EU AI Act vs. Cyber Resilience Act
Stand: Mai 2026 · Innopulse Consulting GmbH, Zug
Auf einen Blick
Cyber Resilience Act (CRA, EU 2024/2847) gilt ab 2027 für Produkte mit digitalen Elementen. AI Act gilt ab 2026/2027 für KI. Bei AI-IoT-Geräten beide Regime. CRA fokussiert Cybersecurity, AI Act den KI-Lifecycle.
IoT-Geräte mit eingebetteter KI (Smart-Home, Industrial IoT, Connected Cars) sind doppelt reguliert. CRA verlangt Cybersicherheit-by-Design über den Produktlebenszyklus; AI Act fügt Anforderungen an die KI-Komponente hinzu.
CRA-Grundprinzipien
- Hersteller-Pflichten für Cybersicherheit über Produktlebenszyklus
- Vulnerability-Management mit 24/72h-Disclosure
- Sicherheitsupdates für mind. 5 Jahre
- CE-Kennzeichnung integriert Cybersecurity-Anforderungen
- Konformitätsbewertung intern oder Notified Body je nach Klasse
Überschneidung mit AI Act
- AI Act Art. 15 Cybersecurity ↔ CRA Annex I Cybersicherheits-Anforderungen
- AI Act Art. 73 Schwerwiegende-Vorfälle ↔ CRA Art. 11 Vulnerability-Disclosure
- AI Act Art. 72 Post-Market-Monitoring ↔ CRA Art. 10 Lifecycle-Pflichten
Konkrete Implementierung: Ein integriertes "Secure-AI-Lifecycle"-Management.
Häufige Fragen
Wann tritt CRA in Kraft?
Sind reine Software-AI-Anwendungen unter CRA?
Relevante Rechtsgrundlagen
EU AI ActCyber Resilience Act (EU) 2024/2847Klassifizieren Sie Ihre KI-Systeme — kostenlos
In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.
Kostenloser EU AI Act Quick-Check →Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.
Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.