Der Cyber Resilience Act (CRA) schafft europaweit verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Unternehmen müssen künftig nachweisen, dass ihre Produkte während ihres gesamten Lebenszyklus – von der Entwicklung bis zu Updates und Support – angemessen gegen Cyberrisiken geschützt sind.
Für Hersteller, Importeure und Händler entstehen dadurch neue Anforderungen an Produktentwicklung, Schwachstellenmanagement, Sicherheitsupdates, technische Dokumentation und Compliance-Nachweise.
Mit der CRA-Beratung von syracom setzen Sie diese Vorgaben strukturiert und praxisnah um – von der Betroffenheitsanalyse über die GAP-Analyse bis zur nachhaltigen Integration in Entwicklungs-, Governance- und Sicherheitsprozesse.
Kostenlosen Beratungstermin Jetzt anfragen
Der Cyber Resilience Act ist eine EU-Verordnung zur Verbesserung der Cybersicherheit digitaler Produkte im europäischen Binnenmarkt. Ziel ist ein einheitliches Sicherheitsniveau für alle Produkte mit digitalen Elementen – von einfachen Verbrauchergeräten bis zu komplexen industriellen Systemen.
Digitale Produkte werden zunehmend Ziel von Cyberangriffen. Schwachstellen in Software oder Hardware können nicht nur einzelne Unternehmen betreffen, sondern auch ganze Lieferketten oder kritische Infrastrukturen gefährden.
Die EU verfolgt mit dem CRA mehrere zentrale Ziele:
Der CRA trat im Dezember 2024 in Kraft und wird schrittweise bis Dezember 2027 vollständig verbindlich.
Grundsätzlich jedes Unternehmen, das Produkte mit digitalen Elementen auf dem EU-Markt bereitstellt – unabhängig von Größe, Branche oder Herkunftsland.
Der CRA sieht explizit Unterstützungsmaßnahmen für kleinere Unternehmen vor. Darunter Leitlinien zur Umsetzung, Helpdesks bei Meldepflichten sowie sogenannte Regulatory Sandboxes zum Testen neuer Produkte.
| Rolle | Verantwortung im CRA-Kontext |
|---|---|
| Hersteller | Trägt die Hauptverantwortung für Sicherheit, Entwicklung und Konformität der Produkte über den gesamten Lebenszyklus |
| Importeure | Müssen sicherstellen, dass importierte Produkte die CRA-Anforderungen erfüllen, bevor sie auf den EU-Markt gelangen |
| Händler | Kontrolle, dass ausschließlich konforme Produkte vertrieben werden – übernehmen bei wesentlichen Änderungen Herstellerpflichten |
| Bevollmächtigte | Können regulatorische Aufgaben für Hersteller außerhalb der EU übernehmen |
Smartphones, Tablets, PCs, Smart-Home-Geräte, Wearables, vernetztes Spielzeug
Industrielle IoT-Systeme, Firewalls, Steuerungs- oder Netzwerkkomponenten
Apps, Betriebssysteme, Plattformsoftware, SaaS-Lösungen mit digitalen Elementen
Mikroprozessoren, Embedded Devices, vernetzte Sensoren, Smart-Meter-Komponenten
Einige Produktkategorien sind vom Geltungsbereich ausgenommen, da für sie spezifische Sektorregelungen bestehen:
Auch internationale Hersteller betroffen.
Der CRA gilt für alle Hersteller, die Produkte auf dem EU-Markt vertreiben – unabhängig davon, ob der Unternehmenssitz innerhalb oder außerhalb der EU liegt.
Ab Dezember 2027 dürfen nicht-konforme Produkte nicht mehr auf dem EU-Markt vertrieben werden. Die Konsequenzen bei Nichteinhaltung sind erheblich.
| Geldstrafe | Rückrufe | Haftung | Reputation |
|---|---|---|---|
von bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes – der höhere Betrag gilt | Produktrückrufe und Marktzugangssperren durch Behörden möglich | Haftungsrisiken bei Sicherheitsvorfällen durch unsichere Produkte | Vertrauensverlust bei Kunden, Partnern und Investoren |
Der CRA stellt Anforderungen entlang des gesamten Produktlebenszyklus – von der Entwicklung über Updates und Support bis zur technischen Dokumentation.
Produkte müssen nach dem Prinzip Security by Design entwickelt werden. Sicherheitsanforderungen müssen in Architektur und Entwicklungsprozesse integriert sein.
| Sichere Kommunikation | Minimale Angriffsfläche | Secure by Default |
Verschlüsselung und starke Authentifizierungsmechanismen | Reduktion exponierter Schnittstellen und Dienste | Sichere Standardkonfiguration ohne manuelle Eingriffe |
Grundlage dafür ist eine strukturierte Risikoanalyse, bei der potenzielle Cyberrisiken identifiziert, bewertet und reduziert werden.
Unternehmen müssen systematische Prozesse zur Erkennung und Behebung von Sicherheitslücken etablieren.
Hersteller sind verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle über eine zentrale Plattform der EU-Cybersicherheitsbehörde ENISA zu melden.
Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden nach Bekanntwerden gemeldet werden.
Unternehmen müssen nachweisen, dass ihre Produkte den CRA-Anforderungen entsprechen – der CRA baut auf dem bestehenden CE-Konformitätsrahmen der EU auf.
Eine Software Bill of Materials (SBOM) ist eine strukturierte Liste aller Softwarekomponenten eines Produkts – das digitale Äquivalent eines Zutatenverzeichnisses. Sie ermöglicht Transparenz über eingesetzte Bibliotheken, schnellere Identifikation von Schwachstellen und bessere Kontrolle über Lieferkettenrisiken.
Der CRA unterscheidet Produkte nach ihrem Cybersicherheitsrisiko. Je nach Kategorie gelten unterschiedliche Konformitätsbewertungsverfahren.
Kategorie | Beispiele |
| Standardprodukte | Apps, Smart-Home-Geräte |
| Wichtige Produkte Klasse I | Betriebssysteme, Bootmanager |
| Wichtige Produkte Klasse II | Firewalls, Container-Runtime |
| Kritische Produkte | Smart-Meter-Gateways, Smartcards |
Modul | Bedeutung |
Modul A | Interne Fertigungskontrolle (Selbstbewertung durch Hersteller) |
Modul B + C | Baumusterprüfung und Produktionskontrolle durch notifizierte Stelle |
Modul H | Umfassende Qualitätssicherung durch eine unabhängige Drittstelle |
Unternehmen sollten frühzeitig mit der Umsetzung beginnen, da viele Anforderungen tief in Entwicklungs- und Governanceprozesse eingreifen.
| Dezember 2024 |
|---|
CRA tritt in Kraft |
Die Verordnung ist offiziell gültig. Die Übergangsfrist beginnt – Unternehmen sollten jetzt mit der Analyse starten. |
| Juni 2026 |
|---|
Konformitätsbewertungsstellen verfügbar |
Akkreditierte Stellen für Produktprüfungen sind notifiziert und können für Konformitätsbewertungen beauftragt werden. |
| September 2026 |
|---|
Meldepflichten werden verpflichtend |
ersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an ENISA melden. |
| Dezember 2027 – vollständige Compliance erforderlich |
|---|
Alle CRA-Anforderungen gelten |
Neue Produkte dürfen ohne CE-Kennzeichnung und vollständige CRA-Konformität nicht mehr in Verkehr gebracht werden. Der EU-Marktzugang ist ohne Nachweis nicht mehr möglich. |
Eine durchdachte Kommunikationsstrategie sorgt dafür, dass Informationen zielgerichtet weitergegeben werden und mögliche Reputationsschäden reduziert werden.
Wir analysieren Ihre betroffenen Produkte, klären regulatorische Rollen, bewerten vorhandene Sicherheitsmaßnahmen und ermitteln den Reifegrad Ihrer Organisation – als solide Ausgangsbasis für alle weiteren Schritte.
Basierend auf der Analyse entwickeln wir eine strukturierte Umsetzungsroadmap mit klaren Prioritäten, Verantwortlichkeiten und Zeitplanung – damit Sie termingerecht compliant sind.
Wir integrieren CRA-Anforderungen in Ihren Secure Development Lifecycle, DevSecOps-Prozesse, Sicherheitsarchitektur sowie Update- und Releaseprozesse – damit Cybersicherheit von Anfang an mitgedacht wird.
Wir unterstützen beim Aufbau der erforderlichen technischen Dokumentation, entwickeln SBOM-Strategien, erstellen Konformitätsnachweise und begleiten Sie bei Audit- und Zertifizierungsprozessen.
Viele CRA-Anforderungen überschneiden sich mit bestehenden Standards und Regulierungen. Wer bereits auf ISO 27001, NIS2 oder DORA setzt, kann CRA-Anforderungen erheblich effizienter umsetzen – durch gezielte Nutzung vorhandener Strukturen und Prozesse.
| Synergien bestehen beispielsweise mit: | ||
|---|---|---|
ISO 27001 | Informationssicherheit | ISMS-Strukturen, Risikomanagementprozesse und Dokumentationsstandards sind direkt für CRA nutzbar. |
Netz- & Informationssicherheit | Überschneidungen bei Meldepflichten und Risikomanagement gezielt nutzen, um Aufwand zu reduzieren. | |
Digitale Resilienz | Gemeinsame Governance, Incident-Response und Auditierungsanforderungen konsolidiert umsetzen. | |
IEC 62443 | Industrial Security | Im Industrie- und OT-Umfeld bilden IEC-62443-Normen eine starke Grundlage für CRA-Konformität. |
Sichere Entwicklung | Security-by-Design und Secure-SDLC-Frameworks lassen sich direkt mit CRA-Entwicklungsanforderungen verknüpfen. | |
BSI | BSI-Standards | BSI-Technische Richtlinien konkretisieren CRA-Anforderungen und werden direkt in Ihre Compliance-Strategie integriert. |
Eine integrierte Umsetzung reduziert Aufwand und schafft langfristig stabile Sicherheitsstrukturen.
Wir verbinden fundiertes CRA-Wissen mit praktischer Erfahrung in IT-Security und GRC – damit Compliance nicht bei der Theorie endet.
Keine abstrakten Checklisten – sondern strukturierte Maßnahmenpläne, die Sie direkt umsetzen können.
Wir entwickeln einen klaren Plan mit Prioritäten, Meilensteinen und Verantwortlichkeiten – für eine nachhaltige CRA-Compliance.
CRA-Anforderungen werden in Ihre vorhandenen Sicherheits- und Governanceprozesse integriert – ohne doppelten Aufwand.
Technische Sicherheitsberatung und Governance, Risk & Compliance aus einer Hand – nahtlos abgestimmt.
Marius Dreixler
Product Manager Cyber Resilience Act
Marius Dreixler
Product Manager Cyber Resilience Act