+49 40-298 4553-0

Buchen Sie Ihr Erstgespräch online

contact@securam-consulting.com

Securam Consulting Logo
Cyber Resilience Act Beratung – SECURAM Consulting

Produktsicherheit & Compliance

Cyber Resilience Act (CRA) Beratung

Von der Produktklassifizierung über das Schwachstellenmanagement bis zur CE-Kennzeichnung – SECURAM begleitet Hersteller digitaler Produkte durch den gesamten CRA-Prozess.

Abschnitt 01

Warum der CRA Hersteller jetzt handeln lässt

Mit der Verordnung (EU) 2024/2847 – dem Cyber Resilience Act – hat die EU verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen geschaffen. In Kraft getreten am 10. Dezember 2024, betrifft die Verordnung Hersteller, Importeure und Händler unabhängig von der Unternehmensgröße. Das Leitprinzip ist Security-by-Design: Sicherheit ist kein nachträgliches Add-on, sondern Bestandteil des Produktkonzepts.

Der CRA verpflichtet Hersteller zu einem durchgängigen Schwachstellenmanagement über den gesamten Produktlebenszyklus. Hinzu kommen Meldepflichten gegenüber ENISA nach Art. 14 CRA: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden initial gemeldet werden. CE-Kennzeichnung wird zur Pflicht.

Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – die CRA-Sanktionen nach Art. 64 lassen keinen Interpretationsspielraum.

Die Übergangsfristen sind gestaffelt: Die Meldepflichten nach Art. 14 gelten ab dem 11. September 2026, die vollständige Anwendung des CRA ab dem 11. Dezember 2027 (Art. 71 Abs. 2 und 3). Für ISMS-Verantwortliche und CTOs gilt: Wer jetzt beginnt, kann die Übergangsphase aktiv gestalten statt auf sie zu reagieren.

Abschnitt 02

CRA Anforderungen an Produkte mit digitalen Elementen

Der CRA unterscheidet nach dem Risikopotenzial des Produkts. Standardprodukte können durch Selbstbewertung konformitätsnachgewiesen werden. Wichtige Produkte der Klasse I – dazu zählen etwa Router, Netzwerkmanagementsoftware und Identitätsmanagementsysteme – erlauben ebenfalls die Selbstbewertung, sofern harmonisierte Normen angewendet werden.

Wichtige Produkte der Klasse II (Betriebssysteme, Hypervisoren, industrielle Firewalls) sowie kritische Produkte hingegen erfordern die Einbeziehung einer Notifizierten Stelle. Alle Kategorien müssen Schwachstellen über einen Support-Zeitraum von mindestens fünf Jahren beheben.

CRA-Produktkategorien im Überblick

  • Standardprodukte: Selbstbewertung
  • Klasse I: Selbstbewertung mit Normen
  • Klasse II: Notifizierte Stelle
  • Kritische Produkte: Notifizierte Stelle
  • Support-Zeitraum: min. 5 Jahre
  • CE-Kennzeichnung: Pflicht

Für viele Embedded- und IoT-Hersteller bedeutet die fünfjährige Wartungspflicht eine grundlegende Änderung des Geschäftsmodells. Langfristige Produktpflege war bisher oft kein kalkulierter Kostenfaktor – mit dem CRA wird sie zur rechtlichen Verpflichtung. Wer Unterstützung bei der CRA-Umsetzung sucht, sollte frühzeitig die Produktportfolios auf Risikoeinstufung und Konformitätsweg prüfen.

Abschnitt 03

CRA Verordnung und die Verbindung zur ISO 27001

Unternehmen mit einem bestehenden ISMS nach ISO 27001 haben eine solide Ausgangsbasis. Die risikobasierte Produktsicherheitsanalyse nach Art. 13 CRA kann auf vorhandene Risikoanalysestrukturen aufbauen. Auch die Dokumentationsanforderungen aus Anhang VII des CRA überschneiden sich teilweise mit den Nachweispflichten eines ISMS.

ISO 27001-Zertifizierung ist kein automatischer CRA-Nachweis – produktspezifische Anforderungen gehen über organisationale ISMS-Maßnahmen hinaus.

Dennoch gilt: Eine ISO 27001-Zertifizierung ist kein automatischer CRA-Konformitätsnachweis. Die produktspezifischen Anforderungen des CRA – insbesondere die technische Dokumentation nach Anhang VII und die Meldepflichten nach Art. 14 – gehen über die organisationalen Steuerungsmaßnahmen eines ISMS hinaus und erfordern produktbezogene Nachweisdokumentation. Wer zusätzlich die Anforderungen der NIS-2-Richtlinie im Blick hat, findet ähnliche Strukturparallelen und ähnliche Abgrenzungsbedarfe.

Abschnitt 04

CRA Hersteller-Pflichten im Supply-Chain-Kontext

Die CRA-Pflichten enden nicht an den Unternehmensgrenzen. Drittkomponenten – ob Open-Source oder kommerziell – müssen dokumentiert und auf bekannte Schwachstellen geprüft werden. Das Instrument dafür ist das Software Bill of Materials (SBOM): eine vollständige Stückliste aller Softwarekomponenten, die in einem Produkt verbaut sind.

Ohne lückenlose Komponentendokumentation ist weder eine zuverlässige Risikoanalyse noch ein funktionierendes Schwachstellenmanagement möglich. Die Anforderung gilt für alle Produkte im Anwendungsbereich des CRA – die Tiefe der Lieferkette ist dabei unerheblich. Wer heute keine SBOM-Prozesse betreibt, sollte deren Einführung priorisieren.

Verordnung (EU) 2024/2847 – Zeitplan

In Kraft seit 10. Dezember 2024. Meldepflichten nach Art. 14 gelten ab dem 11. September 2026. Vollständige Anwendung ab dem 11. Dezember 2027 (Art. 71 Abs. 2 und 3 CRA). Stand März 2026 läuft die Einführungs- und Übergangsphase.

SECURAM unterstützt bei der SBOM-Einführung und der Integration in Entwicklungs- und Serviceprozesse. Das Ziel: ein CRA-konformes Schwachstellenmanagement, das nicht nur regulatorische Anforderungen erfüllt, sondern in die operative Praxis passt.

CRA-Readiness prüfen

SECURAM begleitet Sie von der Produktrisikoanalyse bis zum vollständigen Konformitätsnachweis. Sprechen Sie mit uns.

Erstgespräch vereinbaren

Was die Cyber Resilience Act Beratung umfasst

SECURAM begleitet den gesamten CRA-Prozess – von der Produktklassifizierung bis zur CE-fähigen Produktakte.

Produktklassifizierung

Einordnung jedes Produkts in die CRA-Produktkategorien gemäß Annex III und IV. Klassifizierung bestimmt Konformitätsbewertungsverfahren. Ergebnis: dokumentierte Klassifizierungsmatrix.

Conformity Assessment Vorbereitung

Aufbau des Konformitätsbewertungsprozesses nach Art. 32–36 CRA. Prüfverfahren, benannte Stellen, erforderliche Nachweise.

SBOM-Erstellung (Software Bill of Materials)

Vollständige Stücklistendokumentation aller Softwarekomponenten. Voraussetzung für Schwachstellenmanagement (Art. 13 Abs. 5 CRA). CI/CD-Integration.

Schwachstellenmanagement-Prozess

Strukturiertes Schwachstellenmanagement nach Art. 13 CRA über gesamten Produktlebenszyklus. 5-Jahres-Supportpflicht (Art. 13 Abs. 8 CRA).

Incident Reporting Setup (ENISA/BSI)

Meldeprozesse nach Art. 14 CRA: Erstmeldung an ENISA binnen 24 Stunden. Abstimmung mit nationalem CSIRT (BSI). Eskalationspfade.

Technische Dokumentation nach Annex VII

Produktbeschreibung, Sicherheitskonzept, Risikoanalyse, Testberichte, SBOM und Konformitätserklärung. Voraussetzung für CE-Kennzeichnung.

CE-Kennzeichnung Vorbereitung

Konformitätserklärung, technische Dokumentation, Einbindung benannter Stellen bei Important Class II und Critical-Produkten. Ergebnis: CE-fähige Produktakte.

Supply Chain Security Audit

Bewertung kritischer Softwarelieferanten nach Art. 13 Abs. 3 CRA. Sicherheitsnachweise, vertragliche Anforderungen. Abstimmung mit NIS-2-Rahmen.

Projekt oder laufendes Mandat? Die initiale CRA-Umsetzung ist ein Projekt mit klarem Ende. Wer nach der Einführungsphase eine kontinuierliche Betreuung des Schwachstellenmanagements und der Meldeprozesse benötigt, kann das im Rahmen des externen ISB verankern.

Nächster Schritt

Sie entwickeln Produkte mit digitalen Elementen und wollen prüfen, ob und wie der Cyber Resilience Act auf Ihr Portfolio zutrifft? In einem kostenfreien Erstgespräch klären wir die CRA-Relevanz Ihrer Produkte und welche Maßnahmen sinnvoll sind.

Erstgespräch vereinbaren ISMS-Übersicht

Warum SECURAM für die CRA-Umsetzung

Vier Gründe, warum Hersteller digitaler Produkte beim Cyber Resilience Act auf SECURAM setzen.

Regulatorik

CRA-Verordnungsexpertise

SECURAM kennt die Verordnung (EU) 2024/2847 im Detail – von den Produktkategorien in Annex III und IV über die Herstellerpflichten nach Art. 13 bis zu den Meldepflichten nach Art. 14. Die Beratung basiert auf dem aktuellen Verordnungstext, nicht auf Interpretationen Dritter.

Technik

SBOM- und DevSecOps-Kompetenz

SBOM-Erstellung, Schwachstellenmanagement und Incident Reporting erfordern technisches Verständnis für Entwicklungsprozesse und CI/CD-Pipelines. SECURAM verbindet regulatorische Anforderungen mit technischer Umsetzung in bestehenden Entwicklungsumgebungen.

Integration

Kombinierbarer Ansatz mit ISMS und NIS-2

Der CRA wirkt nicht isoliert. Hersteller, die gleichzeitig unter NIS-2 oder ISO 27001 fallen, profitieren von einem abgestimmten Vorgehen. SECURAM koordiniert CRA-Umsetzung, ISMS-Aufbau und NIS-2-Compliance aus einer Hand.

Praxis

Produktportfolio-Übergreifende Betreuung

Vom einzelnen IoT-Gerät bis zum diversifizierten Softwareportfolio: SECURAM skaliert die CRA-Umsetzung auf das tatsächliche Produktportfolio und vermeidet Pauschalansätze, die weder dem Einzelprodukt noch dem Gesamtunternehmen gerecht werden.

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin · SECURAM Consulting GmbH

Gründerin und Geschäftsführerin der SECURAM Consulting GmbH mit über 20 Jahren Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001, ITIL Expert und Datenschutzexpertin nach DSGVO (Art. 37) und BDSG. Ihr Fokus liegt auf Business Continuity Management und dem Aufbau nachhaltiger Governance-Strukturen.

→ Kontakt aufnehmen → LinkedIn-Profil
Download

Unternehmensflyer

Alle Leistungen auf einen Blick als PDF zum Weitergeben.

SECURAM Consulting Unternehmensflyer Vorschau

SECURAM Consulting

Unternehmensflyer mit Leistungsportfolio, Beratungsansatz und Kontaktdaten.

PDF, 5 Seiten
Flyer herunterladen

Für wen ist Cyber Resilience Act Beratung relevant?

Drei typische Ausgangssituationen führen Unternehmen zur CRA-Beratung:

IoT-Hersteller und Hardwareproduzenten

Unternehmen, die vernetzte Geräte für Industrie, Smart Home oder kritische Infrastrukturen entwickeln. Für sie ist der CRA die größte regulatorische Neuerung seit Jahren: Sicherheitsarchitektur und Updateversorgung müssen von Beginn an mitgeplant werden. Die Klassifizierung als Important oder Critical erhöht die Anforderungen an die Konformitätsbewertung erheblich. Ein Erstgespräch klärt die nächsten Schritte.

Softwareentwickler und ISVs

Anbieter von Software, die als Produkt mit digitalen Elementen in den EU-Markt gebracht wird. Sowohl kommerzielle On-Premise-Software als auch SaaS-Lösungen fallen grundsätzlich unter den CRA; die genaue Abgrenzung ist allerdings noch Gegenstand regulatorischer Präzisierungen. SBOM, Schwachstellenmanagement und Meldeprozesse sind künftig Pflicht.

Importeure und Händler

Unternehmen, die Produkte mit digitalen Elementen aus Drittländern in die EU einführen oder dort handeln. Sie tragen nach Art. 19 und 20 CRA eigenständige Verantwortung, dass die Produkte CRA-konform sind. Eigene Due-Diligence-Prozesse und vertragliche Absicherungen gegenüber Herstellern sind unumgänglich. Ein Erstgespräch klärt den konkreten Scope.

Häufige Fragen

Häufige Fragen zur Cyber Resilience Act Beratung

Praxisnahe Antworten zu Kosten, Fristen, Geltungsbereich und dem laufenden Schwachstellenmanagement nach Verordnung (EU) 2024/2847.

Die Kosten richten sich nach dem Umfang des Produktportfolios, der Anzahl und Klassifizierung der betroffenen Produkte sowie dem Reifegrad bestehender Entwicklungs- und Dokumentationsprozesse. Für ein einzelnes Produkt in der Standard-Kategorie ist der Aufwand deutlich geringer als für ein diversifiziertes Portfolio mit Important-Class-II-Produkten, die eine benannte Stelle erfordern. In einem Erstgespräch klären wir den Scope und erstellen ein individuelles Angebot.

Die Bestandsaufnahme und Produktklassifizierung beginnt in der Regel innerhalb von zwei Wochen nach Beauftragung. Hersteller mit einem großen Produktportfolio oder ohne bestehende Sicherheitsdokumentation sollten freilich einkalkulieren, dass die Phase 1 der GAP-Analyse drei bis fünf Wochen in Anspruch nimmt. Angesichts der Übergangsfrist bis 11. Dezember 2027 ist ein frühzeitiger Start sinnvoll – die technische Dokumentation nach Annex VII und die Konformitätsbewertung lassen sich nicht kurzfristig abarbeiten.

Ja. Die Verordnung (EU) 2024/2847 unterscheidet nicht nach Unternehmensgröße, sondern nach Produktkategorie. Jeder Hersteller, Importeur oder Händler, der Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringt, fällt grundsätzlich unter den CRA. Kleinstunternehmen und KMU können im Einzelfall von vereinfachten Verfahren bei der technischen Dokumentation profitieren (Art. 13 Abs. 17 CRA), die Kernpflichten – Schwachstellenmanagement, Meldepflichten und Sicherheitsanforderungen – gelten allerdings uneingeschränkt. Eine GAP-Analyse klärt schnell, welche Maßnahmen konkret erforderlich sind.

Ja. Die initiale CRA-Umsetzung ist ein Projekt – das Schwachstellenmanagement und die Meldepflichten nach Art. 14 CRA sind dagegen Dauerpflichten. Wer diese Aufgaben nicht vollständig intern abdecken kann oder will, kann das Mandat als Teil der Beauftragung des externen ISB (ISBaaS) verankern. Dort werden Schwachstellenprozesse, SBOM-Pflege und ENISA-Meldewege in den laufenden ISMS-Betrieb integriert.

NIS-2 (Richtlinie (EU) 2022/2555) adressiert Organisationen und deren Betrieb kritischer Infrastrukturen und digitaler Dienste – es geht um das Sicherheitsniveau des Unternehmens selbst. Der CRA hingegen adressiert Produkte: Jedes Produkt mit digitalen Elementen, das auf dem EU-Markt platziert wird, muss spezifische Sicherheitsanforderungen erfüllen. Beide Regelwerke können sich für ein Unternehmen gleichzeitig stellen. Die NIS-2-Beratung und die CRA-Beratung lassen sich methodisch sinnvoll kombinieren.

CRA und ISMS aus einer Hand: Wer den CRA als Anlass nimmt, das Informationssicherheits-Managementsystem strukturiert aufzubauen, schafft eine Grundlage, die gleichzeitig NIS-2, ISO 27001 und CRA-Anforderungen trägt.
Frage nicht beantwortet? Sprechen Sie uns direkt an.
Gespräch vereinbaren

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen