzig betroffene Produkte“ beherrschen.
Die Falle, in die die meisten Teams laufen
Binär-Blobs von Silizium-Herstellern, die Sie weiterverteilen, aber nicht patchen können. Kartieren, Support-Zusagen einholen, Restrisiko dokumentieren.
Die Fristen
2026-09-11
Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.
2027-12-11
Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.
Wo steht Ihr Produkt konkret?
Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.
Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:
Weitere Produkttypen
Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.