Digitalpartner

Cyber Resilience Act – Sicherheit als Pflicht und Chance

Der Cyber Resilience Act (CRA) der Europäischen Union bietet die Chance, Sicherheit als Qualitätsmerkmal zu positionieren. Profitieren Sie durch eine frühzeitige Anpassung an die CRA-Anforderungen, indem Sie Risiken minimieren, Ihre Produkte zukunftssicher gestalten und sich einen Vorsprung im Wettbewerb sichern.
Lassen Sie sich unverbindlich beraten
Eine Karte von Europa mit einem darübergespannten, stilisierten Netzwerk.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die die Cybersicherheit von Produkten mit digitalen Elementen, Hardware-Produkte mit Software/Firmware und Software in den Mittelpunkt stellt. Ziel ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen und die Sicherheitsstandards für digitale Produkte auf ein neues Niveau zu heben. Die Sicherheit von Produkten muss damit über den gesamten Lebenszyklus hinweg nachgewiesen werden. Hierbei werden all jene in die Pflicht genommen, die das Produkt am europäischen Markt einführen wollen – Hersteller aber auch involvierte Dienstleister. Dies umfasst nicht nur die Entwicklung und Produktion, sondern auch die Bereitstellung von Sicherheitsupdates und die kontinuierliche Überwachung auf Schwachstellen sowie deren Kommunikation nach außen.

Der Cyber Resilience Act (CRA) trat am 11. Dezember 2024 in Kraft. Bis Ende 2027 müssen alle neuen Produkte die Anforderungen des CRA erfüllen, um auf den europäischen Markt gebracht werden zu dürfen.

Mehr zum Thema

Whitepaper: Cyber Resilience Act

Erfahren Sie, was der Cyber Resilience Act für Ihr Unternehmen bedeutet und wie Sie ihn umsetzen – von Compliance bis Produktentwicklung. Profitieren Sie von nützlichen Checklisten! 

Jetzt herunterladen
Dunkelblauer Hintergrund mit zwei verbundenen Puzzleteilen: links grünes Compliance-Siegel, rechts blaues IT-Cloud-Gear; unten grüne Fläche mit 'Cyber Resilience Act'.
Video

CRA – neuer Sicherheits-Standard für Software

Mit dem Cyber Resilience Act wurde ein neuer Sicherheitsstandard für Software geschaffen. Weitere Details zur EU-Verordnung erklärt Manuel Schreiner im Video. 

Jetzt mehr erfahren!

Accso-Leistungen für Ihre CRA-Compliance

Accso begleitet Sie umfassend bei der Umsetzung der CRA-Vorgaben – von der ersten Analyse über die Umsetzung bis zur langfristigen Wartung Ihrer Produkte.

1. BetroffenheitsanalyseWelche Produkte fallen unter den CRA?

Wir starten mit einer systematischen Bestandsaufnahme, um die CRA-Anwendbarkeit auf Ihre Softwareprodukte zu prüfen. Dabei identifizieren wir betroffene Produkte und Komponenten und kategorisieren diese in kritische und nicht-kritische Bereiche. Das Ergebnis ist ein Statusbericht, der die Grundlage für weitere Maßnahmen bildet.

2. MaßnahmenprüfungWelche Sicherheitsmaßnahmen bestehen, wo gibt es Lücken?

Mittels einer Gap-Analyse analysieren wir die vorhandenen Sicherheitsmaßnahmen und zeigen auf, welche noch erweitert oder verändert werden müssen. Auf Basis relevanter Standards wie ISO 27001 identifizieren wir Compliance-Lücken und definieren konkrete Prozessanforderungen. Daraus entwickeln wir einen Maßnahmenplan mit klaren Prioritäten und erstellen eine Roadmap, die Zeit- und Ressourcenpläne für die Umsetzung enthält.

3. Konzeption und UmsetzungWie setzen Sie die CRA-Anforderungen um?

Accso ist spezialisiert auf maßgeschneiderte Softwareentwicklung und hilft Ihnen dabei, Sicherheitsanforderungen nach den Prinzipien Secure by Design und Secure by Default direkt in den Entwicklungsprozess zu integrieren.

Wir unterstützen Sie bei der Implementierung von:

  • Sicherheitsarchitekturen
  • Schwachstellenmanagement
  • Automatisierten Test- und Update-Prozessen
4. Begleitung von externer AuditierungWie weisen Sie die CRA-Compliance nach?

Produkte mit digitalen Elementen müssen je nach Kritikalität entweder durch den Hersteller selbst oder durch eine externe Stelle zertifiziert werden. Wir begleiten Sie durch den gesamten Zertifizierungsprozess – von der Vorbereitung bis zur erfolgreichen Auditierung.

5. Kontinuierliche Wartung und ÜberwachungWie bleiben Sie langfristig compliant?

Bis zum Ende des Produktlebenszyklus unterstützt Accso Sie bei der kontinuierlichen Überwachung und Wartung:

  • Vulnerability Management: Identifikation und Behebung neuer Schwachstellen.
  • Incident Response: Meldung von Sicherheitsvorfällen an CSIRT und ENISA.
  • Regelmäßige Updates: Sicherstellung, dass Sicherheitsupdates fristgerecht bereitgestellt werden.

Jetzt handeln: CRA-Compliance sichern!

Accso bietet umfassende Erfahrung in sicherer Softwareentwicklung und ein fundiertes Compliance-Verständnis. Unsere ganzheitlichen Lösungen decken alle relevanten Aspekte ab – von der technischen Umsetzung über organisatorische Maßnahmen bis hin zur vollständigen Dokumentation und rechtlichen Beratung.

Mit Accso als Partner können Sie sowohl die Anforderungen des CRA erfüllen als auch Ihre Cybersicherheitsstrategie optimieren und sich im Markt als vertrauenswürdiger Anbieter positionieren.

Starten Sie jetzt!

FAQ zum CRA

Hinweis: Die folgenden Antworten stellen keine Rechtsberatung dar. Für eine belastbare Einordnung müssen Organisation, Produktkategorie und Vertriebsmodell geprüft werden.

Für wen gilt der CRA?Hersteller, Importeure, Händler und Bevollmächtigte

Der CRA gilt für eine Vielzahl von Unternehmen aus verschiedensten Branchen und unabhängig von ihrer Größe. Betroffen sind nach dem Gesetz insbesondere Hersteller, aber auch Händler und Importeure von Produkten mit digitalen Elementen (kurz: PDE). Vor diesem Hintergrund kann der CRA somit als „CE für Software“ verstanden werden. Praktisch heißt das: Konformität und Nachweise werden zur Zugangsvoraussetzung für den europäischen Markt. 

Der CRA adressiert Akteure entlang der Lieferkette. Hierzu gehören HerstellerImporteureHändler und Bevollmächtigte
Pflichten und Nachweise betreffen nicht nur „die Entwicklung“, sondern auch Beschaffung, Vertrieb und Betrieb/Support.

Welche Produkte fallen unter den CRA?Produkte mit digitalen Elementen

Der CRA gilt für Produkte mit digitalen Elementen (PDE) – also Software- oder Hardware-Produkte mit einer Datenverbindung. Zusätzlich gibt es Bereichsausnahmen für Unternehmen aus bestimmten Branchen, etwa aus der Verteidigungsindustrie, Luft- oder Schifffahrt

Ab wann muss mein Unternehmen welche CRA Pflichten erfüllen?Erste Pflichten ab 2026
  • 2024: Inkrafttreten des Gesetzes
  • 2026: einzelne Pflichten
  • 2027: vollständig

Für die Planung bedeutet das: Nicht bis 2027 warten, sondern frühzeitig Scope, Rollen, Prozesse und Nachweise aufsetzen, damit Marktzugang/Release-Fähigkeit nicht später blockiert werden.

Brauche ich eine externe Konformitätsbewertung – oder reicht eine Eigenerklärung?Abhängig von Produktklasse

Das hängt von der Produktklasse ab. Für kritische PDE (Anhang IV) oder wichtige PDE (Anhang III) braucht es entweder die Anwendung von anerkannten Standards, eine Cybersicherheitszertifizierung oder die Einbindung einer externen Konformitätsbewertungsstelle
Für nicht erfasste PDE (nicht Anhang III/IV) ist eine Eigenerklärung ausreichend

Welche Produktklassen unterscheidet der CRA – und wie finde ich meine Einordnung?Kritisch vs. wichtig
  • Kritische PDE (Anhang IV), beispielhaft: Hardwaregeräte mit Sicherheitsboxen, Smart‑Meter‑Gateways, Chipkarten.
  • Wichtige PDE (Anhang III), beispielhaft: Browser, Passwort‑Manager, Firewalls, Router, Modems (Klasse I) sowie Sicherheitsprodukte wie IDS/IPS (Klasse II). 

Vorgehen zur Einordnung: 
1) Produkt und Einsatzzweck sauber beschreiben (Scope). 
2) Mit Anhang III/IV abgleichen (Produktliste/Beispiele). 
3) Daraus den Konformitätsweg ableiten (Eigenerklärung vs. externe Stelle).

Welche Dokumente/Nachweise werden typischerweise benötigt – und wie lange müssen sie aufbewahrt werden?Herstelleranforderungen und Aufbewahrungsdauer

Herstelleranforderungen: 

  • Umfassende technische Dokumentation
  • Informationen zum sicheren Betrieb durch die Nutzer:innen, also ein Benutzerhandbuch / Security‑Hinweise

Aufbewahrungsdauer: 

  • Die CE-/Konformitätsunterlagen müssen für mindestens 10 Jahre oder während des Unterstützungszeitraums aufbewahrt werden (in der richtigen Sprache).
Was ist eine „wesentliche Änderung“ – und warum ist das wichtig?Trigger für Neubewertung

Eine „wesentliche Änderung“ kann als Trigger verstanden werden, bei dem Anforderungen/Nachweise neu bewertet werden müssen. Beispiele hierfür können sein: 

  • Änderung des Einsatzzwecks durch ein Update,
  • nicht vorhergesehene Änderungen in der Risikobewertung,
  • höheres Risiko bzw. neue Art der Gefahr,
  • größere Angriffsfläche durch neue Funktionen.

Praktische Konsequenz: Wenn eine Änderung „wesentlich“ ist, muss sie ein neuer Konformitäts-/ Check einschließlich einer Risikobewertung durchgeführt werden (inkl. entsprechender neuer Dokumentation)).

Erfahren Sie mehr zu Accso als Ihrem Digitalpartner

20250425 IT Security Header
Mehr
IT-Sicherheit
Accso Logo in dunkelgrün
Mehr
Industrie 4.0
Grüne Knospen einer Blüte
Mehr
KI-Modernisierung

Auswahl Kontakt

Manuel Schreiner

Community Lead Industrie 4.0
Ihr Ansprechpartner für Fragen zu Industrie 4.0 und IoT.
anfragen@accso.de
Manuel Schreiner Raute