Gilt der CRA für mein Produkt? / IoT- / vernetztes Gerät
CRA-Compliance für IoT und vernetzte Hardware
Vernetzte Hardware ist das ursprüngliche Ziel des CRA. Jedes in der EU verkaufte Gerät mit digitalen Elementen fällt in den Anwendungsbereich — und Hardware trägt die schwerste Last: Firmware-SBOMs, sicherer Bootprozess, Update-Infrastruktur und für manche Kategorien die Konformitätsbewertung durch eine Benannte Stelle.
Was das konkret für Sie bedeutet
- ▸Prüfen Sie Anhang III/IV genau: Smart-Home-Produkte mit Sicherheitsfunktion (Schlösser, Kameras, Babyphone, Alarmanlagen), Router/Modems, Sicherheitschips und Smart-Meter-Gateways landen in höheren Klassen — mit Benannter Stelle.
- ▸Firmware-SBOMs (Embedded-Linux-Schichten, RTOS-Komponenten, einkopierte C-Bibliotheken) sind deutlich aufwendiger als App-SBOMs — planen Sie echte Ingenieurszeit ein, keine Checkbox.
- ▸Sie brauchen OTA-Updates mit Integritätsschutz über die realistische Lebensdauer des Geräts; nicht patchbare Geräte sind unter dem CRA kaum noch verkäuflich.
- ▸Standardpasswörter sind faktisch verboten (Security by Default) — Zugangsdaten pro Gerät oder erzwungene Ersteinrichtung.
Die Falle, in die die meisten Teams laufen
Die Ökonomie des Unterstützungszeitraums: Hardware-Margen preisen selten 5+ Jahre Sicherheits-Engineering ein. Jetzt einpreisen — oder die Pflicht frisst später die Marge.
Die Fristen
2026-09-11
Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.
2027-12-11
Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.
Wo steht Ihr Produkt konkret?
Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.
Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:
Weitere Produkttypen
Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.