• CRA-Compliance (Cyber Resilience Act)

Der EU Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu Security-by-Design, Schwachstellen-Management und Meldepflichten. Wir unterstützen Sie auf dem Weg zur CRA-Konformität.

CRA-Compliance (Cyber Resilience Act)

CRA-Compliance (Cyber Resilience Act)

Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union zum ersten Mal einen verbindlichen, horizontalen Rechtsrahmen für die Cybersicherheit von Produkten mit digitalen Elementen. Was die DSGVO für den Datenschutz war, wird der CRA für die Produktsicherheit: ein Gesetz mit weitreichenden Pflichten, empfindlichen Strafen — und einem konkreten Zeitplan.

Ein wichtiger Hinweis vorweg: IT-Wachdienst bietet keine Beratung im juristischen Sinn an. Wir unterstützen Sie bei der technischen Umsetzung der Anforderungen. Die Interpretation der hier zitierten Rechtstexte ist naheliegend, erhebt aber keinen Anspruch auf Vollständigkeit oder Korrektheit.

Warum CRA-Maßnahmen jetzt notwendig sind

Der CRA (Verordnung (EU) 2024/2847) ist am 10. Dezember 2024 in Kraft getreten. Auch wenn die Hauptpflichten erst ab 11. Dezember 2027 vollständig greifen, beginnt die Uhr bereits jetzt zu ticken:

  • Ab 11. September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.
  • Security-by-Design lässt sich nicht kurz vor Fristablauf nachrüsten — sichere Produkte müssen von Anfang an sicher entwickelt werden.
  • Schwachstellen-Management, technische Dokumentation und ein Software Bill of Materials (SBOM) sind Prozesse, die Zeit zum Aufbau brauchen.

Wer Produkte mit digitalen Elementen herstellt, importiert oder vertreibt, sollte deshalb jetzt mit der Vorbereitung beginnen.

Was der CRA von Unternehmen verlangt

Der CRA stellt eine Reihe grundlegender Anforderungen, die für die gesamte Lebensdauer eines Produkts gelten:

  • Security by Design & by Default — Sicherheit muss von der Konzeption an mitgedacht und in den Standardeinstellungen aktiv sein.
  • Schwachstellen-Management — Hersteller müssen Schwachstellen über den gesamten Lebenszyklus identifizieren, dokumentieren und durch Sicherheitsupdates beheben.
  • Software Bill of Materials (SBOM) — Eine nachvollziehbare Auflistung aller verwendeten Komponenten und Abhängigkeiten.
  • Meldepflichten — Aktiv ausgenutzte Schwachstellen und schwere Vorfälle müssen an ENISA bzw. das zuständige CSIRT gemeldet werden — eine Frühwarnung binnen 24 Stunden, eine detaillierte Meldung binnen 72 Stunden.
  • Konformitätsbewertung & CE-Kennzeichnung — Die Einhaltung der Anforderungen ist nachzuweisen und zu dokumentieren.

Für wen ist das relevant?

Betroffen ist nicht nur die klassische Hardware-Industrie. In den Anwendungsbereich fallen unter anderem:

  • Hersteller von vernetzten Geräten und IoT-Produkten
  • Anbieter von Software-Produkten, Apps und SaaS-Komponenten
  • Entwickler von Bibliotheken, Frameworks und Komponenten, die in andere Produkte einfließen
  • Importeure und Händler, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen

Wie der IT-Wachdienst Sie unterstützt

Der CRA fordert auf vielen Ebenen technische Maßnahmen — und genau hier ist der IT-Wachdienst Ihr vielseitiger Partner. Wir begleiten Sie entlang des gesamten Produktlebenszyklus:

  • Bedrohungsanalyse & Threat-Modeling-Training — Security by Design beginnt im Kopf Ihrer Entwickler. Wir schulen Ihr Team darin, Risiken früh zu erkennen.
  • Schwachstellen-Scan — Kontinuierliche, automatisierte Überprüfung Ihrer Systeme als Fundament eines belastbaren Schwachstellen-Managements.
  • Penetrationstest — Manuelle, tiefgehende Sicherheitsprüfung Ihrer Produkte und Anwendungen mit detailliertem Bericht.
  • Angriffsoberflächen-Analyse — Wir zeigen auf, wie ein Angreifer Ihre Produkte und Infrastruktur sieht.
  • Vorab-Prüfung — Bereiten Sie sich gezielt auf Konformitätsbewertungen und externe Audits vor.
  • Sicherheitsberatung — Strategische Begleitung beim Aufbau Ihrer Security-Prozesse.

So schaffen Sie die technische Grundlage, die der CRA voraussetzt — und verwandeln eine regulatorische Pflicht in einen echten Wettbewerbsvorteil: nachweisbar sichere Produkte, denen Ihre Kunden vertrauen.

Worauf warten Sie?

Die Fristen rücken näher. Lassen Sie uns gemeinsam klären, wo Ihr Unternehmen steht und welche Maßnahmen für Ihre CRA-Konformität sinnvoll sind.

Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!

Häufig gestellte Fragen

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist eine EU-weite Verordnung, die erstmals verbindliche Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen festlegt — also für nahezu jede Hard- und Software, die auf dem EU-Markt bereitgestellt wird. Hersteller müssen die Sicherheit über den gesamten Produktlebenszyklus gewährleisten, Schwachstellen aktiv behandeln und bestimmte Vorfälle melden.

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Anwendung erfolgt gestaffelt: Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten ab dem 11. September 2026. Die vollständigen Hersteller-Pflichten (Security by Design, Konformitätsbewertung, CE-Kennzeichnung) gelten ab dem 11. Dezember 2027. Wer betroffen ist, sollte jetzt mit der Vorbereitung beginnen.

Betroffen sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen — von vernetzten Geräten (IoT) über Software-Produkte und Apps bis hin zu Bibliotheken und Komponenten. Auch wer Software als Teil seines Produkts ausliefert oder vertreibt, fällt häufig in den Anwendungsbereich. Im Zweifel klären wir in einem Erstgespräch gemeinsam, ob und in welchem Umfang Sie betroffen sind.

Verstöße gegen die grundlegenden Cybersicherheits-Anforderungen können mit Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Hinzu kommen Marktrücknahmen, Vertriebsverbote und Reputationsschäden.

Wir begleiten Sie technisch über den gesamten Produktlebenszyklus: von der Bedrohungsanalyse (Threat Modeling) in der Entwicklung über Schwachstellen-Scans, Penetrationstests und Angriffsoberflächen-Analysen bis hin zum Aufbau eines kontinuierlichen Schwachstellen-Managements. So schaffen Sie die technische Grundlage, die der CRA voraussetzt.
Happy customer

Der regelmäßige Schwachstellen-Scan unserer produktiven Infrastruktur ist sehr wertvoll! Besonders hilfreich waren dabei das gute Briefing und die regelmäßigen Berichte, die übersichtlich nach Priorität geordnet die wichtigsten Lücken mitsamt Handlungsanweisungen aufführen. Gemeinsam konnten wir so wichtige Schwachstellen beheben.

Georg Sorst, CTO bei Findologic GmbH

Happy customer

Wir haben bei der Entwicklung einer Web-Anwendung für einen großen, internationalen Kunden mit IT-Wachdienst zusammengearbeitet. Der detaillierte Bericht nach der Durchführung eines Penetrationstests war sehr hilfreich und hat die Sicherheit unserer Software sowie unsere internen Prozesse positiv verändert. Eine klare Empfehlung!

Rainer Burgstaller, Senior Consultant bei eMundo GmbH