EU Cyber Resilience Act (CRA) – Von der CRA-Gap-Analyse bis zur Konformitätsbewertung
Wir unterstützen Hersteller, Importeure und Händler bei der CRA-Compliance über den gesamten Produktlebenszyklus: Security by Design, Security by Default, Schwachstellenmanagement, Incident-Meldeprozesse und belastbare Nachweisführung.
Cybersicherheit als Pflicht für digitale Produkte
Mit dem Cyber Resilience Act (CRA) setzt die Europäische Union einen neuen verbindlichen Rechtsrahmen, um die Sicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus hinweg sicherzustellen. Hersteller, Händler und Importeure sind künftig verpflichtet, Cybersecurity-Anforderungen schon in der Entwicklung (Security by Design) zu berücksichtigen und regelmäßig Updates bereitzustellen.
Für Unternehmen bedeutet das: klare Verantwortlichkeiten, umfangreiche Pflichten und hohe Bußgelder bei Nichteinhaltung.
CRA-Anforderungen im Überblick
Produktanforderung: Angemessenes Cybersicherheitsniveau, Security-by-Design, Security-by-Default, Schutz von Vertraulichkeit, Integrität und Verfügbarkeit
Umgang mit Schwachstellen: Meldungen annehmen, regelmäßige Tests, kostenlose Sicherheitsupdates mit Benutzerinformation, öffentliche Information zu Schwachstellen
(Dritt-)Komponenten & Lieferkette: Software Bill of Materials (SBOM), Sorgfaltspflicht bei Drittkomponenten, Nachverfolgung möglicher Schwachstellen an Lieferanten
Mindestinformation der Hersteller: Anlaufstelle für Schwachstelleninformationen, Produktidentifikation, Angaben zur bestimmungsgemäßen Verwendung, EU-Konformitätserklärung
Meldepflichten aktiv ab 11.09.2026: 24h Early Warning, 72h Benachrichtigung, Abschlussbericht innerhalb 14 Tage/1 Monat
Vollständige CRA-Compliance erforderlich ab 11.12.2027
Meldepflichten bei aktiv ausgenutzten Schwachstellen
CRA-Reporting ist eine regulatorische Fristenarchitektur. Hersteller tragen Beweis- und Bewertungspflicht, wann ein Meldeauslöser vorliegt und wann die Frist beginnt.
Early Warning
Unverzügliche Erstmeldung an ENISA/nationale Behörde bei aktiv ausgenutzter Schwachstelle.
Benachrichtigung
Detaillierte Bewertung mit Gegenmaßnahmen, Schweregrad und betroffenen Produkten.
Abschlussbericht
Vollständiger Bericht zu Schwachstellen inkl. Root Cause und ergriffener Maßnahmen.
Vorfallbericht
Abschlussbericht bei schwerwiegenden Sicherheitsvorfällen.
Für Ihre CRA-Compliance
Gap-Analyse & Compliance-Check
Bewertung Ihrer Produkte, Prozesse und Dokumentation im Hinblick auf die Anforderungen des CRA.
Integration von Security by Design
Beratung zur Implementierung sicherer Entwicklungsprozesse (Secure Development Lifecycle) und Einbindung von Bedrohungsanalysen (Threat Modeling).
Vulnerability- und Patch-Management
Aufbau von Prozessen zur kontinuierlichen Schwachstellenüberwachung, Risikobewertung und Update-Bereitstellung.
Dokumentation & Nachweisführung
Unterstützung bei der Erstellung der erforderlichen technischen Unterlagen, Konformitätserklärungen und Sicherheitsberichte.
Incident-Response & Meldeprozesse
Einführung klarer Abläufe für die Meldung und Behandlung von Sicherheitsvorfällen im Einklang mit den CRA-Vorgaben.
Schulungen & Awareness
Trainings für Produktentwicklung, Management und Compliance-Teams, um die neuen regulatorischen Anforderungen nachhaltig umzusetzen.
EU CRA Navigator — Sind Sie vorbereitet?
In Zusammenarbeit mit JUN Legal haben wir den CRA Navigator entwickelt — ein Tool für eine fundierte Erstorientierung zu den Anforderungen des EU Cyber Resilience Act.
Betroffenheitscheck
Sofortige Einschätzung, ob und wie Ihre Produkte unter die CRA-Anforderungen fallen.
Quick Gap-Analyse
Strukturelle Lücken in Ihren Sicherheits- und Entwicklungsprozessen schnell identifizieren.
Rechtssichere Orientierung
Klare Einordnung von sicheren Entwicklungsmethoden bis zur Schwachstellenbehandlung.
Integriert in Ihre bestehenden Compliance-Strukturen
5 Schritte zur CRA-Readiness
Vollständige Asset-Inventare
Systematische Erfassung digitaler Produkte, Komponenten und Abhängigkeiten.
Vulnerability Management
Kontinuierliche Identifikation, Bewertung und Behebung mit klaren Reaktionszeiten.
Dokumentationsprozesse
Strukturierte Erfassung von Maßnahmen, Risikobewertungen und Compliance-Nachweisen.
Team-Schulungen
Entwicklungs- und Security-Teams kennen Secure-by-Design; Sicherheitskultur ist verankert.
CE-Konformitätsbewertung
Erstellung der technischen Dokumentation, Durchführung der Konformitätsbewertung und CE-Kennzeichnung nach Produktkategorie.
Unsere Leistungen für Ihre CRA-Compliance
Produktkategorien nach CRA
Standard-Produkte (Smartphones, Steuersoftware) benötigen eine Selbsterklärung. Wichtige Klasse I (IAM, VPN, Router) erfordern harmonisierte Standards oder Drittprüfung. Kritische Klasse II (Firewalls, HSMs, Smartcards) verlangen zwingend eine Bewertung durch eine benannte Stelle.
Häufig gestellte Fragen
Ganzheitliche CRA-Compliance
Ein Ansprechpartner. Zwei Expertisen. Von der technischen Produktprüfung bis zum Cyber Security Management System — alles aus einer Hand.
Valeri Milke
Begleitet Sie persönlich durch Ihre CRA-Compliance — technisch wie organisatorisch.
Technische Prüfung Ihrer Produkte entlang des gesamten Entwicklungszyklus — vom Design bis zur Konformitätsbewertung nach CRA.
- Threat Modeling & Security-by-Design
- Source Code Reviews
- Security-Testing in CI/CD (SAST, SCA)
- Penetrationstests
- Konformitätsbewertung nach CRA
Aufbau tragfähiger Security-Strukturen im Unternehmen — vom Managementsystem bis zu den Meldepflichten gemäß CRA.
- Aufbau & Implementierung des CSMS
- SSDLC-Prozesse & Security-Governance
- Incident Management & PSIRT
- Meldepflichten nach CRA (24 h / 72 h)
- CRA-Compliance-Strategie
CRA-Compliance rechtzeitig sicherstellen
Von der CRA-Gap-Analyse bis zur Konformitätsbewertung – Ihr Partner für sichere und CE-konforme Produkte. Jetzt CRA-Experten buchen.
Erstberatung buchen