---
title: "Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)"
description: "Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) regelt Cybersecurity-Anforderungen für Produkte mit digitalen Elementen — überlagert AI Act bei Cybersecurity."
summary_en: "This German glossary page explains \"Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/glossar/cyber-resilience-act/"
type: "glossary"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: in_force
license: CC-BY-4.0
---

# Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Geltendes Recht (im Amtsblatt verbindlich).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German glossary page explains "Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847, anwendbar schrittweise ab Ende 2025/voll 2027) regelt Cybersecurity-Anforderungen für „Produkte mit digitalen Elementen" (Hardware/Software, die digitale Elemente enthalten — IoT, Smart-Home, Connected Vehicles, Software, AI-Systeme). Pflichten: Sicherheitsentwicklung (Art. 13 — by design, by default), Schwachstellen-Transparenz, Vorfallsmeldung (24 h серьезна + 72 h vollständig an ENISA/CSIRT), CE-Kennzeichnung für kritische Produkte, Lebenszyklus-Sicherheit (Updates/Support). Bedeutung für AI Act: CRA überlagert den AI Act bei Cybersecurity (Art. 15 AI Act) — AI-Systeme sind „Produkte mit digitalen Elementen", so dass die CRA-Pflichten kumulativ gelten; Art. 15 AI Act verweist auf CRA-Standards. Aufsichtlich: Marktüberwachungsbehörden (KI-Schnittstelle). Der CRA sichert digitale Produkte über den gesamten Lebenszyklus.

## Pflichten und CE (CRA)

Der CRA (Verordnung (EU) 2024/2847) regelt Cybersecurity-Anforderungen für „Produkte mit digitalen Elementen" (PDE — Hardware/Software mit digitalen Komponenten). Pflichten: (1) Sicherheitsentwicklung nach Art. 13 — Security by Design und by Default (keine bekannten Schwachstellen, Sicherheits-Default-Konfiguration, Verschlüsselung, Zugangskontrolle); (2) Schwachstellen-/Vorfall-Transparenz — Meldepflicht bei schweren Schwachstellen/Vorfällen (24 h ernsthafte Anzeichen + 72 h vollständig an ENISA/CSIRT); (3) CE-Kennzeichnung für kritische Produkte (Anhang I/II); (4) Lebenszyklus-Sicherheit — Sicherheitsupdates/Support für die erwartete Nutzungsdauer; (5) technische Dokumentation, Konformitätserklärung. Anwendbarkeit: schrittweise ab Ende 2025 (Meldepflichten) bis voll 2027. Aufsichtlich: nationale Marktüberwachungsbehörden, ENISA-Koordination.




## Schnittstelle zum AI Act

Der CRA überlagert den AI Act bei Cybersecurity. AI-Systeme sind „Produkte mit digitalen Elementen" — die CRA-Pflichten gelten kumulativ zu den AI-Act-Pflichten. Insb.: (1) Art. 15 AI Act (Genauigkeit, Robustheit, Cybersecurity) verweist auf CRA-Standards/Methoden; (2) Vorfallsmeldung — AI Act Art. 73 (15/60 Tage) und CRA (24/72 h) sind kumulativ; (3) CE-Kennzeichnung — bei KI als Sicherheitskomponente regulierter Produkte müssen AI-Act-CE und CRA-CE kohärent sein; (4) technische Dokumentation — kombinierte Anforderungen; (5) Lebenszyklus-Sicherheit — CRA ergänzt AI Act Art. 72 (Post-Market-Monitoring) mit Cybersecurity-Fokus. Die Schnittstelle ist im Aufbau; die Kommission veröffentlicht Leitlinien zur Vermeidung doppelter Anforderungen. Eine integrierte Compliance-Architektur kombiniert CRA + AI Act + produktspezifische Regelungen.




## Praxis: Cybersecurity-Architektur und Versicherung

Praktisch relevant für Anbieter AI-/digitaler Produkte: CRA-Pflichten sind Cybersecurity-Kernanforderungen, die mit AI Act, GPSR, produktspezifischen Regimen koordiniert werden müssen. Cybersecurity-Architektur: Security by Design (Threat Modeling, Secure Coding, Verschlüsselung, Authentifizierung, Logging), Vulnerability Management (Bug Bounty, Patch-Management, Schwachstellen-Datenbank), Incident Response (CSIRT, Meldepipelines, Forensik), Update-/Support-Strategie (Lebenszyklus). Überlagert: ISO/IEC 27001 (Information Security), IEC 62443 (Industrial Cybersecurity), NIST Cybersecurity Framework. Aufsichtlich: Marktüberwachungsbehörden koordinieren mit AI-Act-Behörden; ENISA koordiniert. Versicherbarkeit: Cyber-Versicherungen setzen CRA-Konformität voraus; zertifizierte Anbieter haben Deckungsvorteile. Eine proaktive Cybersecurity-/CRA-Kompliance schützt vor Sanktionen (Bußgelder nach nationalem Recht), Haftungsansprüchen (AILD, Produkthaftung), Reputationsschäden und Sicherheitsvorfällen.



## Rechtsstellen

- **[Hochrisiko-Pflichten Anhang I (produktintegriert): spätestens 2. August 2028](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Transparenzpflichten (Art. 50): seit 2. August 2026 anwendbar (Wasserzeichen-Übergangsfrist bis 2.12.2026/Februar 2027)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_50/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Art. 99 Abs. 3 — Verbote: bis 35 Mio. EUR oder 7 %](https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 11 — Technische Dokumentation](https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 15 — Genauigkeit, Robustheit, Cybersecurity](https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 48 — CE-Kennzeichnung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_48/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 72 — Nachmarktüberwachung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_72/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 73 — Meldung schwerer Vorfälle (in der Regel max. 15 Tage)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Rahmenverifikation Artikelnummern, Anhang-Klassifizierungen und Pflichten gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikel- und Anhang-Referenzen im Rahmen der Welle-2-Gesamtverifikation geprüft

## Verwandte Themen

- [eu ai office](/glossar/eu-ai-office/)
- [konformitaetsbewertung](/glossar/konformitaetsbewertung/)
- [anbieter](/glossar/anbieter/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) - Amtsblatt der Europäischen Union; Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
- [Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) - Amtsblatt der Europäischen Union; IT-Sicherheitsanforderungen für kritische Sektoren.
- [Digital Services Act (VO (EU) 2022/2065) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/2065/oj) - Amtsblatt der Europäischen Union; Plattformregulierung; Schnittstelle zu KI-Systemen.
- [Data Governance Act (VO (EU) 2022/868) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/868/oj) - Amtsblatt der Europäischen Union; Rahmen für Datenvermittlung und -weitergabe.
- [Vorschlag AI Liability Directive (COM(2022)496)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496) - Europäische Kommission; Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
- [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/) - BSI; IT-Sicherheitsbehörde Deutschland.

## FAQ

### Was regelt der Cyber Resilience Act (CRA)?

Verordnung (EU) 2024/2847: Cybersecurity-Anforderungen für Produkte mit digitalen Elementen (Hardware/Software). Security by Design, Schwachstellen-Meldung (24/72 h), CE für kritische Produkte, Lebenszyklus-Sicherheit.

### Wie überlappt der CRA mit dem AI Act?

AI-Systeme sind Produkte mit digitalen Elementen — CRA-Pflichten gelten kumulativ. Art. 15 AI Act verweist auf CRA-Standards. Vorfallsmeldungen (CRA 24/72 h + AI Act 15/60 Tage) kumulativ. CE kohärent.

### Welche Normen/Standards helfen?

ISO/IEC 27001 (Information Security), IEC 62443 (Industrial Cybersecurity), NIST CSF. Plus produktspezifisch (MDR, Maschinen-VO). Cyber-Versicherungen setzen CRA-Konformität voraus.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/glossar/cyber-resilience-act/#webpage",
      "url": "https://dataact-compliance.de/glossar/cyber-resilience-act/",
      "name": "Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) regelt Cybersecurity-Anforderungen für Produkte mit digitalen Elementen — überlagert AI Act bei Cybersecurity.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/glossar/cyber-resilience-act/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/glossar/cyber-resilience-act/#article"
      }
    },
    {
      "@type": "DefinedTerm",
      "@id": "https://dataact-compliance.de/glossar/cyber-resilience-act/#article",
      "headline": "Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "name": "Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) regelt Cybersecurity-Anforderungen für Produkte mit digitalen Elementen — überlagert AI Act bei Cybersecurity.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/glossar/cyber-resilience-act/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/2847/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/dir/2022/2555/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/2065/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/868/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.bsi.bund.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_50/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_48/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_72/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-ai-office/#article",
          "url": "https://dataact-compliance.de/glossar/eu-ai-office/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/konformitaetsbewertung/#article",
          "url": "https://dataact-compliance.de/glossar/konformitaetsbewertung/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/anbieter/#article",
          "url": "https://dataact-compliance.de/glossar/anbieter/"
        }
      ],
      "termCode": "cyber-resilience-act"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/glossar/cyber-resilience-act/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Glossar",
          "item": "https://dataact-compliance.de/glossar/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)",
          "item": "https://dataact-compliance.de/glossar/cyber-resilience-act/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/glossar/cyber-resilience-act/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Was regelt der Cyber Resilience Act (CRA)?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Verordnung (EU) 2024/2847: Cybersecurity-Anforderungen für Produkte mit digitalen Elementen (Hardware/Software). Security by Design, Schwachstellen-Meldung (24/72 h), CE für kritische Produkte, Lebenszyklus-Sicherheit."
          }
        },
        {
          "@type": "Question",
          "name": "Wie überlappt der CRA mit dem AI Act?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "AI-Systeme sind Produkte mit digitalen Elementen — CRA-Pflichten gelten kumulativ. Art. 15 AI Act verweist auf CRA-Standards. Vorfallsmeldungen (CRA 24/72 h + AI Act 15/60 Tage) kumulativ. CE kohärent."
          }
        },
        {
          "@type": "Question",
          "name": "Welche Normen/Standards helfen?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "ISO/IEC 27001 (Information Security), IEC 62443 (Industrial Cybersecurity), NIST CSF. Plus produktspezifisch (MDR, Maschinen-VO). Cyber-Versicherungen setzen CRA-Konformität voraus."
          }
        }
      ]
    }
  ]
}
```
