BF
Cyber Resilience Act
CRA / EU Compliance

EU-Verordnung für digitale Produkte

Cyber Resilience Act

Der CRA macht Cybersicherheit zur Pflicht für Hardware- und Softwarehersteller in der EU. Ab 2027 gilt: kein CE-Kennzeichen ohne nachgewiesene Cyber-Resilienz.

CRA-Beratung anfragenSBOM-Service

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen verbindlich vorschreibt. Er betrifft Hersteller, Importeure und Händler von Hardware und Software, die auf dem EU-Markt angeboten werden.

Der CRA trat am 11. Dezember 2024 in Kraft. Die wesentlichen Anforderungen gelten ab dem 11. Dezember 2027. Für Meldepflichten bei aktiv ausgenutzten Schwachstellen gilt bereits ab September 2026 eine frühere Frist.

Handlungsbedarf

Hersteller, die heute noch keine strukturierten Prozesse für Vulnerability Management, SBOM und Secure Development haben, benötigen 12–24 Monate für eine vollständige CRA-Compliance. Die Zeit läuft.

Kernanforderungen des CRA

Produktdesign
Security by Design
Sicherheitsanforderungen müssen bereits in der Entwicklungsphase berücksichtigt werden – keine nachträgliche Absicherung.
Entwicklung
SBOM (Software Bill of Materials)
Vollständige Dokumentation aller Software-Komponenten und Abhängigkeiten. Basis für Vulnerability Management.
Betrieb
Vulnerability Handling
Strukturierter Umgang mit Sicherheitslücken: Erkennung, Bewertung, Behebung und Kommunikation gemäß ISO/IEC 30111.
Disclosure
Coordinated Vulnerability Disclosure
Meldepflicht für aktiv ausgenutzte Schwachstellen an ENISA und nationale Behörden innerhalb von 24 Stunden.
Support
Mindest-Support-Zeitraum
5 Jahre Sicherheits-Support-Verpflichtung nach Produkteinführung – oder kürzer, wenn die erwartete Produktlebensdauer kürzer ist.

Produktklassen nach CRA

Standardprodukte
Beispiele: Betriebssysteme, Browser, Router, NAS, IoT-Geräte ohne kritische Funktion
Konformitätsbewertung: Selbstbewertung möglich
Klasse I (Wichtig)
Beispiele: Passwortmanager, VPN, SIEM, Firewalls, Betriebssysteme für kritische Systeme
Konformitätsbewertung: Externe Konformitätsbewertung oder Harmonisierte Norm
Klasse II (Kritisch)
Beispiele: Hypervisoren, HSMs, PKI-Systeme, Industriesteuerungen
Konformitätsbewertung: Zwingend durch notifizierte Stelle

Unser CRA-Beratungsansatz

CRA-Betroffenheitsanalyse
Einordnung Ihrer Produkte in die CRA-Produktklassen. Bestimmung des Konformitätsbewertungsverfahrens.
Gap-Analyse
Abgleich Ihrer aktuellen Entwicklungs- und Betriebsprozesse mit den CRA-Anforderungen.
SBOM-Aufbau
Einführung einer Software Bill of Materials – vollständig, gepflegt und maschinenlesbar (CycloneDX oder SPDX).
Vulnerability Disclosure
Aufbau eines Coordinated Vulnerability Disclosure-Prozesses und Meldeprozeduren für ENISA.
Secure Development
Integration von Security in den SDLC: Threat Modeling, SAST/DAST, Code Reviews, Security Testing.
Dokumentation & CE
Technische Dokumentation für den CE-Konformitätsprozess. Vorbereitung auf die Konformitätsbewertung.

CRA, NIS2 und ISO 27001 – Synergien nutzen

CRA, NIS2 und ISO 27001 haben erhebliche inhaltliche Überlappungen – insbesondere bei Vulnerability Management, Incident Response und Supply Chain Security. Mit einem integrierten Ansatz vermeiden Sie Doppelarbeit und bauen eine zukunftssichere Compliance-Struktur.

NIS2 Beratung →ISO 27001 →SBOM-Service →

CRA Zeitplan

Dez 2024
CRA in Kraft getreten
Sep 2026
Meldepflichten für Schwachstellen (Art. 14)
Dez 2027
Vollständige CRA-Anforderungen gelten

Betroffene Unternehmen

  • !Software-Hersteller (SaaS, on-prem)
  • !IoT-Gerätehersteller
  • !Router & Netzwerkequipment
  • !Industriesteuerungen
  • !Medizinprodukte mit Software
  • !Importeure und Händler

CRA-Readiness prüfen

Wir analysieren Ihren aktuellen Stand und zeigen Ihnen den schnellsten Weg zur CRA-Compliance.

CRA-Beratung anfragen
Jetzt handeln

CRA-Compliance: Jetzt vorbereiten

Die Frist läuft. Wir helfen Ihnen, CRA-konform zu werden – strukturiert, effizient und ohne unnötigen Overhead.

Jetzt Kontakt aufnehmen