CRAdarCheck

Gilt der CRA für mein Produkt? / SaaS / Webanwendung

Gilt der Cyber Resilience Act für SaaS?

Kommt darauf an — weiterlesenEnglish version →

Überwiegend nein — mit zwei gefährlichen Ausnahmen. Reine Cloud-Dienste ohne installierbare Komponente fallen unter NIS-2, nicht unter den CRA. Aber: Sobald Sie irgendetwas Installierbares ausliefern, ist diese Komponente ein Produkt mit digitalen Elementen. Und „Fernverarbeitungslösungen“, die für ein Produkt integral sind, werden gemeinsam mit dem Produkt bewertet.

Was das konkret für Sie bedeutet

Die Falle, in die die meisten Teams laufen

Der „kleine Hilfs-Agent“ oder das CLI, mit dem Sie unbemerkt ein reguliertes Produkt auf den EU-Markt bringen — während Ihre Compliance-Story noch „wir sind SaaS, ausgenommen“ lautet.

Die Fristen

2026-09-11

Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.

2027-12-11

Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.

Wo steht Ihr Produkt konkret?

Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.

Kostenlosen Risk Check starten →Keine Anmeldung · Ergebnis sofort

Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:

Weitere Produkttypen

Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.