Gilt der CRA für mein Produkt? / SaaS / Webanwendung
Gilt der Cyber Resilience Act für SaaS?
Überwiegend nein — mit zwei gefährlichen Ausnahmen. Reine Cloud-Dienste ohne installierbare Komponente fallen unter NIS-2, nicht unter den CRA. Aber: Sobald Sie irgendetwas Installierbares ausliefern, ist diese Komponente ein Produkt mit digitalen Elementen. Und „Fernverarbeitungslösungen“, die für ein Produkt integral sind, werden gemeinsam mit dem Produkt bewertet.
Was das konkret für Sie bedeutet
- ▸In den Anwendungsbereich rutschen Sie mit: Desktop-Client, Mobile-App, CLI-Werkzeug, On-Prem-/Self-Hosted-Variante, Browser-Erweiterung oder lokalem Agenten. Jedes Artefakt ist ein eigenes Produkt mit vollem Pflichtenprogramm.
- ▸Verkaufen Sie ein Gerät oder eine App, deren Funktion von Ihrem Cloud-Backend abhängt, wird das Backend als Fernverarbeitungslösung mitbewertet.
- ▸Self-Hosted-Enterprise-Deployments Ihrer „SaaS“ sind schlicht gelieferte Software — im Anwendungsbereich.
- ▸Auch bei reinem SaaS: Ihre Geschäftskunden unter CRA-/NIS-2-Druck reichen SBOM- und Offenlegungspflichten vertraglich an Sie weiter.
Die Falle, in die die meisten Teams laufen
Der „kleine Hilfs-Agent“ oder das CLI, mit dem Sie unbemerkt ein reguliertes Produkt auf den EU-Markt bringen — während Ihre Compliance-Story noch „wir sind SaaS, ausgenommen“ lautet.
Die Fristen
2026-09-11
Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.
2027-12-11
Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.
Wo steht Ihr Produkt konkret?
Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.
Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:
Weitere Produkttypen
Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.