Gilt der CRA für mein Produkt? / iOS-App
Gilt der Cyber Resilience Act für iOS-Apps?
Ja. Mobile Apps werden von der EU-Kommission ausdrücklich als Produkte mit digitalen Elementen genannt. Wenn Ihre iOS-App im App Store für Nutzer in der EU verfügbar ist und im Rahmen einer Geschäftstätigkeit vertrieben wird — kostenpflichtig, Freemium, werbefinanziert oder als Begleit-App eines bezahlten Dienstes —, sind Sie „Hersteller“ im Sinne der Verordnung (EU) 2024/2847.
Was das konkret für Sie bedeutet
- ▸Apples App-Review schützt Sie nicht: Die CRA-Pflichten liegen beim App-Entwickler (Hersteller), nicht beim Vertreiber. Apple wird als Händler zunehmend Compliance-Nachweise von Ihnen verlangen — nicht umgekehrt.
- ▸Ihre SBOM muss SwiftPM-/CocoaPods-Abhängigkeiten und eingebettete Frameworks abdecken — mindestens die Top-Level-Abhängigkeiten, maschinenlesbar in CycloneDX oder SPDX.
- ▸TestFlight-Betas für EU-Tester können bereits als Bereitstellung auf dem Markt gelten: Compliance beginnt mit dem ersten EU-Vertrieb, nicht mit Version 1.0.
- ▸Der erwartete Unterstützungszeitraum (in der Regel mindestens 5 Jahre) gilt pro Produkt, nicht pro Version — definieren Sie eine EOL-Politik für alte App-Versionen.
Die Falle, in die die meisten Teams laufen
Die Annahme, „Apple kümmert sich um Sicherheit“. CE-Kennzeichnung, technische Dokumentation, EU-Konformitätserklärung und ENISA-Meldepflichten liegen allein bei Ihnen.
Die Fristen
2026-09-11
Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.
2027-12-11
Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.
Wo steht Ihr Produkt konkret?
Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.
Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:
Weitere Produkttypen
Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.