Nutzen Sie etablierte IEC 62443-Expertise, um Ihre Produkte sicher und CRA-konform aufzustellen.
Der Cyber Resilience Act (EU) 2024/2847 definiert erstmals auf EU-Ebene verpflichtende Cybersicherheitsanforderungen für Hersteller von Produkten mit digitalen Elementen. Diese Kategorie geht weit über klassische IT-Sicherheitsprodukte hinaus. Mit Wirkung vom 10. Dezember 2024 findet er Anwendung auf sämtliche Hard- und Softwareprodukte sowie Cloud-Services (SaaS) und Backend-Infrastrukturen, die als Bestandteil von Produkten mit digitalen Elementen eingesetzt und in der EU vertrieben werden.
Betroffen sind Hard- und Softwareprodukte sowie mit Einschränkung auf Cloud-Services und Backend-Infrastrukturen, die in der EU in Verkehr gebracht werden.
Implementierung von „Security by Design" in der Produktentwicklung gemäß Art. 13 CRA.
Erstellung und kontinuierliche Aktualisierung einer SBOM zur Lieferkettentransparenz.
Etablierung eines Schwachstellenmanagements mit regelmäßigen Risikobewertungen sowie Meldepflicht für kritisch ausgenutzte Schwachstellen (innerhalb 24 Stunden) ab 11. September 2026.
Automatische und sichere Update-Funktionen für Sicherheits-Patches während der gesamten Supportdauer.
Standardprodukte benötigen weniger aufwendige Konformitätsbewertungen, während wichtige (Klasse I/II) und kritische Produkte strengeren Anforderungen und ggf. Zertifizierungen durch notifizierte Stellen unterliegen.
Der CRA betrifft eine breite Palette von Unternehmen entlang der Lieferkette und Betreiber digitaler Produkte.
Unternehmen, die Produkte mit digitalen Elementen entwickeln oder herstellen (oder entwickeln/herstellen lassen) und sie unter eigenem Namen oder eigener Marke erstmals auf dem EU-Markt bereitstellen – entgeltlich oder kostenlos. Dazu zählen Hardware, Software sowie notwendige Remote-Datenverarbeitung, ohne die das Produkt seine Funktion nicht erfüllen kann (z. B. vernetzte Geräte/IoT, industrielle Steuerungen, Software-Komponenten).
Rechtsbasis: Art. 2 Abs. 1; Art. 3 Nr. 1, 2, 13; Art. 13 CRA
Importeure bringen Produkte mit digitalen Elementen aus Drittländern in der EU in Verkehr; Vertreiber stellen sie auf dem EU-Markt bereit. Vor der Bereitstellung sind u. a. CE-Kennzeichnung und EU-Konformitätserklärung zu prüfen und sicherzustellen, dass die Herstellerpflichten erfüllt wurden. Bei erkannten Risiken oder Nichtkonformität sind geeignete Maßnahmen einzuleiten und Behörden zu unterstützen.
Rechtsbasis: Art. 3 Nr. 16, 17; Art. 19, 20 CRA
Wer ein Produkt unter eigener Marke in Verkehr bringt oder nach dem Inverkehrbringen eine wesentliche Änderung vornimmt, gilt rechtlich als Hersteller – mit den entsprechenden Herstellerpflichten für das Produkt bzw. den geänderten Umfang.
Rechtsbasis: Art. 21, 22 i. V. m. Art. 13, 14 CRA
Bei Produkten mit langen Einsatz- und Supportzyklen (z. B. Industrie-Hardware, Automatisierungstechnik, ICS/SCADA, Embedded/Industrial IoT) wird der Supportzeitraum zum Schlüsselfaktor. Der CRA verlangt einen definierten Supportzeitraum sowie wirksame Prozesse für Schwachstellenbehandlung und Security-Updates über diesen Zeitraum (grundsätzlich mindestens 5 Jahre; kürzer nur bei erwarteter Nutzung unter 5 Jahren).
Rechtsbasis: Art. 13 Abs. 8; Anhang I Teil II; Art. 14 CRA
CRA betrifft nicht nur Endprodukthersteller: Auch Zulieferer von Hard-/Software-Komponenten, Bibliotheken und Remote-Services beeinflussen Konformität und Nachweise (z. B. technische Dokumentation/SBOM). Hersteller tragen die Gesamtverantwortung für das Produkt; Importeure und Vertreiber haben Prüf- und Mitwirkungspflichten. Open-Source-Software-Stewards unterliegen begrenzten, spezifischen Pflichten (z. B. Cybersecurity-Policy sowie bestimmte Melde-/Kooperationspflichten).
Rechtsbasis: Art. 3 Nr. 12, 14, 39; Art. 13–24; Anhang I CRA
Die folgende Übersicht gibt Ihnen einen Überblick über die wichtigsten Fristen im Zeitstrahl, damit Sie immer wissen, was wann zu tun ist.
Bei Verstößen können empfindliche Geldbußen verhängt werden. Die Höhe richtet sich nach Schwere des Verstoßes und dem weltweiten Jahresumsatz (§ Art. 60 CRA).
Bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes – es gilt jeweils der höhere Betrag.
Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes – es gilt jeweils der höhere Betrag.
Bis zu 5 Millionen Euro oder 1% des weltweiten Jahresumsatzes – es gilt jeweils der höhere Betrag.
Der CRA bringt neue Pflichten für den gesamten Produktlebenszyklus mit sich. In der Praxis scheitert
die Umsetzung häufig nicht am „Wollen“, sondern an fehlenden Kapazitäten, mangelnder Transparenz und
einem zu späten Einstieg in Governance und Vulnerability-Management.
Die Kennzahlen stammen aus einer Befragung, die nach Unternehmensgröße ausgewertet wurde. Sie zeigen,
wie häufig der CRA bekannt ist, wie oft regulatorische Anforderungen aktiv verfolgt werden und wie die
eigene Sicherheitsreife eingeschätzt wird. Die Prozentwerte geben den Anteil der Befragten pro Größenklasse
an. Der „Level of Cyber Security“ ist ein Selbstrating (höher = besser).
Datenbasis: IEOM-Studie 2024, Survey; n=673. Auswertung nach Unternehmensgröße; Details siehe Quelle[1].
Anteil der Befragten, die den CRA kennen/mit ihm vertraut sind.
Skala 0–100% (Anteil der Befragten)
Anteil der Unternehmen mit aktivem, wiederkehrendem Monitoring.
Skala 0–100% (Anteil der Befragten)
Selbstbewertung der Sicherheitsreife.
Skala 1–6 (1 = niedrig, 6 = hoch)
Die Zahlen erklären, warum CRA-Programme häufig mit Readiness-Klärung starten: Erst Betroffenheit und Reifegrad bestimmen, dann Aufwand und Roadmap ableiten. Nächster Schritt: Klassifikationscheck (Einstufung/Scope als Einstieg in die Umsetzung).
Zweck: Dieser Fragebogen dient zur systematischen Bewertung, ob ein Produkt unter den Cyber Resilience Act (Verordnung (EU) 2024/2847) fällt und welcher Produktklasse es zuzuordnen ist.
Beschreibung wird angezeigt...
Dieser Fragebogen dient der ersten Orientierung. Für eine rechtssichere Bewertung sollten Sie ggf. rechtlichen oder technischen Rat einholen. Die Durchführungsverordnung (EU) 2025/2392 vom 28. November 2025 konkretisiert die technischen Beschreibungen der Produktkategorien und sollte für detaillierte Klassifizierungen herangezogen werden.
Von der Produktklassifizierung bis zur Zertifizierung – wir führen Sie durch alle CRA-Anforderungen
Verstehen Sie Ihren Status quo und entwickeln Sie eine realistische Roadmap für CRA-Konformität.
Wir analysieren alle Ihre Produkte mit digitalen Elementen, ordnen sie den CRA-Kategorien zu (Standard, Klasse I, Klasse II, Kritisch) und identifizieren, welche externen Zertifizierungen erforderlich werden.
Nutzen: Klare Transparenz über Compliance-Anforderungen; vermeiden Sie kostspielige Fehlklassifizierungen
Nicht nur Ihre Komponenten müssen CRA-konform sein. Wir durchleuchten Ihre gesamte Lieferkette – Hardware-Zulieferer, Open-Source-Komponenten, Cloud-Services, Third-Party-Libraries – auf Schwachstellen und Abhängigkeitsrisiken.
Nutzen: Identifizieren Sie Hidden Risks früh; bereiten Sie transparente Lieferketten-Dokumentation vor
Wir definieren klare Rollen, Verantwortlichkeiten und Governancestrukturen für CRA-Compliance – vom Engineering über Product Management bis zur Geschäftsleitung. Keine Bürokratie, sondern integrierte Workflows.
Nutzen: CRA wird Geschäftsnormal, nicht Zusatzaufwand; klare Verantwortlichkeiten senken Fehlerquoten
Entwicklung oder Anpassung Ihrer Produkte und Prozesse nach CRA-Anforderungen.
„Sicherheit von Anfang an" ist kein Schlagwort im CRA, sondern Pflicht. Wir integrieren strukturiertes Threat Modeling, Sicherheits-Architektur-Reviews und Security Quality Gates direkt in Ihren Entwicklungsprozess – für agile Teams genauso wie für klassische Waterfall-Ansätze.
Nutzen: Sicherheitslücken entstehen erst gar nicht; reduzierte Patch-Lasten in Produktion; glaubhafter gegenüber Audits
Eine saubere SBOM ist die Grundlage für alles Weitere: CVE-Management, Update-Planung, Lieferketten-Transparenz. Wir helfen Ihnen, SBOMs automatisiert zu generieren, zu pflegen und in Ihre Supply-Chain-Governance zu integrieren.
Nutzen: Automatisierte Transparenz; schnelle Reaktion auf CVEs; Nachweis für Compliance-Audits
Die gängigste Basis für CRA-Konformität ist IEC 62443 (Cybersecurity für industrielle Automatisierung). Für andere Produktkategorien nutzen wir NIST, OWASP oder proprietäre Standards. Wir mappen Ihre aktuellen Sicherheitsmaßnahmen auf CRA-Anforderungen und schließen Lücken.
Nutzen: Fokus auf die Maßnahmen mit höchster Wirkung; vermeiden Sie Über-Engineering; harmonisierte Sicherheitsstandards
Der CRA schreibt ein strukturiertes Schwachstellenmanagement vor: Monitoring, Risikobewertung, Priorisierung, Patch-Planung, koordinierte Offenlegung. Ab 11. September 2026 gelten auch Meldepflichten an ENISA und nationale Cybersicherheitsbehörden.
Nutzen: Schnellere Response auf Schwachstellen; Meldepflichten geplant statt im Notfall; Reputationsschutz
Der CRA fordert Sicherheitsupdates über die gesamte Supportdauer (mindestens 5 Jahre). Wir helfen Ihnen, Support-Fenster zu definieren, automatisierte Update-Kanäle aufzubauen und Ihre Support-Verpflichtungen transparent zu kommunizieren.
Nutzen: Planbare Supportkosten; Kunden wissen klar, wie lange ihre Produkte gepflegt werden; Compliance-sicher
Ein vollständiges technisches Dossier ist Pflicht – Design-Docs, Risikobewertungen, SBOM, Sicherheitsmaßnahmen, Update-Strategie, Lieferketten-Informationen. Wir helfen Ihnen, diese Dokumentation strukturiert und wartbar aufzubauen.
Nutzen: Audits und Zertifizierungen laufen reibungslos; interne Wissenserhaltung; Basis für regulatorische Audits
Nachweis der Einhaltung durch Selbstbewertung, externe Audits oder notifizierte Stellen.
Je nach Produktklasse: Modul A (Selbstbewertung für Standardprodukte), Modul B+C (Baumuster + Fertigung), oder Modul H (QMS-Bewertung). Wir unterstützen Sie bei der Vorbereitung und Durchführung – oder begleiten Sie durch die Prüfung mit notifizierten Stellen.
Nutzen: Rechtssicherheit; CE-Kennzeichnung; Basis für Marktüberwachung
Für wichtige Produkte (Klasse I/II) und kritische Produkte: Wir identifizieren geeignete, akkreditierte notifizierte Stellen, bereiten Ihr Dossier vor und unterstützen während der Zertifizierungsprüfung.
Nutzen: Unabhängige Bestätigung der Sicherheit; Kundenvertrauen; Haftungsreduktion
Einmalige oder regelmäßige CE-Kennzeichnung, EU-Konformitätserklärung und Archivierung des Konformitätsdossiers – mit klarer Verantwortlichkeit und Compliance-Dokumentation.
Nutzen: Rechtliche Sicherheit; Marktplatz-Anforderungen erfüllt; nachweisbar dokumentiert
Der CRA ist ein Live-Regelwerk – ständig neue Standards, notifizierte Stellen, Leitlinien. Wir halten Sie auf dem Laufenden.
Neue Durchführungsverordnungen, Standards (EN 62443, NIST), notifizierte Stellen, ENISA-Leitlinien – wir überwachen Änderungen und teilen relevante Updates mit Ihnen.
Nutzen: Sie werden nicht von Regeländerungen überrascht; frühzeitige Planung
Regelmäßige interne oder externe Audits, um sicherzustellen, dass Ihre CRA-Compliance nicht in Warteschleifen steckenbleibt. Wir prüfen Prozesse, Dokumentation und technische Maßnahmen.
Nutzen: Frühzeitige Erkennung von Drift; kontinuierliche Verbesserung; Audit-Readiness
Ein Sicherheitsvorfall ist entdeckt? Fristen sind kurz (24h Frühwarnung, 72h detaillierter Report). Wir helfen Ihnen, korrekt und zeitnah über ENISA und nationale CSIRTs zu melden.
Nutzen: Rechtssicherheit; minimierter Reputationsschaden; strukturierte Response
CRA-Programme scheitern in der Praxis oft an Kapazität, fehlenden Nachweisen und zu wenig Engineering-Tiefe in der Umsetzung – insbesondere bei komplexen Produkten und Lieferketten.
Security Engineering statt Folien: Unterstützung von der Einstufung und Roadmap bis zur technischen Umsetzung (Secure Development, Nachweise, Schwachstellenprozesse) – abgestimmt auf Produkt und Organisation.
Nutzen: Unterstützung bei hohen Schutzanforderungen für OT/Embedded und vernetzte Produkte.
Nutzen: Technische Umsetzung direkt im Engineering-Setup, nicht nur Beratung.
Nutzen: Praxis mit regulatorischem Umfeld, Safety-/Security-Schnittstellen und langlebigen Produkten.
Nutzen: Nachweisbare Governance und gelebte Prozesse.
| Thema | Compliance-Fokus | Engineering-Fokus (SmartTECS) |
|---|---|---|
| Roadmap & Dokumentation | ≈ Teilweise | ✓ Ja |
| Secure Development / CI/CD | ✗ Nein | ✓ Ja |
| IEC 62443 Erfahrung (bis SL4) | ✗ Nein | ✓ Ja |
| OT/ICS & Langläufer-Produkte | ≈ Teilweise | ✓ Ja |
| Lieferkette / SBOM / SCA | ≈ Teilweise | ✓ Ja |
| Vulnerability Handling & Meldeprozesse | ≈ Teilweise | ✓ Ja |
| ISO 27001 Governance | ≈ Teilweise | ✓ Ja |
Kurz klären, ob das Produkt vom CRA betroffen ist und welche Nachweise/Prozesse zuerst aufgebaut werden sollten.
Sie möchten wissen, wie Sie Ihre Produkte CRA-konform gestalten? Kontaktieren Sie unser Expert*innen-Team.
Oder kontaktieren Sie uns direkt:
📧 cybersecurity@smarttecs.de