CRAdarCheck

Gilt der CRA für mein Produkt? / Open-Source-Bibliothek

Open Source und der CRA: Wann Maintainer ausgenommen sind

Kommt darauf an — weiterlesenEnglish version →

FOSS, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt wird, ist ausgenommen — der finale Verordnungstext schützt Hobby- und Community-Maintainer ausdrücklich. Die Grenze ist verhaltensbezogen, nicht lizenzbezogen: Wer die Bereitstellung monetarisiert, kann in den Anwendungsbereich wechseln.

Was das konkret für Sie bedeutet

Die Falle, in die die meisten Teams laufen

Die Ausnahme für dauerhaft halten. Am Tag, an dem „Pro“-Features oder bezahltes Cloud-Hosting starten, beginnt Ihre Compliance-Uhr — SBOMs und Offenlegungsprozesse nachzurüsten ist deutlich schmerzhafter, als sie druckfrei jetzt aufzubauen.

Die Fristen

2026-09-11

Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.

2027-12-11

Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.

Wo steht Ihr Produkt konkret?

Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.

Kostenlosen Risk Check starten →Keine Anmeldung · Ergebnis sofort

Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:

Weitere Produkttypen

Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.