SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
CRACyber Resilience ActEU-ComplianceProduktsicherheit

Cyber Resilience Act: Pflichten für vernetzte Produkte im Shop

24. Juni 2026 · Max Benz

Der Cyber Resilience Act trifft Online-Shops ab Dezember 2027 verbindlich. Er regelt, welche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen gelten und wer dafür haftet. Für die meisten Shopify-Händler gilt die leichteste Stufe: Du bist Distributor und hast deutlich weniger Pflichten als ein Hersteller. Wer aber Produkte unter eigener Marke verkauft oder eigene Software entwickelt, gilt als Hersteller und trägt die volle Last. Dieser Leitfaden erklärt, was konkret auf deinen Shop zukommt.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist die EU-Verordnung 2024/2847. Sie wurde am 20. November 2024 im EU-Amtsblatt veröffentlicht und trat am 10. Dezember 2024 in Kraft. Ihr Ziel: einheitliche Cybersicherheitsstandards für alle vernetzten Produkte, die in der EU verkauft werden. Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten. Kein nationales Umsetzungsgesetz ist erforderlich.

Der CRA ist die erste EU-weite Regelung, die Mindestanforderungen an die Cybersicherheit von Produkten festschreibt. Sie gilt für Hersteller, Importeure und Händler gleichermaßen, wenn auch in unterschiedlichem Umfang.

Welche CRA-Produkte betreffen Online-Händler?

Der CRA greift bei “Produkten mit digitalen Elementen”. Das sind Geräte oder Software, die Daten verarbeiten, speichern oder übertragen und dabei eine direkte oder indirekte Verbindung zu anderen Geräten oder Netzwerken haben.

Typische Produkte im Online-Handel, die darunter fallen:

Hardware: Smart-Home-Geräte wie smarte Steckdosen, Türschlösser und Kameras, vernetzte Spielzeuge, Router und WLAN-Repeater, IoT-Sensoren und GPS-Tracker, Smartwatches und Fitnesstracker.

Software: Apps und mobile Anwendungen, Passwort-Manager, Computerspiele mit Netzwerkfunktion, Buchhaltungssoftware, Antivirenprogramme.

Nicht unter den CRA fallen: Medizinprodukte (eigene EU-Verordnung), Fahrzeuge, Luftfahrzeuge, Schiffsausrüstung sowie Produkte für die nationale Sicherheit. Nicht-kommerzielle Open-Source-Software ohne Gewinnabsicht ist ebenfalls ausgenommen.

Verkaufst du ausschließlich physische Waren ohne digitale Komponenten, bist du nicht direkt betroffen.

Deine Rolle: Hersteller, Importeur oder Händler?

Der CRA unterscheidet drei Akteurstypen mit unterschiedlich umfangreichen Pflichten. Welcher Typ du bist, hängt davon ab, was du mit dem Produkt machst. Die folgende Übersicht zeigt, welche Rolle mit welchem Pflichtenniveau verbunden ist.

CRA-Akteurstypen: Händler, Importeur und Hersteller mit gestaffelten Pflichten

Händler

Du bist Händler, wenn du fertige Produkte anderer Marken weiterverkaufst, ohne sie zu verändern. Das gilt auch für Dropshipping-Shops, bei denen das Produkt direkt vom Lieferanten mit dessen Markenidentität verschickt wird. Händler tragen die leichtesten Pflichten unter dem CRA.

Importeur

Du bist Importeur, wenn du Produkte aus Ländern außerhalb der EU kaufst und sie selbst in den EU-Markt bringst. Hier steigen die Pflichten deutlich, weil du die Konformität des Produkts sicherstellen musst.

Hersteller

Du bist Hersteller, wenn du Produkte unter deiner eigenen Marke oder deinem eigenen Namen verkaufst. Private-Label-Verkäufer gelten damit als Hersteller und tragen alle zugehörigen Pflichten, unabhängig davon, ob sie das Produkt selbst gefertigt haben. Das gilt auch für Entwickler eigener Apps oder Shopify-Apps.

Dieser Punkt überrascht viele Online-Händler. Wer Produkte mit eigenem Logo aus einer Fabrik bezieht und sie als Eigenmarke vertreibt, wird vom CRA als Hersteller eingestuft.

CRA-Pflichten für Händler nach Artikel 20

Artikel 20 des CRA legt fest, was Händler vor und nach dem Verkauf von Produkten mit digitalen Elementen tun müssen.

CE-Kennzeichen prüfen

Vor dem Inverkehrbringen musst du sicherstellen, dass das Produkt die CE-Kennzeichnung trägt. Ab Dezember 2027 integriert das CE-Zeichen den Nachweis der CRA-Konformität. Ohne CE-Kennzeichen darf das Produkt nicht verkauft werden.

Herstellerdokumentation verifizieren

Du musst prüfen, ob Hersteller und Importeur ihre Informationspflichten erfüllt haben und alle erforderlichen Unterlagen bereitgestellt haben. Dazu gehört die EU-Konformitätserklärung. Kannst du diese nicht einholen, ist das ein Warnsignal.

Bei erheblichem Risiko handeln

Erkennst du, dass ein Produkt ein erhebliches Cybersicherheitsrisiko darstellt, musst du sofort den Hersteller und die zuständige Marktüberwachungsbehörde informieren. Das Produkt darf erst weiter verkauft werden, wenn die Konformität nachgewiesen ist. Im Zweifel musst du es aus dem Sortiment nehmen oder zurückrufen.

Schwachstellen melden

Wirst du auf eine Sicherheitslücke in einem Produkt aufmerksam, melde sie unverzüglich dem Hersteller. Der Hersteller ist dann verantwortlich für die Behebung und das Reporting an die Behörden.

Behörden unterstützen

Fordern Marktüberwachungsbehörden Nachweise zur Konformität an, bist du zur Zusammenarbeit verpflichtet. Stellt ein Hersteller seinen Betrieb ein, musst du die Behörden informieren und, soweit möglich, die Endkunden über die betroffenen Produkte in Kenntnis setzen.

CRA-Pflichten für Importeure

Als Importeur trägst du deutlich mehr Verantwortung als ein reiner Händler. Du bringst Produkte aus Drittländern in den EU-Markt und haftest dafür, dass sie den CRA-Anforderungen entsprechen.

Deine zentralen Pflichten: Das Produkt muss die Cybersicherheitsanforderungen aus Anhang I erfüllen. Die vorgeschriebene Konformitätsbewertung muss durchgeführt worden sein. Die EU-Konformitätserklärung muss dem Produkt beiliegen. Ab September 2026 bist du zur Meldung aktiv ausgenutzter Schwachstellen und schwerer Sicherheitsvorfälle verpflichtet.

Wenn der Hersteller außerhalb der EU sitzt und seinen Pflichten nicht nachkommt, bist du als Importeur in der Verantwortung.

CRA-Pflichten für Hersteller

Wer als Hersteller eingestuft wird, trägt die umfangreichsten Pflichten. Sie erstrecken sich über die gesamte Produktentwicklung, den Vertrieb und die Nachbetreuung.

Security by Design und Security by Default

Cybersicherheit muss von Beginn an im Produkt verankert sein. Keine schwachen Standard-Passwörter ab Werk, minimale Zugriffsrechte als Standardkonfiguration, verschlüsselte Datenspeicherung und -übertragung. Sicherheitsupdates müssen automatisch installiert werden können.

Software Bill of Materials (SBOM)

Du musst eine vollständige Liste aller Softwarekomponenten und Bibliotheken erstellen, die im Produkt eingesetzt werden. Diese SBOM ist das zentrale Werkzeug für das Schwachstellenmanagement. Eine Veröffentlichung ist nicht zwingend erforderlich.

Meldepflichten ab September 2026

Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle über die zentrale ENISA-Meldeplattform gemeldet werden:

  • 24 Stunden: Erstmeldung (Early Warning) bei aktiv ausgenutzten Schwachstellen oder schweren Vorfällen
  • 72 Stunden: Ergänzende Informationen, soweit verfügbar
  • 14 Tage nach Patch: Abschlussbericht für Schwachstellen
  • 30 Tage nach Erkennung: Abschlussbericht für Vorfälle

Kostenlose Sicherheitsupdates

Für die gesamte Supportdauer musst du kostenlose Sicherheitsupdates bereitstellen. Das Minimum liegt bei 5 Jahren. Das Ende des Supportzeitraums muss klar kommuniziert werden.

CE-Kennzeichen und EU-Konformitätserklärung

Du musst eine EU-Konformitätserklärung ausstellen und das CE-Zeichen auf dem Produkt anbringen. Die Bewertungsmethode hängt von der Produktklasse ab.

Produktklassen und Konformitätsbewertung

Der CRA teilt Produkte mit digitalen Elementen in drei Klassen ein:

KlasseBeispieleKonformitätsbewertung
StandardSmarte Steckdosen, Fitnesstracker, BuchhaltungssoftwareSelbstbewertung (Modul A)
Klasse I (Wichtig)Passwort-Manager, Firewalls, NetzwerkkonfigurationstoolsSelbstbewertung mit harmonisierter Norm, sonst externe Stelle
Klasse II (Kritisch)Betriebssysteme, Hypervisoren, Industrie-SteuerungssystemeZertifizierung durch akkreditierte Stelle oder Europäisches Schema

Die große Mehrheit der im Online-Handel vertriebenen Konsumentenprodukte fällt in die Standardkategorie. Dort reicht die Selbstbewertung.

CRA-Zeitplan: Was gilt ab wann?

Die wichtigsten vier Fristen im Überblick zeigt die folgende Infografik. Für Hersteller beginnen Meldepflichten deutlich früher als die vollständige CRA-Geltung.

CRA-Zeitplan 2026 bis 2027 mit vier Meilensteinen für Online-Händler

DatumAnforderung
11. Juni 2026Konformitätsbewertungsstellen müssen in den EU-Staaten benannt und notifiziert sein
11. September 2026Hersteller sind zur Meldung von Schwachstellen und schweren Vorfällen verpflichtet
11. Dezember 2026Ausreichend notifizierte Stellen müssen EU-weit verfügbar sein
11. Dezember 2027Alle CRA-Anforderungen gelten vollständig; neu in Verkehr gebrachte Produkte müssen alle Pflichten erfüllen

Produkte, die bereits vor dem 11. Dezember 2027 in Verkehr gebracht wurden, können weiter vertrieben werden, solange keine wesentlichen Änderungen an ihnen vorgenommen werden. Eine wesentliche Änderung liegt vor, wenn die Sicherheitseigenschaften oder der bestimmungsgemäße Gebrauch des Produkts verändert werden. Routinemäßige Sicherheits-Patches zählen in der Regel nicht dazu.

Bußgelder und Sanktionen

Die CRA-Bußgelder staffeln sich nach der Schwere des Verstoßes. Schwere Verletzungen von Cybersicherheitsanforderungen werden am härtesten sanktioniert.

CRA-Bußgelder: bis zu 15 Millionen Euro für schwere Cybersicherheitsverstöße

Der CRA sieht erhebliche Strafen vor. Die Höhe richtet sich nach der Art des Verstoßes:

  • Verletzung wesentlicher Cybersicherheitsanforderungen: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes (maßgeblich ist der jeweils höhere Betrag)
  • Sonstige CRA-Verstöße: bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes
  • Falsche Angaben gegenüber Behörden: bis zu 5 Millionen Euro oder 1 Prozent des Jahresumsatzes

Über Geldbußen hinaus können Marktüberwachungsbehörden die sofortige Rücknahme oder den Rückruf von Produkten anordnen und den weiteren Vertrieb untersagen.

Was du als Online-Shop jetzt tun solltest

Fünf Schritte, die du vor Dezember 2027 angehen solltest:

  1. Bestandsaufnahme: Prüfe, welche Produkte in deinem Shop digitale Elemente enthalten. Vernetztes Zubehör, Smart-Home-Artikel oder eigene Software gehören dazu.

  2. Rolle klären: Bist du Händler, Importeur oder Hersteller? Bei Private-Label-Produkten bist du Hersteller mit allen zugehörigen Pflichten.

  3. CE-Kennzeichen und Dokumentation anfordern: Fordere von deinen Lieferanten die EU-Konformitätserklärungen an. Lieferanten, die diese nicht bereitstellen können, sind ab 2027 ein Betriebsrisiko.

  4. Lieferantenverträge anpassen: Ergänze Verträge um CRA-Klauseln. Wer haftet bei fehlender Konformität? Wer stellt Sicherheitsupdates bereit? Wie werden Schwachstellen gemeldet?

  5. Interne Prozesse aufbauen: Wie erkennst du eine Schwachstelle in einem deiner Produkte? Wen informierst du? Halte fest, wer welche CRA-Pflicht trägt.

Bist du Hersteller, beginne jetzt mit dem Aufbau deines Schwachstellenmanagements. Die Meldepflicht greift bereits ab September 2026.

Häufige Fragen zum Cyber Resilience Act

Fällt mein Shopify-Shop unter den Cyber Resilience Act?

Ein Shopify-Shop ist nur betroffen, wenn er Produkte mit digitalen Elementen verkauft. Wer ausschließlich physische Waren ohne digitale Komponenten vertreibt, fällt nicht unter den CRA.

Ab wann gilt der CRA für meinen Online-Shop?

Alle Anforderungen des Cyber Resilience Act gelten vollständig ab dem 11. Dezember 2027. Bist du Hersteller, starten deine Meldepflichten bereits früher: am 11. September 2026.

Ich verkaufe Produkte unter meiner eigenen Marke. Bin ich Hersteller nach dem CRA?

Ja, wer Produkte unter eigenem Namen oder eigener Marke in den EU-Markt bringt, gilt als Hersteller, unabhängig davon, ob ein Dritter die Produktion übernommen hat. Private-Label-Shops tragen damit die vollen Herstellerpflichten.

Was passiert, wenn ich als Händler ein nicht CRA-konformes Produkt verkaufe?

Du musst den Verkauf stoppen und sofort den Hersteller sowie die Marktüberwachungsbehörde informieren. Bei einem erheblichen Cybersicherheitsrisiko ist unverzügliches Handeln gesetzlich vorgeschrieben. Es drohen Bußgelder oder ein behördlich angeordneter Rückruf.

Welche Produkte sind vom CRA ausgenommen?

Medizinprodukte, Fahrzeuge, Luftfahrzeuge, maritime Ausrüstung und Produkte für die nationale Sicherheit fallen unter eigene EU-Regelungen und sind vom CRA ausgenommen. Dasselbe gilt für nicht-kommerzielle Open-Source-Software ohne Gewinnabsicht sowie für Ersatzteile, die identisch in bestehende Produkte eingebaut werden.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.