CRA Beratung

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die seit November

2024 in Kraft ist und erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Die Verordnung betrifft ein extrem breites Spektrum an Unternehmen: Hersteller, Importeure und Händler von praktisch allen Produkten, die über digitale Funktionen verfügen. Das umfasst IoT-Geräte wie Smart-Home-Systeme, industrielle Steuerungen und vernetzte Sensoren ebenso wie eigenständige Software-Produkte, Betriebssysteme, Firmware und Hardware-Komponenten mit eingebetteter Software. Entscheidend ist, dass der CRA nicht nur große Technologieunternehmen betrifft, sondern auch mittelständische Hersteller, die digitale Elemente in ihre Produkte integrieren – etwa Maschinenbauer mit vernetzten Steuerungen oder Medizintechnik-Unternehmen mit Software-Komponenten. Die Verordnung unterscheidet zwischen Standardprodukten, wichtigen Produkten (Klasse I und II) und kritischen Produkten, wobei die Anforderungen an das Konformitätsbewertungsverfahren mit der Kritikalitätsstufe steigen. Für Standardprodukte reicht eine Selbstbewertung, während kritische Produkte eine Bewertung durch eine notifizierte Stelle erfordern. Ausnahmen gelten für bereits regulierte Bereiche wie Medizinprodukte, Luftfahrt und Kraftfahrzeuge, die eigenen Cybersicherheitsvorschriften unterliegen. Unternehmen sollten frühzeitig prüfen, ob und wie ihre Produkte unter den CRA fallen, da die Übergangsfristen bereits laufen und die ersten Meldepflichten ab September

2026 greifen.

Der Cyber Resilience Act sieht gestaffelte Übergangsfristen vor, die Unternehmen genau kennen müssen. Die Verordnung ist seit dem 10. November

2024 in Kraft. Ab September

2026 – also in weniger als einem Jahr – gelten die Meldepflichten für Hersteller: Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen innerhalb von

24 Stunden an die ENISA gemeldet werden, gefolgt von detaillierten Berichten innerhalb von

72 Stunden und einem Abschlussbericht innerhalb eines Monats. Ab

2027 müssen alle CRA-Anforderungen vollständig erfüllt sein. Das bedeutet: Produkte, die ab diesem Zeitpunkt auf den EU-Markt gebracht werden, müssen die vollständige Konformitätsbewertung durchlaufen haben und die CE-Kennzeichnung tragen. Die Sanktionen bei Nichteinhaltung sind erheblich und orientieren sich am Modell der DSGVO: Für Verstöße gegen wesentliche Cybersicherheitsanforderungen drohen Bußgelder von bis zu

15 Millionen Euro oder 2,

5 Prozent des weltweiten Jahresumsatzes. Verstöße gegen andere Pflichten können mit bis zu

10 Millionen Euro oder

2 Prozent des Umsatzes geahndet werden. Darüber hinaus können Marktüberwachungsbehörden den Rückruf von Produkten anordnen oder deren Marktzugang beschränken. Die wirtschaftlichen Folgen gehen also weit über Bußgelder hinaus: Produktionsausfälle, Reputationsschäden und Umsatzverluste durch Marktverbote können existenzbedrohend sein. Angesichts der Komplexität der Anforderungen und der Vorlaufzeiten für technische und organisatorische Anpassungen empfehlen wir, spätestens jetzt mit der systematischen CRA-Umsetzung zu beginnen. Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreiben, haben dabei einen Startvorteil.

Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Inventar aller Software-Komponenten, die in einem Produkt enthalten sind – einschließlich Open-Source-Bibliotheken, proprietärer Module, Frameworks und deren Abhängigkeiten. Der CRA macht die Erstellung und Pflege einer SBOM für alle Produkte mit digitalen Elementen verpflichtend. Die Bedeutung der SBOM ergibt sich aus ihrer zentralen Rolle im Schwachstellenmanagement: Nur wenn ein Hersteller vollständig weiß, welche Komponenten in seinen Produkten stecken, kann er betroffene Produkte identifizieren, wenn in einer Komponente eine neue Schwachstelle bekannt wird. Ein anschauliches Beispiel ist die Log4j-Schwachstelle von 2021: Unternehmen ohne SBOM brauchten teilweise Wochen, um festzustellen, welche ihrer Produkte die verwundbare Bibliothek enthielten. Mit einer aktuellen SBOM ist diese Analyse in Minuten möglich. Die SBOM muss in einem standardisierten Format erstellt werden – die gängigsten sind SPDX (von der Linux Foundation) und CycloneDX (von OWASP). Sie sollte automatisiert in den Build-Prozess integriert werden, sodass bei jedem Release eine aktuelle SBOM generiert wird. Darüber hinaus verlangt der CRA, dass die SBOM über den gesamten Produktlebenszyklus aktuell gehalten wird – mindestens für die erwartete Produktlebensdauer oder fünf Jahre, je nachdem was kürzer ist. Die Integration eines Vulnerability-Feeds (etwa auf Basis der NVD oder OSV) ermöglicht ein proaktives Monitoring: Sobald eine neue Schwachstelle in einer verwendeten Komponente veröffentlicht wird, erhalten Sie automatisch eine Benachrichtigung. Advisori unterstützt Sie bei der Auswahl geeigneter SBOM-Tools, der Integration in Ihre CI/CD-Pipelines und der Etablierung nachhaltiger Prozesse für die SBOM-Pflege.

CRA, NIS 2 und DORA sind drei zentrale EU-Regulierungen für Cybersicherheit, die sich gegenseitig ergänzen und in wichtigen Bereichen überschneiden. Der CRA reguliert die Produktsicherheit und richtet sich an Hersteller digitaler Produkte. NIS 2 reguliert die Cybersicherheit von Unternehmen und Organisationen in kritischen Sektoren und deren Lieferketten. DORA (Digital Operational Resilience Act) adressiert speziell den Finanzsektor und dessen IKT-Dienstleister. Die Synergien sind erheblich: Alle drei Regulierungen verlangen ein systematisches Risikomanagement, Incident-Response-Prozesse und die Berücksichtigung der Lieferkettensicherheit (Supply Chain Security). Ein Unternehmen, das beispielsweise als Hersteller von Software für den Finanzsektor agiert, kann unter alle drei Regulierungen fallen. Hier ist es entscheidend, kein isoliertes Compliance-Silo für jede Verordnung aufzubauen, sondern ein integriertes Framework zu schaffen. Konkret bedeutet das: Das Schwachstellenmanagement, das der CRA für Produkte verlangt, lässt sich mit dem Risikomanagement-Framework von NIS 2 verknüpfen. Die Meldepflichten aller drei Regulierungen können über einen einheitlichen Incident-Response-Prozess abgedeckt werden – auch wenn die Meldefristen und Empfänger variieren. Das ISMS nach ISO 27001, das viele Unternehmen bereits für NIS 2 aufgebaut haben, bildet eine solide Grundlage für die organisatorischen CRA-Anforderungen. Auch der EU AI Act kommt zunehmend ins Spiel: Produkte mit KI-Komponenten müssen sowohl CRA- als auch AI-Act-Anforderungen erfüllen. Advisori ist einer der wenigen Beratungspartner, die alle relevanten EU-Regulierungen aus einer Hand abdecken. Statt für CRA, NIS2, DORA und AI Act jeweils separate Berater zu engagieren, erhalten Sie bei uns ein konsistentes, synergieoptimiertes Compliance-Programm mit klaren Verantwortlichkeiten und ohne redundante Maßnahmen.

Die CRA-Konformitätsbewertung ist der formale Nachweis, dass ein Produkt mit digitalen Elementen alle Anforderungen des Cyber Resilience Act erfüllt. Sie ist Voraussetzung für die CE-Kennzeichnung und damit für den Marktzugang im EU-Binnenmarkt. Der Ablauf hängt von der Klassifizierung des Produkts ab. Für Standardprodukte (die große Mehrheit) kann der Hersteller eine interne Bewertung (Modul A) durchführen. Dabei dokumentiert er selbst die Einhaltung aller wesentlichen Anforderungen und erstellt eine EU-Konformitätserklärung. Für wichtige Produkte der Klasse I (z. B. Passwort-Manager, Netzwerk-Interfaces, Betriebssysteme) kann ebenfalls eine Selbstbewertung erfolgen, sofern harmonisierte Normen oder ein europäisches Cybersicherheitszertifikat angewendet werden. Andernfalls ist eine Bewertung durch eine notifizierte Stelle erforderlich. Für wichtige Produkte der Klasse II (z. B. Firewalls, Hypervisoren, CPUs) und kritische Produkte ist grundsätzlich die Einschaltung einer notifizierten Stelle notwendig. Die technische Dokumentation, die für alle Varianten erstellt werden muss, umfasst: eine allgemeine Produktbeschreibung, die Beschreibung von Design und Entwicklung, eine Risikobewertung der Cybersicherheitsrisiken, Informationen zu angewendeten harmonisierten Normen, Testergebnisse, die SBOM und die Beschreibung des Schwachstellenmanagement-Prozesses. Die EU-Konformitätserklärung enthält die Identifizierung des Produkts und des Herstellers, die Erklärung der Konformität mit den wesentlichen Anforderungen und die Angabe der angewendeten Normen. Nach erfolgreicher Bewertung wird die CE-Kennzeichnung am Produkt angebracht. Advisori begleitet den gesamten Prozess: von der initialen Produktklassifizierung über die Erstellung der technischen Dokumentation bis zur finalen Konformitätserklärung. Bei Bedarf koordinieren wir die Zusammenarbeit mit notifizierten Stellen und bereiten Sie optimal auf deren Prüfung vor.

Die Entscheidung für den richtigen CRA-Beratungspartner ist strategisch wichtig, denn die Umsetzung ist komplex und die Fristen sind knapp. Große Beratungshäuser wie KPMG, Deloitte oder PwC bieten zwar breite Kapazitäten, haben aber strukturelle Nachteile bei der CRA-Umsetzung. Bei Advisori erhalten Sie einen Partner, der die Vorteile beider Welten vereint. Erstens: spezialisierte Expertise statt generalistischem Ansatz. Während große Beratungen CRA als eines von hunderten Themen behandeln, ist Cybersicherheit und regulatorische Compliance unser Kerngeschäft. Unsere Berater arbeiten täglich mit den relevanten Standards und Regulierungen – nicht nur gelegentlich. Wir verfügen über tiefgreifendes technisches Know-how in den Bereichen SSDLC, Security Testing und Penetration Testing, das für die praktische CRA-Umsetzung entscheidend ist. Zweitens: Geschwindigkeit und persönliche Betreuung. Mit rund

150 Mitarbeitern sind wir groß genug für komplexe Projekte, aber schlank genug für kurze Entscheidungswege. Ihre Ansprechpartner sind Senior-Experten, die Ihr Projekt direkt betreuen – nicht Junior-Berater, die nach Handbuch arbeiten. Das Ergebnis: schnellere Umsetzung, pragmatischere Lösungen und ein besseres Preis-Leistungs-Verhältnis. Drittens: die einzigartige Kombination von CRA, NIS 2 und DORA aus einer Hand. Die meisten Beratungen behandeln jede Regulierung als separates Projekt mit eigenen Teams. Bei Advisori erhalten Sie ein integriertes Team, das Synergien aktiv nutzt und Doppelarbeit vermeidet. Viertens: technologische Innovation. Unsere eigene KI-Plattform für Compliance-Monitoring ermöglicht eine kontinuierliche Überwachung Ihrer CRA-Konformität – nicht nur eine Momentaufnahme. Fünftens: nachgewiesene Qualität. Unsere Zertifizierungen nach ISO 27001,

9001 und

14001 belegen, dass wir die Standards, die wir bei unseren Kunden implementieren, selbst leben. Wir beraten nicht nur über Informationssicherheit – wir praktizieren sie. Vereinbaren Sie ein unverbindliches Erstgespräch und überzeugen Sie sich selbst von unserem Ansatz.