Cyber Resilience Act
umsetzen und
Komplexität reduzieren
Ab Dezember 2027 gibt es keine CE-Kennzeichnung mehr ohne CRA-Konformität. Wir führen Hersteller von Industrie- und Bahnkomponenten strukturiert durch CRA und IEC 62443, mit einem klaren Fahrplan, den richtigen Prioritäten und Security-Engineering, das zu Ihrer bestehenden Produkt-Roadmap passt.
zum CRA-Fahrplan
statt Gießkanne
CRA-Aufwände und Budgets
Cyber Resilience Act kurz erklärt
Der CRA verknüpft die CE-Kennzeichnung mit Cybersecurity-Anforderungen. Ohne Konformitätsnachweis dürfen Produkte mit digitalen Elementen ab Dezember 2027 nicht mehr in der EU in Verkehr gebracht werden. Verstöße werden mit Bußgeldern bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes geahndet.
In Kraft seit Dezember 2024 · Meldepflicht ab September 2026 · Volle Konformität ab Dezember 2027
IEC 62443 ALS UMSETZUNGSRAHMEN
Die IEC 62443 bildet die technische Grundlage zur CRA-Umsetzung. Wir arbeiten entlang der Normteile für Risikoanalyse, Entwicklungsprozess, Komponentenanforderungen und Systemanforderungen
- IEC 62443-4-1
- IEC 62443-4-2
- IEC 62443-3-2
- TS 50701/ IEC 63452
- IEC 62443-3-3
Unsere CRA-Lösung für Hersteller
Wenn Sie als Hersteller von vernetzten Geräten, Software oder IoT-Produkten mit den Anforderungen des Cyber Resilience Act kämpfen, sind Sie nicht allein.
VIELE UNTERNEHMEN VERSCHWENDEN WERTVOLLE RESSOURCEN, WEIL SIE ...
- ... die Cybersicherheitsanforderungen falsch einschätzen.
- ... alle Anforderungen überkomplex umsetzen.
- ... zu spät mit der Umsetzung beginnen und gesetzliche Fristen nicht einhalten.
UNSER STRUKTURIERTER COMPLIANCE-ANSATZ WURDE ENTWICKELT, UM DIESE KOMPLEXITÄT ZU BESEITIGEN.
Er hilft Ihnen, die CRA-Konformität schneller, einfacher und ohne ungeplante Kosten oder technische Überforderung zu erreichen.
CRA-READINESS-CHECK
Der strukturierte Einstieg in Ihr CRA-Projekt. Nach 4-6 Wochen Laufzeit halten Sie einen belastbaren Reifegradbericht mit priorisiertem Maßnahmenplan und Aufwandsschätzung in der Hand, als Grundlage für Ihre interne Entscheidung und Budgetplanung.
Was Sie durch unser CRA-Angebot erreichen
Als Hersteller tragen Sie über den gesamten Produktlebenszyklus Verantwortung – von der Entwicklung über den Betrieb bis zu den Updates gelten strenge Vorgaben für Konformität, Schwachstellenmanagement und Sicherheitsupdates. Genau hier setzen wir an: Wir priorisieren, was wirklich nötig ist, und führen Sie mit klaren Prioritäten und planbaren Aufwänden zur CRA-Konformität.
Als Komponentenhersteller sind Sie die primäre Adresse der CRA-Pflichten. Wir sorgen dafür, dass Ihre Komponenten rechtzeitig die CRA-Anforderungen erfüllen und auch nach dem 11.12.2027 CE-konform bleiben. Sie vermeiden Auslistung aus Ausschreibungen und Lieferstopps durch Ihre Kunden.
Sie bekommen einen priorisierten Maßnahmenplan mit Aufwandsschätzung, der sich in feste Release-Zyklen einfügt. Security by Design statt teurer Nachbesserungen kurz vor Deadline, und keine Überraschungen aus dem Audit.
Betreiber von Bahn- und Industrieinfrastruktur fordern IEC 62443-Nachweise zunehmend in Ausschreibungen. Wer früher liefert als der Wettbewerb, gewinnt Aufträge. Compliance wird vom Kostenfaktor zum Verkaufsargument.
Wir arbeiten nicht hinter verschlossenen Türen. Methodik, Werkzeuge und Prozesse übergeben wir in die Entwicklungsteams, sodass Sie Folgeprodukte und Varianten eigenständig normkonform entwickeln können.
Typischer Ablauf eines CRA-Projekts
Phase 1
PRODUKTANALYSE UND KATEGORISIERUNG
Die Bewertung Ihrer Produkte steht ganz am Anfang. Dabei werden alle relevanten Geräte, Software-Produkte und vernetzte Komponenten erfasst und in die CRA-Produktklassen eingeordnet.
Produkte mit digitalen Elementen müssen eine Risikobewertung durchlaufen, und Schwachstellen müssen dokumentiert und behandelt werden, um die Konformität mit den Anforderungen des CRA sicherzustellen.
Für Produkte mit höheren Risikoklassen sind anspruchsvollere Sicherheitsmaßnahmen vorgeschrieben, einschließlich tiefer greifender Risikobewertungen und fortgeschrittener Sicherheitsmechanismen.
METHODEN & FRAMEWORKS
STRIDE • MITRE ATT&CK FOR ICS • MITRE EMB3D • ATTACK TREES • DATA FLOW DIAGRAMS • 62443-4-1 PRACTICES • CRA ANNEX • MATURITY ASSESSMENT
Phase 2
ANFORDERUNGEN IMPLEMENTIEREN
Die Umsetzung der Security-by-Design und Security-by-Default Prinzipien bildet den Kern dieser Phase. Produkte müssen über den gesamten Support-Zeitraum mit Sicherheitsupdates versorgt werden – mindestens fünf Jahre, bei längerer erwarteter Nutzungsdauer (wie bei Bahn- und Industriekomponenten üblich) entsprechend länger.
Ein systematischer Prozess zur Überwachung, Meldung und Behebung von Sicherheitslücken ist Pflicht für Unternehmen. Ebenso müssen Hersteller eine präzise Software Stückliste (Software Bill of Materials) ihrer verwendeten Komponenten und Drittbibliotheken führen.
Unternehmen sind zudem verpflichtet, über einen definierten Zeitraum regelmäßig Sicherheitsupdates und Patches bereitzustellen. Diese Phase transformiert technische Anforderungen in konkrete Entwicklungs- und Betriebsprozesse.
METHODEN & FRAMEWORKS
DEFENSE IN DEPTH • LEAST PRIVILEGE • SECURE BOOT • KEY MANAGEMENT • LIBFUZZER • AFL++ ASAN / MSAN • CI/CD
Phase 3
LAUFENDE KONFORMITÄT SICHERN
Die Konformitätserklärung ist erforderlich, um nachzuweisen, dass ein Produkt alle Anforderungen des CRA erfüllt. Das Konformitätsbewertungsverfahren variiert dabei je nach Produktkategorie – von der Selbstbewertung für Standard-Produkte bis zur externen Prüfung für kritische Komponenten.
Die CE-Kennzeichnung ist ein Nachweis der Konformität für Produkte, die den Sicherheitsanforderungen entsprechen müssen.
Parallel werden Dokumentation und Meldeverfahren etabliert, denn die Pflicht zur Meldung aktiv ausgenutzter Schwachstellen und Sicherheitsvorfälle für Hersteller tritt am 11. September 2026 in Kraft.
METHODEN & FRAMEWORKS
SBOM-PFLEGE • CVE TRACKING • VULNERABILITY HANDLING • INCIDENT REPORTING • CE-KONFORMITÄT
Kein Rätselraten. Kein verschwendeter Aufwand.
Nur strukturierter Fortschritt zur vollständigen CRA-Compliance.
01 Scoping
Definition des Ziel-Security-Levels und Projektumfang.
02 Analyse
Gap-Analyse und Threat Modeling auf Basis der Systemarchitektur.
03 Konzept
Security-Konzept mit konkreten Maßnahmen und Priorisierung.
04 Umsetzung & Test
Implementierung, Pentesting, Fuzzing gegen IEC 62443-4-2.
05 Lifecycle-Support
Vulnerability Handling, SBOM-Pflege, sichere Updates.
„Nur wer komplexe Systeme wie Prozessleittechnik oder Zugsteuerungen im Detail kennt, kann Security ganzheitlich einbetten."
Strukturierte Umsetzung mit konkreten Resultaten
Wir arbeiten nicht nach Standard-Checklisten. Empfehlungen und Schutzmaßnahmen leiten wir aus der konkreten Analyse Ihres Produkts und seiner Einsatzumgebung ab, damit das Ergebnis tatsächlich zu Ihrer Komponente passt. Vier Beispiele aus unserer Praxis.
Wir modellieren Bedrohungen auf Basis der tatsächlichen Systemarchitektur. Für eine Steuerungskomponente eines Pumpenherstellers analysieren wir Kommunikationsschnittstellen (MVB, WTB, TRDP, PROFINET, OPC UA, MQTT), Firmware-Update-Mechanismen und Fall-Back-Verhalten unter Angriffsszenarien.
OUTPUT
Bedrohungskatalog mit Risikobewertung
Priorisierte Maßnahmenliste, Zuordnung zu IEC 62443-4-2 Foundational Requirements
Die Norm zu verstehen ist meist nicht das Problem, die Aufwandsschätzung ist es. Ohne sie wird Compliance zur dauernd verschobenen Initiative.
Wir bewerten den Reifegrad deshalb auf zwei Ebenen, weil eine alleine zu wenig aussagt: Entwicklungsprozess gegen IEC 62443-4-1, Produkt gegen 62443-4-2. Beides gegen CRA Annex I abgeglichen. Der wertvolle Output ist neben dem Befund auch die belastbare Aufwandsschätzung.
OUTPUT
Strukturierter Reifegradreport
Identifizierte Lücken mit Handlungsempfehlungen und Aufwandsschätzung
In vielen Embedded-Projekt entdecken wir die gleichen Muster: unsichere Fall-Back-Mechanismen, schwach geschütztes Schlüsselmaterial, fehlende Trennung zwischen Komponenten. Wer das erst nach Release merkt, baut entweder teure Workarounds oder lebt mit dem Risiko. Deshalb verankern wir Security-Anforderungen bereits in der Architekturphase.
OUTPUT
Security-Architekturkonzept
inkl. Softwareanforderungen mit Zuordnung zur IEC 62443-4-2
Wir haben Fuzzing fest in die CI/CD-Pipeline eingebaut, also als laufenden Prozess statt einmaliger Aktion. Für die OT-Protokolle wie PROFINET oder TRDP haben wir spezielle Test-Eingaben entwickelt, die der Stack auch wirklich verarbeitet – zufällige Daten werden sonst direkt als ungültig abgewiesen, ohne dass man etwas lernt. So tauchen Schwachstellen früh und reproduzierbar auf, verteilt über Wochen statt in einer einzigen Bericht-Woche.
OUTPUT
Kontinuierliche Schwachstellen-Analyse
Reproduzierbare Crash-Reports, Code-Coverage-Berichte über die Zeit, priorisierte Fix-Liste
WARUM CODEWERK
SYSTEM-KNOW-HOW TRIFFT SECURITY-ENGINEERING
Wir entwickeln Software für sicherheitskritische Systeme und bringen dieses Wissen in jede Security-Bewertung ein.
INDUSTRIE & OT
Langjährige Entwicklungserfahrung in Prozessleittechnik (SIMATIC PCS 7 / neo) und industrieller Kommunikation (PROFINET, OPC UA, Modbus/TCP). Wir kennen OT-Umgebungen aus der Implementierungsseite, nicht nur aus dem Pentest-Report.
VOLLSTÄNDIGER BAHN-STACK
Fahrzeugsteuerung und Zug-Kommunikation aus der Entwicklungspraxis: MVB, WTB, TRDP, ETCS-Umfeld. Damit decken wir TS 50701 und IEC 63452 aus tiefem Systemverständnis ab, nicht nur aus der Norm-Perspektive.
ISO 27001 ZERTIFIZIERT
Informationssicherheit ist bei uns gelebte Praxis, zertifiziert nach ISO 27001 seit 2020 und jährlich auditiert. Was wir bei Ihnen fordern, leben wir selbst.
FORSCHUNG & STANDARDISIERUNG
Aktive Mitwirkung in internationalen Forschungs- und Standardisierungsprojekten der Bahnindustrie. Wir sehen neue Anforderungen, bevor sie in der Norm stehen.
Häufig gestellte fragen
Hier finden Sie Antworten auf häufig gestellte Fragen zum Cyber Resilience Act und zu unseren Services.
Der Cyber Resilience Act (CRA) ist eine EU-weite Verordnung, die erstmals verbindliche Sicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Ziel dieser Verordnung ist es, das Cybersicherheitsniveau innerhalb der Europäischen Union deutlich zu erhöhen und Verbraucher sowie Unternehmen besser vor Cyberbedrohungen zu schützen.
Der CRA verpflichtet Hersteller, Importeure und Händler, sicherzustellen, dass ihre Produkte – egal ob Hardware oder Software – grundlegende Cybersicherheitsanforderungen erfüllen und während des gesamten Produktlebenszyklus mit aktuellen Sicherheitsupdates versorgt werden.
Der Geltungsbereich des CRA umfasst sämtliche Produkte mit digitalen Elementen, die auf dem europäischen Markt bereitgestellt werden. Dazu zählen klassische IT-Hardware, smarte Geräte, industrielle Steuerungen, Softwareprodukte und vernetzte Anwendungen. Die Verordnung betrifft sowohl neue Produkte als auch bestehende Produkte, die nach Inkrafttreten des CRA wesentlich verändert werden.
Hersteller müssen nachweisen, dass ihre Produkte den Anforderungen des Cyber Resilience Act CRA entsprechen, bevor sie diese in der EU vertreiben dürfen.
Mit dem CRA setzt die EU einen neuen Standard für Cybersicherheit und Produktsicherheit, der für alle Unternehmen relevant ist, die digitale Produkte entwickeln, herstellen oder importieren. Die Einhaltung der Sicherheitsanforderungen ist Voraussetzung für den Marktzugang und stärkt das Vertrauen von Nutzern und Verbrauchern in die Sicherheit digitaler Produkte.
Die Umsetzung des Cyber Resilience Act erfolgt schrittweise bis Ende 2027. Die meisten Unternehmen erreichen mit unserem strukturierten Ansatz innerhalb von 6-12 Monaten die vollständige Konformität, abhängig von Produktkomplexität und bestehenden Prozessen. Wichtig: Die Meldepflichten greifen bereits ab September 2026.
Das hängt von Ihrer Produktklasse ab. Für Standard-Produkte unterstützen wir Ihr Team mit klaren Vorgaben, Templates und Checklisten, sodass Sie vieles selbst umsetzen können. Wichtige und kritische Produkte erfordern eine externe Konformitätsbewertung – hier übernehmen wir das nötige Security-Engineering und begleiten Sie durch die Prüfung.
Verstöße gegen die Vorgaben des CRA werden von nationalen Aufsichtsbehörden überwacht und können mit hohen Geldbußen bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden. Verkäufe nicht-konformer Produkte können untersagt werden, und Produkte können vom europäischen Markt genommen werden. Die Marktüberwachungsbehörden der EU-Mitgliedstaaten haben umfassende Befugnisse, um die Einhaltung zu überprüfen und durchzusetzen.
Standard-Produkte (ca. 90% aller Produkte mit digitalen Elementen) können eine Selbstbewertung durchführen. Wichtige Produkte der Klasse I können selbst bewertet werden, sofern die einschlägigen harmonisierten Normen vollständig angewendet werden – andernfalls ist eine externe Konformitätsbewertung nötig. Produkte der Klasse II erfordern grundsätzlich die Einbindung einer benannten Stelle bzw. eine EU-Zertifizierung. Kritische Produkte unterliegen den strengsten Anforderungen mit EU-Zertifizierungsschema auf substantiellem Niveau.
Die CE-Kennzeichnung ist ein zentrales Element des Cyber Resilience Act und signalisiert, dass ein Produkt die in der EU geltenden Sicherheitsanforderungen erfüllt. Für Hersteller bedeutet dies, dass sie vor dem Inverkehrbringen ihrer Produkte mit digitalen Elementen eine umfassende Konformitätsbewertung durchführen müssen. Dieser Prozess stellt sicher, dass alle Anforderungen des CRA – von der technischen Sicherheit bis zu den organisatorischen Maßnahmen – eingehalten werden.
Im Rahmen der Konformitätsbewertung dokumentieren Hersteller, wie ihre Produkte die spezifischen Anforderungen des CRA erfüllen. Nach erfolgreichem Abschluss dieses Prozesses wird eine Konformitätserklärung ausgestellt, die die Einhaltung der EU-Vorgaben bestätigt. Erst dann darf die CE-Kennzeichnung angebracht und das Produkt auf dem europäischen Markt angeboten werden.
Die CE-Kennzeichnung ist somit nicht nur ein rechtliches Erfordernis, sondern auch ein sichtbares Zeichen für Verbraucher und Geschäftspartner, dass das Produkt den aktuellen Sicherheitsstandards entspricht. Für Unternehmen ist die korrekte Durchführung der Konformitätsbewertung entscheidend, um Haftungsrisiken zu minimieren und den Zugang zum europäischen Markt zu sichern.
Starten Sie heute Ihr CRA-Projekt
Je früher Sie starten, desto planbarer bleiben Aufwand und Budget – und desto sicherer halten Sie die Frist zum 11. Dezember 2027 ein.
WARTEN SIE NICHT, BIS DIE FRISTEN KRITISCH WERDEN.