Cyber Resilience Act: Was muss ich von meinen Lieferanten verlangen?
Verabschiedet 2026-06-14 · ≈ 1 Min. Lesezeit · 
edited by Dirk Baaijen
Verlangen Sie von Lieferanten von Trackern, Telematik und IoT den Nachweis von CE-Kennzeichnung, Konformitätsbewertung, Secure-by-default und Update-Garantien. Regeln Sie Meldepflicht und Haftung vertraglich vor der vollständigen Geltung am 11. Dezember 2027.
Kurze Antwort: Verlangen Sie, dass Lieferanten von Produkten mit digitalen Elementen (Tracker, Telematik, IoT) den Cyber Resilience Act erfüllen: CE-Kennzeichnung, eine durchlaufene Konformitätsbewertung, eine Secure-by-default-Konfiguration und Update-Garantien. Halten Sie dies vertraglich fest.
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist am 12. November 2024 in Kraft getreten und stellt Sicherheitsanforderungen an Produkte mit digitalen Elementen. Für Transport- und Logistikunternehmen geht es um die Hardware und Software, die Sie beschaffen: Tracker, Bordcomputer, Telematik-Einheiten und sonstige IoT-Geräte. Die Pflichten liegen bei Herstellern, Einführern und Händlern, doch als Abnehmer tragen Sie das Risiko, wenn Sie nicht konforme Produkte in Ihrer Lieferkette einsetzen.
Was Sie vertraglich festlegen müssen
Verlangen Sie bei jeder Beschaffung vernetzter Geräte den Nachweis der CE-Kennzeichnung und einer durchgeführten Konformitätsbewertung. Fordern Sie eine Secure-by-default-Konfiguration: Das Produkt muss sicher eingestellt sein, ohne dass Sie manuell nachsteuern müssen. Halten Sie fest, dass der Lieferant während der gesamten Lebensdauer Sicherheitsupdates liefert und Schwachstellen rechtzeitig behebt. Verlangen Sie technische Dokumentation und, soweit zutreffend, eine Übersicht der Softwarekomponenten.
Meldepflicht und Fristen
Lieferanten unterliegen ab dem 11. September 2026 einer Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, zu melden bei der ENISA und dem CSIRT. Vereinbaren Sie mit Ihren Lieferanten, dass sie Sie unverzüglich informieren, wenn ein gemeldeter Vorfall Ihre Geräte betrifft. Die Notifizierung von Konformitätsbewertungsstellen läuft ab dem 11. Juni 2026; die Verordnung gilt vollständig ab dem 11. Dezember 2027.
Praktisches Vorgehen
Inventarisieren Sie, welche vernetzten Produkte Sie nutzen und wer der Lieferant ist. Nehmen Sie CRA-Anforderungen in Ihre Beschaffungsbedingungen und Verlängerungen auf. Beginnen Sie jetzt, damit Ihre Verträge weit vor der vollständigen Geltung im Jahr 2027 in Ordnung sind.
Lesen Sie das Hauptdossier: Cyber Resilience Act und vernetzte Produkte. Oder machen Sie den Transport- und Logistik-Scan.
Quellen
- https://eur-lex.europa.eu/eli/reg/2024/2847/oj
Verordnung (EU) 2024/2847 (Cyber Resilience Act); vollständige Geltung 11. Dezember 2027.
Lesen Sie auch
Fällt meine Telematik-Hardware unter den Cyber Resilience Act?
Ja. Telematik, Tracker und IoT-Geräte sind Produkte mit digitalen Elementen und fallen unter den Cyber Resilience Act (Verordnung (EU) 2024/2847). Die vollständige Geltung gilt ab dem 11. Dezember 2027.
Cyber Resilience Act: Welche Frist gilt wann?
Der CRA (Verordnung (EU) 2024/2847) trat am 12. November 2024 in Kraft. Wichtigste Daten: Notifizierung der Konformitätsstellen 11. Juni 2026, Meldepflicht 11. September 2026, vollständige Anwendung 11. Dezember 2027.
Cyber Resilience Act: Sicherheitsanforderungen für vernetzte Produkte
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) stellt EU-weite Sicherheitsanforderungen an Produkte mit digitalen Elementen — von Telematik bis IoT-Sensoren. Vollständige Geltung am 11. Dezember 2027, Meldepflichten bereits ab September 2026. Was das für Transport und Logistik bedeutet.