Was der CRA regelt
Der CRA ist ein horizontaler EU-Rechtsakt für Produkte mit digitalen Elementen. Er betrifft Hardware- und Softwareprodukte, die auf dem Unionsmarkt bereitgestellt werden und deren Zweck oder vorhersehbare Nutzung eine direkte oder indirekte Verbindung zu einem Gerät oder Netzwerk einschließt.
Für Banken und Versicherungen ist die Rollenklärung entscheidend: Hersteller ist nicht automatisch jedes Institut, das Software nutzt. Hersteller ist typischerweise, wer ein Produkt entwickeln lässt oder entwickelt und es unter eigenem Namen oder eigener Marke vermarktet. Gerade bei Mobile-Banking-Apps, Versicherungs-Apps oder White-Label-Lösungen sollte diese Frage früh geprüft werden.
| System | CRA-Prüffrage |
|---|---|
| Mobile Banking App | Wird die App unter eigener Marke bereitgestellt und vom Institut verantwortet? |
| Versicherungs-App | Ist das Institut Hersteller, Importeur, Händler oder nur Nutzer einer fremden Lösung? |
| Online-Banking-Portal | Ist es ein bereitgestelltes Produkt mit digitalen Elementen oder primär ein individueller Online-Dienst? |
| Kreditrechner mit Backend-Anbindung | Wird eine eigenständige Softwarekomponente auf dem Markt bereitgestellt? |
| Zugekaufte Kernsoftware | Trifft die Herstellerpflicht primär den Anbieter, während DORA- und Vertragssteuerung beim Institut bleiben? |
Die drei zentralen Fristen
| Datum | Was gilt | Praxisfolge |
|---|---|---|
| 10. Dezember 2024 | CRA in Kraft getreten | Rollenklärung, Produktinventur und Entwicklungsprozesse sollten vorbereitet werden. |
| 11. September 2026 | Reporting nach Art. 14 CRA | Aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle sind über die CRA Single Reporting Platform zu melden. |
| 11. Dezember 2027 | Volle Anwendung der Hauptpflichten | Essential Cybersecurity Requirements, technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung werden relevant. |
Was der CRA praktisch verlangt
- Cybersecurity-by-Design und sichere Standardkonfigurationen
- Vulnerability-Handling über den Supportzeitraum des Produkts
- technische Dokumentation und EU-Konformitätserklärung
- CE-Kennzeichnung vor dem Inverkehrbringen, sofern das Produkt in den Anwendungsbereich fällt
- Meldeprozess für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle
Abgrenzung zu DORA
DORA reguliert das Finanzunternehmen als beaufsichtigte Einheit und sein IKT-Risikomanagement. Der CRA reguliert das digitale Produkt und die Wirtschaftsakteure entlang der Produktkette. Beide Regime können nebeneinander relevant sein: Ein sicherheitsrelevanter Vorfall in einer App kann DORA-Meldepflichten an die FMA und CRA-Meldepflichten über die CRA Single Reporting Platform auslösen.
Die CRA-Meldung startet mit 24 Stunden für die Frühwarnung und 72 Stunden für die vollständige Meldung. DORA-Fristen ergeben sich für schwerwiegende IKT-Vorfälle insbesondere aus der Delegierten Verordnung (EU) 2025/301: Erstmeldung innerhalb von 4 Stunden ab Klassifizierung und spätestens 24 Stunden ab Entdeckung, Zwischenmeldung nach 72 Stunden, Abschlussmeldung binnen eines Monats ab letzter Zwischenmeldung.
Was jetzt zu tun ist
- Produktinventur: Welche Apps, Portale und Komponenten stellt das Institut unter eigener Marke bereit?
- Rollenklärung: Hersteller, Importeur, Händler, Betreiber/Nutzer oder DORA-relevanter Drittanbieter?
- Gap-Analyse gegen Annex I CRA und bestehende Secure-Development-Prozesse
- Meldewege für CRA und DORA organisatorisch getrennt vorbereiten
Verbindung zu anderen Themen
EU AI Act, Vendor-KI und Audit-Readiness gehören in dieselbe Governance-Landkarte: Rollen, Pflichten, Nachweise und Meldewege müssen je System nachvollziehbar dokumentiert sein.