COMPLIANCE · CYBER RESILIENCE ACT
Der CRA verankertSicherheitstestsim Produkt selbst.
Die Verordnung (EU) 2024/2847 nimmt Hersteller von Produkten mit digitalen Elementen über den gesamten Produktlebenszyklus in die Pflicht. Ab Dezember 2027 erreicht kein CE-gekennzeichnetes Produkt mehr ohne CRA-Konformität den EU-Markt. Die Meldepflichten greifen bereits im September 2026.
01 · GELTUNGSBEREICH
Wer betroffen ist – und warum die Fristen kürzer sind, als sie wirken.
Der CRA erfasst Produkte mit digitalen Elementen (PDEs) – Hardware und Software, die auf dem EU-Markt bereitgestellt werden – mit begrenzten Ausnahmen für bereits sektorspezifisch regulierte Produkte. Das Risiko wird in die Klassen Standard, wichtig und kritisch eingestuft; je höher die Klasse, desto strenger die Konformitätsbewertung. Die meisten Pflichten gelten ab dem 11. Dezember 2027; die Meldepflichten nach Artikel 14 greifen bereits ab dem 11. September 2026. 2026 ist damit das Jahr, in dem Hersteller funktionierende Meldeworkflows nachweisen müssen.
02 · PFLICHTEN
Die vier Blöcke, an denen Evidenz zur Regulatorik wird.
- BLOCK · 01
Wesentliche Cybersicherheitsanforderungen (Anhang I)
Produkte müssen so entworfen, entwickelt und hergestellt werden, dass ein angemessenes Cybersicherheitsniveau gewährleistet ist. Anhang I nennt Eigenschaften wie sichere Standardkonfiguration, Schutz von Vertraulichkeit und Integrität, Reduktion der Angriffsfläche und Update-Fähigkeit. Wir übersetzen diese in prüfbare Kontrollen.
- BLOCK · 02
Schwachstellenbehandlung (Anhang II)
Hersteller müssen Schwachstellen über den gesamten Supportzeitraum identifizieren, dokumentieren und beheben – inklusive Coordinated-Disclosure-Politik und Software-Bill-of-Materials. Wir bewerten die Reife des Prozesses und testen ihn mit realistischen Befunden unter Druck.
- BLOCK · 03
Konformitätsbewertung und CE-Kennzeichnung
Standard-Klasse-Produkte dürfen die Selbstbewertung nutzen; wichtige und kritische Klassen verlangen eine Konformitätsbewertung durch Dritte. Testberichte und technische Dokumentation werden zu regulatorischen Artefakten – wir liefern Evidenz in einer Form, auf die Notified Bodies und Marktüberwachung sich stützen können.
- BLOCK · 04
Meldepflichten (ab September 2026)
Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle sind in engen Fristen an die ENISA und das zuständige CSIRT zu melden. Wir helfen, die technische Basis aufzubauen und zu validieren, die eine korrekte und fristgerechte Meldung erst möglich macht.
03 · UNSER BEITRAG
Wie offensive Tests die CRA-Evidenzlücke schließen.
Der CRA ist insofern besonders, als er Cybersicherheit unmittelbar an den Marktzugang koppelt. Penetrationstests werden im Text nicht ausdrücklich genannt, doch Konformitätsbewertung, technische Dokumentation und die Pflicht zur Schwachstellenbehandlung über den Supportzeitraum tragen nur, wenn sie mit Test-Evidenz unterlegt sind. Wir prüfen das Produkt gegen die Eigenschaften aus Anhang I, dokumentieren Schwachstellen für den Anhang-II-Prozess und validieren Behebungen im Nachtest – die Evidenzschicht, die Konformitätsbewertungsrouten brauchen.
CRA-VORBEREITUNG
Dezember 2027 klingt fern. Die Meldeuhr läuft ab 2026.
Wir prüfen mit Ihnen, ob Ihre Produkte im Scope sind, welche Risikoklasse greift und welche Evidenz Ihre Konformitätsbewertungsroute verlangen wird – bevor die Fristen enger werden.