Plattform öffnen →
Verordnung (EU) 2024/2847 CERT.at • RTR • SECURE-Projekt

Cyber Resilience Act
für österreichische Unternehmen

Die Verordnung (EU) 2024/2847 stellt verbindliche Cybersicherheitsanforderungen an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen auf dem EU-Markt. Österreichische Unternehmen sind direkt betroffen.

CRA-Compliance automatisieren →

Österreichische Behörden für den CRA

Zwei Behörden spielen eine zentrale Rolle bei der Umsetzung des CRA in Österreich.

🚨
CERT.at — nationales CSIRT
CERT.at ist das nationale CSIRT für Österreich. Ab 11. September 2026 melden Hersteller aktiv ausgenutzte Schwachstellen über die ENISA Single Reporting Platform (SRP), die Meldungen automatisch an CERT.at weiterleitet.
🏗
RTR — notifizierende Behörde
Die RTR (Rundfunk und Telekom Regulierungs-GmbH) wird voraussichtlich als notifizierende Behörde für den CRA in Österreich fungieren und die Konformitätsbewertungsstellen (KBS) gegenüber der EU-Kommission notifizieren.
📈
NCC-AT — SECURE-Projekt
Österreich nimmt am europäischen SECURE-Projekt teil, das KMU mit Finanzmitteln (Cascade Funding bis zu 30.000 EUR pro Projekt) und Schulungen bei der Vorbereitung auf den CRA unterstützt.

Quellen: cert.at; rtr.at

Wichtige Termine für österreichische Unternehmen

Offizieller Zeitplan gemäß Verordnung (EU) 2024/2847, Artikel 71–72.

10. Dezember 2024
CRA tritt in Kraft Erledigt
Die Verordnung (EU) 2024/2847 ist in Kraft getreten. Österreichische Unternehmen sollten mit der Compliance-Vorbereitung beginnen.
21. Dezember 2025
Produktklassifizierung geklärt Erledigt
Durchführungsverordnung (EU) 2025/2392 ist in Kraft getreten: technische Beschreibungen für wichtige und kritische Produktkategorien festgelegt.
11. Juni 2026
Konformitätsbewertungsstellen
Österreich muss Konformitätsbewertungsstellen (KBS) bei der EU-Kommission notifiziert haben. Kapitel IV der Verordnung ist anwendbar.
11. September 2026
Meldepflicht für Schwachstellen
Artikel 14 ist anwendbar. Hersteller melden aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle über die ENISA Single Reporting Platform. CERT.at empfängt die Meldungen automatisch. Fristen: 24h Frühwarnung, 72h Meldung, 14 Tage Abschlussbericht.
11. Dezember 2027
Vollständige Anwendung des CRA
Alle Anforderungen gelten: wesentliche Cybersicherheitsanforderungen (Anhang I), CE-Kennzeichnung, EU-Konformitätserklärung, technische Dokumentation (Anhang VII). Bußgelder bis zu 15.000.000 EUR oder 2,5% des weltweiten Jahresumsatzes (Artikel 64).

Häufig gestellte Fragen

Antworten basierend auf dem offiziellen Text der Verordnung (EU) 2024/2847.

Gilt der CRA auch für österreichische KMU?
Ja. Der CRA gilt für alle Hersteller unabhängig von ihrer Größe. Artikel 64 sieht jedoch eine Bußgeldbefreiung für Kleinstunternehmen und kleine Unternehmen vor, wenn die 24-Stunden-Frist für die Schwachstellenmeldung nicht eingehalten wird. Das SECURE-Projekt, an dem Österreich als NCC-AT beteiligt ist, bietet KMU Cascade Funding bis zu 30.000 EUR zur Vorbereitung auf den CRA.
Quelle: Verordnung (EU) 2024/2847, Artikel 64 — EUR-Lex
Was ist ein SBOM und ist er verpflichtend?
Eine Software Bill of Materials (SBOM) ist eine strukturierte Liste aller Softwarekomponenten eines Produkts, einschließlich Versionen und bekannter Schwachstellen. Anhang I Teil II der Verordnung (EU) 2024/2847 verpflichtet Hersteller, eine SBOM als Teil des Schwachstellenmanagementprozesses zu erstellen und zu pflegen. Die SBOM muss nicht aktiv veröffentlicht werden, muss aber für Marktüberwachungsbehörden verfügbar sein.
Quelle: Verordnung (EU) 2024/2847, Anhang I Teil II — EUR-Lex
Was sind die Bußgelder bei Nichteinhaltung des CRA?
Artikel 64 der Verordnung (EU) 2024/2847 legt maximale Bußgelder fest: Nichteinhaltung der wesentlichen Cybersicherheitsanforderungen bis zu 15.000.000 EUR oder 2,5% des weltweiten Jahresumsatzes; andere Verstöße bis zu 10.000.000 EUR oder 2% des Umsatzes; unrichtige Angaben gegenüber Behörden bis zu 5.000.000 EUR oder 1% des Umsatzes.
Quelle: Verordnung (EU) 2024/2847, Artikel 64 — EUR-Lex

CRA-Compliance automatisieren

CRA Ready ist die B2B-SaaS-Plattform für europäische Hersteller. Technische Dokumentation, CE-Kennzeichnung, Schwachstellenmanagement und SBOM — alles auf einer Plattform.

Plattform öffnen →
Rechtlicher Hinweis: Diese Seite ist eine Informationsquelle. Alle Inhalte zum CRA beziehen sich auf den offiziellen Text der Verordnung (EU) 2024/2847, veröffentlicht im Amtsblatt der EU (EUR-Lex). Informationen zu österreichischen Behörden stammen von cert.at und rtr.at. Diese Seite stellt keine Rechtsberatung dar.