CRA Beratung: Cyber Resilience Act für Hersteller | SECURAM

ISMS · EU-Verordnung 2024/2847

CRA Beratung: Cyber Resilience Act für Hersteller

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) macht Cybersicherheit für alle Produkte mit digitalen Elementen zur Pflicht. Hersteller, Importeure und Händler müssen Security-by-Design nachweisen, eine Software Bill of Materials führen und aktiv ausgenutzte Schwachstellen melden. Die Meldepflicht greift ab September 2026, die Vollgeltung ab Dezember 2027. SECURAM begleitet den gesamten Weg von der Produktklassifizierung über den SBOM-Aufbau bis zur CE-Kennzeichnung.

Erstgespräch vereinbaren Leistungsumfang ↓

CRA Cyber Resilience

Ausgangslage

Warum der Cyber Resilience Act Hersteller betrifft

Produktsicherheit wird vom Wettbewerbsvorteil zur regulatorischen Pflicht.

Der Cyber Resilience Act ist die erste EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für sämtliche Produkte mit digitalen Elementen festlegt. Anders als die NIS-2-Richtlinie, die Organisationen reguliert, setzt der CRA an der Produktseite an: Jede Hardware und Software, die im europäischen Binnenmarkt in Verkehr gebracht wird, muss künftig nachweislich sicher entwickelt, dokumentiert und über den gesamten Lebenszyklus gepflegt werden. Die Verordnung betrifft Hersteller, Importeure und Händler unabhängig von der Unternehmensgröße.

Die Meldepflicht nach Artikel 14 tritt bereits im September 2026 in Kraft: Aktiv ausgenutzte Schwachstellen müssen binnen 24 Stunden an die ENISA und die zuständige nationale Marktaufsichtsbehörde gemeldet werden. Die vollständige Anwendung aller Anforderungen, einschließlich CE-Kennzeichnung und technischer Dokumentation nach Anhang VII, gilt ab Dezember 2027. Der CRA unterscheidet vier Produktkategorien: Standardprodukte, wichtige Produkte der Klasse I und II sowie kritische Produkte. Je höher die Einstufung, desto strenger der Konformitätsbewertungsweg. Die Durchführungsverordnung (EU) 2025/2392 präzisiert die Zuordnung einzelner Produkttypen zu diesen Kategorien.

In unseren Projekten beobachten wir, dass viele mittelständische Hersteller die Tragweite der Verordnung unterschätzen. Wer vernetzte Produkte vertreibt, muss Security-by-Design in den Entwicklungsprozess integrieren, eine Software Bill of Materials (SBOM) als Pflichtdokumentation führen und einen koordinierten Schwachstellenoffenlegungsprozess etablieren. SECURAM unterstützt Hersteller bei der systematischen Umsetzung und verbindet die CRA-Anforderungen mit bestehenden ISMS-Strukturen. Unternehmen, die bereits nach ISO 27001 zertifiziert sind, können vorhandene Risikoanalysen und Dokumentationsprozesse für den CRA nutzen und den Umsetzungsaufwand erheblich reduzieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert als nationale Marktaufsichtsbehörde über die deutschen Umsetzungsschritte.

Leistungsumfang

CRA: Von der Produktklassifizierung bis zur CE-Kennzeichnung

Acht Leistungsbausteine für die vollständige CRA-Konformität.

Produktinventar und Betroffenheitscheck

Systematische Erfassung aller Produkte mit digitalen Elementen und Prüfung der CRA-Betroffenheit. Ergebnis ist eine vollständige Produktliste mit CRA-Status je Produkt.

Produktklassifizierung

Einstufung jedes Produkts in die Kategorien Standard, Klasse I, Klasse II oder Kritisch nach den Anhängen III und IV. Bestimmung des jeweils vorgeschriebenen Konformitätsbewertungswegs.

Risikoanalyse nach Artikel 13

Produktspezifisches Cybersecurity Risk Assessment für jedes betroffene Produkt. Identifikation von Bedrohungsszenarien, Angriffsflächen und Schutzmaßnahmen über den gesamten Produktlebenszyklus.

SBOM-Aufbau

Erstellung einer maschinenlesbaren Software Bill of Materials als Pflichtdokumentation. Erfassung aller Softwarekomponenten einschließlich Open-Source-Bibliotheken und Abhängigkeiten.

Schwachstellenmanagement

Aufbau eines koordinierten Offenlegungsprozesses (Coordinated Vulnerability Disclosure) und Definition von Patch-Prozessen für die gesamte Produktlebensdauer.

Technische Dokumentation

Erstellung der Anhang-VII-konformen Dokumentation mit Produktbeschreibung, Risikoanalyse, Sicherheitsarchitektur und Nachweisen über den gesamten Entwicklungsprozess.

CE-Kennzeichnung

Erstellung der EU-Konformitätserklärung und Begleitung des Zertifizierungspfads. Bei Klasse-II- und kritischen Produkten: Vorbereitung auf die Bewertung durch benannte Stellen.

Meldepflicht-Prozesse

Implementierung der ENISA-Meldekette für aktiv ausgenutzte Schwachstellen nach Artikel 14. Aufbau interner Eskalationswege und Einhaltung der 24-Stunden-Frist.

Ablauf

CRA-Konformität in 6 Phasen

Produktinventar und CRA-Betroffenheitscheck

Woche 1–2

Erfassung aller Produkte mit digitalen Elementen im Unternehmen. Prüfung der CRA-Anwendbarkeit und erste Einschätzung der Produktkategorien.

Deliverable: Produktliste mit CRA-Status

Produktklassifizierung und Konformitätsweg

Woche 2–4

Einstufung in Standard, Klasse I, Klasse II oder Kritisch nach den CRA-Anhängen. Bestimmung des Konformitätsbewertungswegs je Produkt und Ableitung der Umsetzungsstrategie.

Deliverable: Klassifizierungsmatrix, Konformitätsstrategie

SBOM-Aufbau und Schwachstellenmanagement-Prozess

Woche 4–12

Erstellung der Software Bill of Materials für jedes betroffene Produkt. Paralleler Aufbau des Schwachstellenmanagements mit Coordinated Vulnerability Disclosure und Patch-Prozessen.

Deliverable: SBOM je Produkt, Vulnerability-Disclosure-Policy

Technische Dokumentation nach Anhang VII

Woche 8–14

Erstellung der vollständigen technischen Dokumentation einschließlich Produktbeschreibung, Risikoanalysen, Sicherheitsarchitektur und Testberichte.

Deliverable: Technische Dokumentation, Risikoanalysen

CE-Kennzeichnung und Konformitätserklärung

Woche 12–15

Erstellung der EU-Konformitätserklärung und Vorbereitung der CE-Kennzeichnung. Bei höher eingestuften Produkten: Abstimmung mit benannten Stellen.

Deliverable: EU-Konformitätserklärung, CE-Dokumentation

Laufendes Monitoring und ISBaaS-Übergang

Fortlaufend

Überführung in den laufenden Betrieb mit kontinuierlichem Schwachstellenmonitoring, SBOM-Pflege und Meldepflicht-Koordination. Optionaler Übergang in das ISBaaS-Modell.

Deliverable: Monitoring-Framework, Übergabedokumentation

Zeitangaben basieren auf typischen Projekten mit 5 bis 20 betroffenen Produkten. Die tatsächliche Dauer hängt von der Produktkomplexität, der Anzahl betroffener Produkte und den vorhandenen Prozessen ab.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+

Implementierte Managementsysteme

50+

Durchgeführte interne Audits

15+

Betreute Organisationen (aaS)

20+

Jahre Beratungserfahrung

Skalierung

Einmal aufbauen, mehrfach zertifizieren

Die CRA-Risikoanalyse nutzt dieselben Strukturen wie ein ISMS. Wer systematisch aufbaut, profitiert bei jeder Erweiterung.

Die CRA-Risikoanalyse nach Artikel 13 nutzt dieselben Strukturen wie ein ISMS nach ISO 27001. Organisationen mit bestehendem Managementsystem reduzieren den Dokumentationsaufwand erheblich.

Weitere Standards in der ISMS-Säule

TISAX BSI IT-Grundschutz KRITIS DORA CISIS12

Laufender Betrieb

ISBaaS — Externer Informationssicherheitsbeauftragter

Mit dem ISBaaS-Modell stellt SECURAM einen externen Informationssicherheitsbeauftragten, der den laufenden ISMS-Betrieb übernimmt. Das Modell eignet sich für Organisationen, die nach der Implementierung keine eigene Vollzeitstelle für Informationssicherheit einrichten können oder wollen.

Für CRA-betroffene Hersteller ist das ISBaaS-Modell besonders relevant, weil die Verordnung ein kontinuierliches Schwachstellenmanagement nach Artikel 13 verlangt. SBOM-Pflege, Patch-Koordination und die Einhaltung der ENISA-Meldepflichten sind Daueraufgaben, die über das einmalige Implementierungsprojekt hinausgehen.

Schwachstellenmanagement und Coordinated Vulnerability Disclosure
SBOM-Pflege und regelmäßige Aktualisierung
Meldepflicht-Koordination gegenüber ENISA und Marktaufsicht
Produktsicherheits-Monitoring über den gesamten Lebenszyklus

Mehr zu ISBaaS →

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — Cyber Resilience Act

+ Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist die erste EU-weite Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Die Verordnung ist seit Dezember 2024 in Kraft und betrifft Hardware und Software gleichermaßen. Hersteller müssen künftig Security-by-Design nachweisen, eine Software Bill of Materials führen und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden. Ziel ist ein einheitliches Sicherheitsniveau für alle digitalen Produkte im europäischen Binnenmarkt.

+ Wer ist vom CRA betroffen?

Der CRA betrifft alle Wirtschaftsakteure, die Produkte mit digitalen Elementen in der EU in Verkehr bringen: Hersteller, Importeure und Händler. Die Unternehmensgröße spielt keine Rolle. Entscheidend ist, ob ein Produkt Software oder vernetzte Hardware enthält und auf dem EU-Markt bereitgestellt wird. Auch Open-Source-Software fällt unter bestimmten Bedingungen in den Anwendungsbereich, sofern sie kommerziell genutzt wird.

+ Ab wann gilt der CRA?

Der CRA trat im Dezember 2024 in Kraft. Die Umsetzung erfolgt gestaffelt: Ab September 2026 greifen die Meldepflichten für aktiv ausgenutzte Schwachstellen nach Artikel 14 gegenüber ENISA und der nationalen Marktaufsicht. Die vollständige Anwendung aller Anforderungen, einschließlich CE-Kennzeichnung und technischer Dokumentation, gilt ab Dezember 2027. Unternehmen haben damit ein begrenztes Zeitfenster für die Umsetzung.

+ Was kostet die CRA-Beratung?

Die Kosten richten sich nach der Anzahl betroffener Produkte, deren Klassifizierung und dem bestehenden Reifegrad des Unternehmens. Pauschalaussagen wären unseriös. Ein Produktinventar mit Betroffenheitscheck liefert innerhalb von zwei bis drei Wochen eine belastbare Aufwandsschätzung in Personentagen. SECURAM arbeitet auf Tagessatzbasis, sodass der Aufwand transparent und steuerbar bleibt.

+ Was unterscheidet SECURAM bei der CRA-Beratung?

SECURAM verbindet CRA-Beratung mit der Erfahrung aus mehr als 30 implementierten Managementsystemen. Die Integration von ISMS-Strukturen nach ISO 27001 mit den produktspezifischen CRA-Anforderungen vermeidet Doppelarbeit bei Risikoanalyse und Dokumentation. Zudem bietet SECURAM mit dem ISBaaS-Modell eine dauerhafte Betreuung für das laufende Schwachstellenmanagement und die ENISA-Meldepflichten.

+ Reicht ISO 27001 für den CRA?

Ein zertifiziertes ISMS nach ISO 27001 liefert eine gute Grundlage, insbesondere bei Risikoanalyse und Dokumentationsprozessen. Der CRA geht jedoch deutlich darüber hinaus: Er fordert produktspezifische Sicherheitsanforderungen, eine Software Bill of Materials, koordinierte Schwachstellenoffenlegung und CE-Kennzeichnung. Wer bereits ISO 27001 zertifiziert ist, kann bestehende Strukturen nutzen und den CRA-Aufwand reduzieren, muss aber die produktspezifischen Anforderungen zusätzlich umsetzen.

+ Was ist ein SBOM?

Ein SBOM (Software Bill of Materials) ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten eines Produkts, einschließlich Open-Source-Bibliotheken und deren Versionen. Der CRA macht das SBOM zur Pflichtdokumentation für alle Produkte mit digitalen Elementen. Es dient als Grundlage für das Schwachstellenmanagement, weil bekannt gewordene Sicherheitslücken in einzelnen Komponenten sofort den betroffenen Produkten zugeordnet werden können.

+ Welche Produktklassen gibt es im CRA?

Der CRA unterscheidet vier Kategorien: Standardprodukte (Selbstbewertung möglich), wichtige Produkte Klasse I (z. B. Passwortmanager, Firewalls für Privatanwender), wichtige Produkte Klasse II (z. B. Betriebssysteme, Firewalls für Unternehmen) und kritische Produkte (z. B. Smartcard-Chips, Hardware-Sicherheitsmodule). Je höher die Klasse, desto strenger der vorgeschriebene Konformitätsbewertungsweg. Die Durchführungsverordnung (EU) 2025/2392 konkretisiert die Produktzuordnung.

+ Was sind die CRA-Bußgelder?

Artikel 64 des CRA sieht Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Diese Obergrenze gilt für Verstöße gegen die wesentlichen Sicherheitsanforderungen. Für andere Verstöße, etwa bei fehlender Dokumentation, können Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden. Die Durchsetzung liegt bei den nationalen Marktaufsichtsbehörden.

+ Was hat der CRA mit NIS-2 zu tun?

CRA und NIS-2 ergänzen sich als EU-Regelwerke für Cybersicherheit, setzen aber an unterschiedlichen Stellen an. Der CRA reguliert die Sicherheit von Produkten mit digitalen Elementen, also die Herstellerseite. NIS-2 reguliert die Cybersicherheit von Organisationen, also die Betreiberseite. Unternehmen, die sowohl Produkte herstellen als auch unter NIS-2 fallen, müssen beide Regelwerke parallel umsetzen. Ein ISMS nach ISO 27001 bildet für beide eine gemeinsame Grundlage.

CRA-Konformität rechtzeitig sicherstellen

Meldepflicht ab September 2026. Sprechen Sie mit unseren CRA-Beraterinnen über Produktklassifizierung, SBOM und CE-Kennzeichnung.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die CRA-Konformität

GAP-Analyse

CRA Betroffenheitscheck

Welche Ihrer Produkte fallen unter den CRA? Der Betroffenheitscheck liefert ein vollständiges Produktinventar mit Klassifizierung und Handlungsempfehlung je Produkt.

Betroffenheitscheck anfragen →

Internes Audit

CRA Compliance Audit

Wie weit ist Ihre Organisation auf dem Weg zur CRA-Konformität? Das Audit prüft den Umsetzungsstand bei Schwachstellenmanagement, SBOM und technischer Dokumentation.

Audit anfragen →

Implementierung