Contact us

Cyber Resilience Act : Ihr praktischer Leitfaden

Das neue europäische Cybersicherheitsgesetz tritt 2027 in Kraft.
Ob Sie ein US-amerikanischer Gerätehersteller sind, der den europäischen Markt erschließen möchte, oder ein europäischer Hersteller, der ein bestehendes Portfolio verwaltet – der CRA verändert grundlegend, was es bedeutet, ein vernetztes Produkt auf den Markt zu bringen.
Diese Seite führt Sie durch die vier Phasen: vom Verständnis der Regulierung bis zur Aufrechterhaltung der Konformität über den gesamten Produktlebenszyklus von bis zu 10 Jahren.
Fallstudien
Kontakt

Entdecken Sie die 4 Schritte zur CRA-Konformität

1. Geltungsbereich
2. Risk Assessment
3. Ausführung
4. Wartung

Schritt 1 - Geltungsbereich, Anforderungen und Fristen

Der CRA gilt für alle »Produkte mit digitalen Elementen« (PDE), die auf dem europäischen Markt bereitgestellt werden – unabhängig vom Sitz des Herstellers. In der Praxis betrifft dies jedes Gerät mit einem Prozessor, das mit einem Netzwerk oder einem anderen Gerät verbunden ist: vom einfachen Sensor bis zum industriellen Gateway oder medizinischen Monitor.

Für US-amerikanische und internationale OEMs : Der Zugang zum europäischen Markt erfordert nun eine strategische Anpassung. Anders als in den USA – wo weitgehend freiwillige Rahmenwerke gelten (NIST IR 8425, U.S. Cyber Trust Mark) – ist der CRA eine rechtsverbindliche Verordnung. Er führt zudem verpflichtende Anforderungen zur Schwachstellenbehandlung und Marktüberwachung ein – über Maßnahmen wie die Executive Order 14028 hinaus.

Standard (Großteil der Produkte) :
Die meisten Produkte fallen in diese Kategorie und unterliegen einem Konformitätsbewertungsverfahren per Selbstbewertung.

Wichtige Produkte:

  • Klasse I Umfasst Identitätsmanagementsysteme, Browser und bestimmte netzwerkbezogene Komponenten. Diese Produkte können ohne externe Stelle bewertet werden, sofern eine harmonisierte Norm angewendet wird.
  • Klasse II Umfasst Betriebssysteme (Linux/RTOS), Hypervisoren und kryptografische Infrastruktur. Diese Produkte erfordern zwingend eine Konformitätsbewertung durch eine notifizierte Stelle.

    • Kritische Produkte:
    Chipkarten, intelligente Messgeräte, HSMs: Diese Produkte erfordern eine externe Bewertung gemäß einem geeigneten europäischen Cybersicherheitszertifizierungsschema (EUCC).

  • Sicherheit durch Voreinstellung: Minimale Angriffsoberfläche und keine generischen Standardpasswörter
  • Zugangskontrolle : Robuste Authentifizierung und Verhinderung unbefugter Zugriffe
  • Vertraulichkeit : Geeignete Verschlüsselung gespeicherter und übertragener Daten
  • Integrität : Mechanismen wie Secure Boot zur Verhinderung der Ausführung nicht autorisierter Software
  • Datenminimierung : Verarbeitung nur der für den Verwendungszweck des Produkts notwendigen Daten
  • Schwachstellenbehandlung : Prozesse zur Identifizierung, Verwaltung und Behebung von Schwachstellen über den gesamten Lebenszyklus
  • Sichere Entwicklung & Auslieferung : Keine bekannten ausnutzbaren Schwachstellen zum Zeitpunkt der Markteinführung
  • SBOM: Fähigkeit zur Bereitstellung einer Software-Stückliste (maschinenlesbar, soweit zutreffend)
  • Updates: Fähigkeit zur sicheren und zuverlässigen Bereitstellung von Sicherheitsupdates
  • Sicheres Dekommissionieren :Fähigkeit zur sicheren Löschung oder zum Schutz von Nutzerdaten am Lebensende
  • Vorfallsmeldung : Meldung aktiv ausgenutzter Schwachstellen und Sicherheitsvorfälle an die zuständigen Behörden innerhalb der vorgeschriebenen Fristen (Erstmeldung binnen 24 h)
  • Verfügbarkeit & Resilienz : Schutz der Verfügbarkeit wesentlicher und grundlegender Funktionen, auch nach einem Vorfall, einschließlich durch Resillienz- und Abwehrmaßnahmen gegen Denial-of-Service-Angriffe
  • Netzwerkschutz : Minimierung der negativen Auswirkungen der Produkte selbst oder verbundener Geräte auf die Verfügbarkeit von Diensten anderer Geräte oder Netzwerke
  • Begrenzung der Angriffsoberfläche : Konzipierung, Entwicklung und Herstellung des Produkts mit dem Ziel, Angriffsoberflächen einschließlich externer Schnittstellen zu begrenzen
  • Sicherheitsüberwachung : Bereitstellung sicherheitsbezogener Informationen durch Aufzeichnung und Überwachung relevanter interner Aktivitäten, einschließlich des Zugriffs auf oder der Änderung von Daten, Diensten oder Funktionen, mit einer Opt-out-Möglichkeit für den Nutzer
Die vollständige Anwendung ist für Dezember 2027 vorgesehen. Die Pflichten zur Meldung von Vorfällen und Schwachstellen gelten früher – bereits ab September 2026.

Viele Hersteller konzentrieren sich derzeit auf die Funkanlagenrichtlinie (RED) Artikel 3.3 (verpflichtend ab 2025). Während die RED auf drahtlose Schnittstellen abzielt, erweitert der CRA vergleichbare Sicherheitsprinzipien auf alle Produkte mit digitalen Elementen.

Wichtiger Hinweis : Ab Dezember 2027 wird der CRA die Cybersicherheitsanforderungen der RED (den delegierten RED-Rechtsakt) ersetzen. Die Erfüllung der RED-Anforderungen ist ein solider Ausgangspunkt, doch der CRA führt weitergehende und strengere Pflichten ein – insbesondere in den Bereichen Schwachstellenmanagement, Lebenszyklussicherheit und Software-Transparenz (SBOM).

Die CRA in 2 Minuten erklärt! ​

Weitere
Inhalte entdecken

Schritt 2 - Strategie & Risk Assessment

Der CRA schreibt eine dokumentierte Cybersicherheits-Risikobeurteilung vor. Bei Witekio übersetzen wir diese gesetzliche Anforderung in eine dreistufige technische Methodik – mit einem pragmatischen Ansatz, der Compliance ermöglicht, ohne Ihre F&E zu blockieren :

hardware picture

Angriffspfad-Mapping

Identifizierung realistischer Einfallstore (physische Schnittstellen, Funkschnittstellen, Boot-Prozess) auf Basis der tatsächlichen Angriffsoberfläche Ihres Produkts.
Mehr erfahren
Difficulty in patching and updating connected devices

Wirkungsanalyse der Gegenmaßnahmen

Bewertung der Wirksamkeit von Sicherheitsmechanismen (Verschlüsselung, Isolierung) zur Neutralisierung dieser Vektoren sowie Messung ihres Einflusses auf die Systemleistung.
Mehr erfahren
GUI development

Definition von Sicherheitszielen

Festlegung messbarer Ziele für das Produkt (gehärtete Funktionen) und seine Betriebsumgebung (Fertigung, Bereitstellung, Updates), um die Resilienz des Geräts im Feld zu gewährleisten.
Mehr erfahren

Strafen vermeiden und die Sicherheit verbessern

Ein ausführlicher technischer Einblick, gemeinsam veranstaltet mit EBV Elektronik. In dieser Sitzung wird die Schnittstelle zwischen Software- und Hardware-Compliance beleuchtet und es werden praktische Strategien für die Erstellung von SBOMs sowie für automatisierte CVE-Scans vorgestellt. Außerdem findet ein Vergleich verschiedener Hardware-Anbieter (NXP, ST, Infineon usw.) statt, der Ihnen dabei helfen soll, die richtigen Komponenten auszuwählen, um die CRA-Sicherheitsstandards zu erfüllen.

Schritt 3 - Security by Design

hardware picture

Architektur und Kernsicherheit

Der CRA schreibt die Integration von Secure Boot, Trusted Execution Environments (TEE) und hardwaregestützter Schlüsselspeicherung vor. Wir helfen Ihnen, darüber hinauszugehen : Härtung kritischer Komponenten, Integration automatisierter Sicherheitsprüfungen und Durchsetzung starker Kryptografie ab dem ersten Entwurf – damit Ihre Architektur von Haus aus sicher ist.
Mehr erfahren
Difficulty in patching and updating connected devices

Validierung und SBOM

Die CRA-Konformität erfordert die Bereitstellung einer Software-Stückliste (SBOM) für alle relevanten Komponenten. Um dies zuverlässig und praxistauglich zu gestalten, empfehlen wir die Automatisierung der SBOM-Generierung in Ihrer CI/CD-Pipeline, kontinuierliche Sicherheitsvalidierungen und die Prüfung bekannter Schwachstellen vor jeder Veröffentlichung. Compliance wird so zu einem dauerhaften Qualitätsgate – und nicht zu einer Last-Minute-Kontrolle vor der Auslieferung.
Mehr erfahren
GUI development

Langzeitsupport und OTA

Der CRA schreibt vor, dass Produkte über einen Mechanismus zur sicheren Verteilung von Updates über den gesamten Lebenszyklus verfügen müssen. Unser Ansatz geht über die bloße Compliance hinaus : Wir implementieren robuste OTA-Pipelines mit Paketsignierung und Anti-Rollback-Schutz, automatisieren das Patch-Deployment und gewährleisten eine kontinuierliche Schwachstellenüberwachung – damit Ihre Geräte noch lange nach Verlassen des Werks sicher und konform bleiben.
Mehr erfahren

Weitere
Inhalte entdecken

Schritt 4 -Langzeitwartung und CVE-Management

Die CRA verlangt von den Herstellern, dass sie während der gesamten voraussichtlichen Lebensdauer ihrer Produkte Sicherheitsunterstützung leisten, oft noch mehrere Jahre nach der Markteinführung. Wir bieten Ihnen die Infrastruktur, um diese Anforderungen zu erfüllen.

hardware picture

Kontinuierliche Überwachung

Ihr SBOM wird fortlaufend gegen Schwachstellendatenbanken abgeglichen. Sie haben jederzeit Echtzeit-Transparenz über neu bekannt gewordene Schwachstellen, die Ihren Software-Stack betreffen.
CVE Scanner
Difficulty in patching and updating connected devices

Hardware-spezifisches Triage

Nicht jede Schwachstelle betrifft Ihr Produkt. Unsere Ingenieure bewerten jedes Problem im Kontext Ihrer spezifischen Konfiguration (Kernel, Hardware, Einsatzbereich), um ausschließlich relevante Bedrohungen zu priorisieren.
Mehr erfahren
GUI development

Langfristiges Patch-Management

Wenn eine Behebung erforderlich ist, entwickeln, testen und liefern wir den entsprechenden Fix. Unsere Langzeitsupport-Programme (LTS) sind darauf ausgelegt, Sicherheit und Konformität über die gesamte Betriebsdauer Ihres Produkts aufrechtzuerhalten.
Mehr erfahren

Sie wissen nicht, wo Sie anfangen sollen?

Wenn Sie noch am Anfang des Prozesses stehen, ist ein Orientierungsgespräch der schnellste Weg, um zu verstehen, was für Ihr Produkt relevant ist und was nicht.
Lass uns darüber reden

Wir verwandeln Ihre Gerätevision in Realität

Wir unterstützen Ihre Teams bei der Konzeption, Entwicklung und dem Betrieb innovativer Produkte, von Embedded-Software bis hin zur Anwendungsentwicklung
flag_line

4 Länder

4 Länder

iso_27001_02-1024x704

ISO 27001 zertifiziert

ISO 27001 zertifiziert

Avnet_logo

fortune 500

fortune 500

Kontaktiere uns