← Alle Artikel
CompliancePentesting

Cyber Resilience Act: Sicherheitstests 2026

Der CRA nennt keinen Pentest — aber Anhang I fordert wirksame, regelmäßige Sicherheitstests, und ein Verstoß ist ein Bußgeld der Top-Kategorie (15 Mio. €).

Jamin Mahmood-Wiebe · Veröffentlicht · 9 Min. Lesezeit

Illustration im Gravur-Stil für Cyber Resilience Act: Sicherheitstests 2026

Der Cyber Resilience Act (die Verordnung (EU) 2024/2847, deutsch: Cyberresilienz-Verordnung) nennt das Wort „Penetrationstest" nirgends. Aber Anhang I, Teil II, Nummer 3 verpflichtet jeden Hersteller eines Produkts mit digitalen Elementen, „wirksame und regelmäßige Tests und Überprüfungen der Sicherheit" dieses Produkts durchzuführen. Für alles oberhalb der niedrigsten Risikostufe ist der Pentest der anerkannte Weg, zu belegen, dass diese Tests wirksam waren. Die Klausel steht in Anhang I; ein Verstoß fällt damit in die höchste Bußgeldkategorie: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. Die Meldepflichten greifen ab dem 11. September 2026, die grundlegenden Anforderungen ab dem 11. Dezember 2027. Ein fokussierter DeepMantis-Pentest, mit Proof of Concept pro Finding, beginnt bei 890 €.

Was ist der Cyber Resilience Act und ab wann gilt er?

Der Cyber Resilience Act ist die Verordnung (EU) 2024/2847, veröffentlicht im Amtsblatt am 20. November 2024 und seit dem 10. Dezember 2024 in Kraft. Sie ist horizontal: Sie erfasst praktisch jede vernetzte Hard- und Software, die auf dem EU-Markt bereitgestellt wird. Artikel 3 Nummer 1 definiert den Gegenstand als „Produkt mit digitalen Elementen": „ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die gesondert in Verkehr gebracht werden". Wer Software oder ein vernetztes Gerät in der EU verkauft, geht so lange von einer Betroffenheit aus, bis er das Gegenteil geprüft hat.

Die Europäische Kommission benennt die Absicht klar:

„It aims to set the conditions for the development of secure hardware and software in the Union, in order to strengthen the EU approach to cybersecurity and improve the functioning of the internal market."

— Europäische Kommission, CRA-Zusammenfassung („Ziel ist es, die Voraussetzungen für die Entwicklung sicherer Hard- und Software in der Union zu schaffen, den EU-Ansatz zur Cybersicherheit zu stärken und das Funktionieren des Binnenmarkts zu verbessern.")

Drei Anwendungsdaten sind entscheidend, gestaffelt nach Artikel 71 Absatz 2:

DatumWas gilt ab dann
11. Juni 2026Vorschriften zu notifizierten Stellen (Kapitel IV, Art. 35–51)
11. September 2026Meldepflichten (Artikel 14): aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle
11. Dezember 2027Hauptteil: grundlegende Anforderungen, Konformitätsbewertung, CE-Kennzeichnung, Pflichten im Unterstützungszeitraum

Ab dem 11. September 2026 schuldest du bereits den Meldetakt aus Artikel 14: eine Frühwarnung binnen 24 Stunden, eine Meldung binnen 72 Stunden und einen Abschlussbericht binnen 14 Tagen bei aktiv ausgenutzten Schwachstellen. Die Security-Arbeit selbst wird am 11. Dezember 2027 durchsetzbar. Aber sie aufzubauen dauert länger, als der Kalender bis dahin hergibt.

Schreibt der CRA einen Penetrationstest vor?

Nein, nicht namentlich. Der CRA verwendet das Wort „Penetrationstest" an keiner verbindlichen Stelle, und wer dir etwas anderes erzählt, überdehnt die Verordnung. Die ehrliche Lesart ist enger und nützlicher. Die operative Klausel ist Anhang I, Teil II, Nummer 3: Hersteller müssen „wirksame und regelmäßige Tests und Überprüfungen der Sicherheit des Produkts mit digitalen Elementen" durchführen.

Genau dieses Wort, wirksam, ist der Punkt, an dem der Pentest ins Spiel kommt. Ein Schwachstellenscan listet auf, was falsch sein könnte; er belegt nicht, dass dein Test tatsächlich funktioniert hat. Für alles oberhalb der niedrigsten Risikostufe ist der Pentest der anerkannte Weg, die Wirksamkeit eines Tests zu zeigen, weil er Ausnutzbarkeit nachweist, statt eine Möglichkeit zu markieren. Der CRA schreibt die Methode nicht vor. Er setzt die Hürde, die die Methode nehmen muss.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik ordnet die Bedeutung der Verordnung direkt ein: Das BSI beschreibt den CRA als die erste europäische Verordnung, die ein Mindestniveau an Cybersicherheit für alle vernetzten Produkte auf dem EU-Markt festlegt, und entwickelt die Technische Richtlinie TR-03183, um ihre Anforderungen auszulegen. Wer in den deutschen Markt verkauft, verfolgt TR-03183, sobald sie reift.

Was fordern die grundlegenden Anforderungen konkret?

Anhang I ist das Herzstück des CRA und liest sich wie eine Security-Engineering-Checkliste mit rechtlichem Biss. Teil I setzt die Produkteigenschaften, Teil II den Prozess zum Umgang mit Schwachstellen. Beides ist präzise genug, um es zu zitieren.

Teil I Nummer 1 formuliert das Designprinzip:

„Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks."

Verordnung (EU) 2024/2847, Anhang I, Teil I, Nummer 1 („Produkte mit digitalen Elementen sind so zu konzipieren, zu entwickeln und herzustellen, dass sie ein angemessenes, risikobasiertes Cybersicherheitsniveau gewährleisten.")

Das ist Security by Design als Rechtspflicht, nicht als Slogan. Zwei weitere Anforderungen aus Teil I sind jene, zu denen ein Pentest am direktesten spricht: Produkte müssen „ohne bekannte ausnutzbare Schwachstellen" bereitgestellt werden (Nummer 2 Buchstabe a) und mit einer „sicheren Standardkonfiguration" (Secure by Default) ausgeliefert werden (Nummer 2 Buchstabe b). „Bekannt ausnutzbar" ist die operative Formulierung. Du kannst nicht behaupten, du habest es nicht gewusst, wenn du nie gesucht hast, und der Weg, nach ausnutzbaren Schwachstellen zu suchen, ist, auf sie zu testen.

Teil II macht Prozesspflichten zu Anforderungen. Nummer 1 verlangt, Schwachstellen zu identifizieren und zu dokumentieren, einschließlich der Erstellung einer Software Bill of Materials (SBOM) in maschinenlesbarem Format. Nummer 2 verlangt, „Schwachstellen unverzüglich zu beheben". Nummer 5 verlangt eine Policy zur Coordinated Vulnerability Disclosure. Und Nummer 3, die Testklausel, steht mitten in diesem Prozess. Liest man Anhang I als Ganzes, ist Testen kein Aufsatz, sondern die Art, wie du den Nachweis erzeugst, dass die übrigen Punkte erfüllt sind.

Was passiert bei einem Verstoß? Die Bußgeldstufen

Die Durchsetzung des CRA steckt in Artikel 64, und die Struktur ist wichtig, weil sie zeigt, welche Verstöße als am schwersten gelten. Es gibt drei Stufen.

Die oberste Stufe, Artikel 64 Absatz 2, erfasst Verstöße gegen die grundlegenden Anforderungen aus Anhang I und gegen die Pflichten aus den Artikeln 13 und 14:

„up to EUR 15 000 000 or, if the offender is an undertaking, up to 2,5 % of ... its total worldwide annual turnover for the preceding financial year, whichever is higher."

Verordnung (EU) 2024/2847, Artikel 64 Absatz 2 („bis zu 15 000 000 EUR oder, im Fall eines Unternehmens, bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.")

Lies das gegen Anhang I: Die Testklausel (Teil II Nummer 3), die Anforderung „keine bekannten ausnutzbaren Schwachstellen" (Teil I Nummer 2 Buchstabe a) und der gesamte Prozess zum Umgang mit Schwachstellen stehen in Anhang I. Wer bei seinen Sicherheitstests versagt, begeht damit einen Verstoß der Top-Kategorie mit einem Rahmen von 15 Mio. €, keinen mittleren Formfehler. Die mittlere Stufe (Artikel 64 Absatz 3) liegt bei 10 Mio. € oder 2 % für andere Pflichten, die niedrigste (Artikel 64 Absatz 4) bei 5 Mio. € oder 1 % für falsche Angaben gegenüber Behörden.

15 Mio. € / 2,5 %
Bußgeldrahmen der Top-Kategorie beim Verstoß gegen die grundlegenden Anforderungen aus Anhang I — dort steht die Pflicht zu Sicherheitstests — gegenüber 890–7.500 € für einen belegenden DeepMantis-Pentest.Quellen: Verordnung (EU) 2024/2847, Art. 64 Abs. 2 und Anhang I; DeepMantis-Preise laut deepmantis.io/de#pricing (Stand Juli 2026).

Die Kommission begründet diese Härte mit dem Ausmaß. Sie führt geschätzte jährliche globale Kosten der Cyberkriminalität von 5,5 Billionen € bis 2021 als Teil der Rechtfertigung für die Verordnung an. Der Bußgeldrahmen ist nicht willkürlich, sondern auf eine Bedrohung kalibriert, die die EU als systemisch behandelt.

Wie verändert der Unterstützungszeitraum deinen Testtakt?

Der CRA endet nicht am Verkaufspunkt. Artikel 3 Nummer 20 definiert einen „Unterstützungszeitraum", und Artikel 13 Absatz 8 fixiert dessen Untergrenze: „the support period shall be at least five years", also mindestens fünf Jahre, außer die erwartete Nutzung des Produkts ist kürzer. Über diesen Zeitraum schuldest du Umgang mit und Behebung von Schwachstellen. Das bedeutet, dass die „wirksamen und regelmäßigen Tests" aus Anhang I kein einmaliges Tor beim Launch sind.

Das ist der strukturelle Bruch mit dem alten Modell. Ein einzelner Pentest vor Release ist ein Snapshot; eine fünfjährige Unterstützungspflicht ist ein Prozess. Jeder Patch, jedes Dependency-Update, jedes neue Feature, das in diesen fünf Jahren ausgeliefert wird, kann eine ausnutzbare Schwachstelle einführen, die es bei der Konformitätsbewertung noch nicht gab, und Anhang I Teil I verlangt weiterhin, dass das Produkt durchgehend frei von bekannten ausnutzbaren Schwachstellen ist.

Genau hier ändert wiederkehrendes, autonomes Testen die Ökonomie. Manuelle Personentage-Pentests machen einen Takt pro Release unbezahlbar; vier Tests pro Jahr zu je 10.000 € sind 40.000 € pro Produkt, bevor du auch nur ein Quartal eines Fünf-Jahres-Fensters abgedeckt hast. DeepMantis führt autonome Web-Application- und API-Pentests mit reproduzierbarem Proof of Exploit pro Finding durch: der praktische Weg, Anhang I Teil II Nummer 3 für die Software- und Web-Oberflächen eines Produkts zu erfüllen, kontinuierlich statt einmalig. Monatliche Pentests beginnen bei 99 € pro Monat (jährliche Abrechnung), und der audit-taugliche PDF-Report dokumentiert pro Finding den Angriffspfad und die Reproduktionsschritte.

Eine ehrliche Einschränkung: Der CRA erfasst auch Hardware, Embedded-Firmware und Nicht-Web-Oberflächen, die DeepMantis nicht testet. Autonomes Web- und API-Testing ist das richtige Werkzeug für die Software- und webseitige Oberfläche eines Produkts mit digitalen Elementen, nicht für den gesamten Anhang I. Wähle für jede Oberfläche das passende Werkzeug.

Häufig gestellte Fragen

Schreibt der Cyber Resilience Act einen Penetrationstest vor?

Nicht namentlich. Der CRA verwendet das Wort „Penetrationstest" nie. Anhang I, Teil II, Nummer 3 verlangt von Herstellern „wirksame und regelmäßige Tests und Überprüfungen der Sicherheit" ihrer Produkte. Für alles oberhalb der niedrigsten Risikostufe ist der Pentest der anerkannte Weg, die Wirksamkeit des Tests nachzuweisen, weil er Ausnutzbarkeit belegt, statt nur mögliche Probleme aufzulisten. Die Verordnung setzt die Hürde; die Methode wählst du.

Ab wann gelten die CRA-Pflichten?

Es gibt drei gestaffelte Daten nach Artikel 71 Absatz 2. Die Vorschriften zu notifizierten Stellen gelten ab dem 11. Juni 2026. Die Meldepflichten aus Artikel 14 (Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen 14 Tagen bei aktiv ausgenutzten Schwachstellen) gelten ab dem 11. September 2026. Der Hauptteil, einschließlich der grundlegenden Anforderungen aus Anhang I, der Konformitätsbewertung und der CE-Kennzeichnung, gilt ab dem 11. Dezember 2027.

Wie hoch ist das Bußgeld bei einem Verstoß gegen die Sicherheitsanforderungen des CRA?

Ein Verstoß gegen die grundlegenden Anforderungen aus Anhang I (dazu gehören die Pflicht zu Sicherheitstests und die Anforderung „keine bekannten ausnutzbaren Schwachstellen") fällt unter die höchste Bußgeldstufe aus Artikel 64 Absatz 2: bis zu 15 Mio. € oder 2,5 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Weil die Testklausel in Anhang I steht, wird ein Versagen bei den Sicherheitstests als einer der schwersten CRA-Verstöße behandelt.

Wie lange muss ich nach dem Release weiter testen?

Mindestens fünf Jahre. Artikel 13 Absatz 8 fixiert den Unterstützungszeitraum auf mindestens fünf Jahre oder die kürzere erwartete Nutzung des Produkts. Über diesen Zeitraum schuldest du Umgang mit und Behebung von Schwachstellen, und Anhang I verlangt weiterhin, dass das Produkt frei von bekannten ausnutzbaren Schwachstellen bleibt; die Pflicht zu „wirksamen und regelmäßigen Tests" läuft also über den gesamten Unterstützungszeitraum, nicht nur beim Launch.


Stand Juli 2026. Die zitierten Bestimmungen stammen aus der Verordnung (EU) 2024/2847 (eur-lex.europa.eu). Diese Seite ist keine Rechtsberatung; die konkrete Einordnung deines Produkts und seinen Konformitätsweg prüfst du mit fachkundiger Beratung. Methodik und Scope-Grenzen von DeepMantis sind auf der Security-Seite dokumentiert.

Willst du solche Findings für deinen eigenen Stack?

Pentest starten

Weitere Artikel

Pentest anfragen

Füll das Formular aus — wir melden uns innerhalb von 24 Stunden.

Tell us about your project

Protected by Cloudflare Turnstile.

HQ
Hamburg, Germany
Lieber kurz sprechen?
15-Min Call buchen