Cyber Resilience Act

Cyber Resilience Act – Jetzt handeln, bevor die Uhr abläuft

Ab Dezember 2027 dürfen Produkte mit digitalen Schnittstellen nur noch in der Europäischen Union (EU) verkauft werden, wenn sie den Anforderungen des Cyber Resilience Acts (CRA) entsprechen. Erste Meldepflichten für Sicherheitslücken gelten bereits ab September 2026.

Sie entwickeln oder vertreiben vernetzte Produkte – etwa Maschinen, Geräte, Embedded Systems oder Softwarelösungen? Dann betrifft Sie der CRA – branchenübergreifend und verpflichtend.

Wir helfen Ihnen dabei, die neuen Anforderungen zu verstehen, strategisch einzuordnen und in Ihre Produktentwicklung zu integrieren.

 

Jetzt Beratungsgespräch vereinbaren

Was ist der Cyber Resilience Act (CRA)?

Mit dem CRA verpflichtet die EU Hersteller und Inverkehrbringer, die Cybersicherheit vernetzter Produkte systematisch sicherzustellen – unabhängig davon, wie lange ein Produkt bereits gefertigt wird. Ab dem 11. Dezember 2027 dürfen nur noch solche Produkte auf den EU-Markt gebracht werden, die den CRA-Anforderungen entsprechen. Das bedeutet: Sicherheitsmaßnahmen müssen konkret im Produkt selbst verankert sein – z. B. durch sichere Softwarearchitektur, Updatefähigkeit und wirksame Schwachstellenbehandlung.

Ziel des CRA ist es, Verbraucher:innen, Unternehmen und Infrastrukturen besser vor Cyberangriffen zu schützen – und ein angemessenes Schutzniveau zu etablieren. Die Verordnung verfolgt dabei einen risikobasierten Ansatz: Je nach Einsatzszenario und Bedrohungslage müssen technische und organisatorische Schutzmaßnahmen geplant, umgesetzt und dokumentiert werden.

Was unter anderem gefordert wird:

  • Bedrohungs- und Risikoanalysen für jedes betroffene Produkt
  • Integration technischer und organisatorischer Schutzmaßnahmen in Design, Entwicklung und Support
  • Dokumentation und Nachweis der Sicherheitsfunktionen
  • Einführung strukturierter Prozesse zum Schwachstellenmanagement, inklusive Single Point of Contact, Prüfung der Software Supply Chain anhand von SBOMs (Software Bill of Materials) und Fehlerbehebung
  • Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden an die European Network and Information Security Agency (ENISA)
  • Bereitstellung kostenfreier Sicherheitsupdates während der Nutzungsdauer

Bei Verstößen gegen den CRA drohen Unternehmen Bußgelder in Millionenhöhe, Rückrufpflichten und der Verlust der CE-Kennzeichnung – mit direkten Folgen für den Zugang zum EU-Markt und das Vertrauen der Kund:innen.

© Adobe Stock / miss irine

Was bedeutet das für Unternehmen konkret?

Der CRA betrifft nahezu alle Produkte mit digitalen Komponenten – unabhängig davon, ob sie von einem KMU oder einem Großunternehmen stammen. Entscheidend ist nicht, ob ein Produkt tatsächlich an ein Netz angeschlossen wird und Daten austauscht, sondern ob es technisch dazu in der Lage ist.

Und: Auch bereits am Markt befindliche Produkte unterliegen ab 2026 klar definierten Meldepflichten. Das bedeutet: Auch Altprodukte müssen in puncto Schwachstellenmanagement überwacht werden.

Besonders relevant ist der CRA für:

  • Hersteller vernetzter Produkte: z. B. Embedded Systems, IoT-Geräte, Automatisierungstechnik, Maschinen und Anlagen, Softwareprodukte aller Art
  • Softwareentwickler:innen und OEMs mit EU-Marktbezug
  • IT-Sicherheitsverantwortliche, CTOs und Produktmanager

Diese Unternehmen stehen vor der Aufgabe, neue Security-Prozesse und Rollen zu etablieren, Produktportfolios systematisch zu analysieren, Entwicklungsprozesse anzupassen und die Nachweisbarkeit der Sicherheitsmaßnahmen sicherzustellen. Eine frühzeitige Bewertung der Ausgangslage hilft, unnötige Aufwände zu vermeiden und die Maßnahmen kosteneffizient umzusetzen.

Unsere Leistungen zur Umsetzung des Cyber Resilience Act

Wir begleiten Sie strategisch und praxisnah auf Ihrem Weg zur CRA-Konformität – von der Standortbestimmung bis zur Umsetzung operativer Maßnahmen. Unsere Angebote sind modular aufgebaut, flexibel kombinierbar und auf die Strukturen und Herausforderungen industrieller Unternehmen abgestimmt.

Dabei übernehmen wir nicht nur einzelne Aufgaben, sondern denken die Security-Rolle im Unternehmen mit: Wir moderieren Entscheidungsprozesse, schaffen Awareness in Führungsteams und unterstützen Ihre Verantwortlichen dabei, nachhaltige Strukturen aufzubauen. Ob Sie noch am Anfang stehen oder bereits eigene Security-Verantwortliche haben – wir stehen als Coach, Sparringspartner und methodischer Impulsgeber an Ihrer Seite.

Auf Basis unserer Erfahrung in der sicheren Softwareentwicklung und regulatorischen Projekten mit Unternehmen wie Bosch Rexroth, KEB Automation, Phoenix Contact, Miele, Kraft Maschinenbau oder adesso mobile solutions bieten wir fundierte und anwendungsnahe Unterstützung.

© Fraunhofer IEM
Ihre Roadmap zur CRA-Konformität

Unsere CRA-Angebote

Grundlagenschulung

Ihr Einstieg in den CRA: In einer kompakten (Online-)Session vermitteln unsere Expert:innen die wichtigsten Aspekte des Gesetzes, darunter Anwendungsbereich, Produktanforderungen, Risikoklassen, Anforderungen an die Organisation, Meldepflichten, Zeitleiste sowie die wichtigsten Handlungsschritte. Offene Fragen können direkt im Austausch geklärt werden.

Identifikation betroffener Produkte

Welche Produkte Ihres Portfolios sind vom CRA betroffen? Wir analysieren gemeinsam mit Ihnen typische Merkmale digitaler Komponenten, klären Sonderfälle und helfen Ihnen, strategische Entscheidungen zu treffen – etwa zur Weiterentwicklung, Abkündigung oder Re-Priorisierung.

Hinweis: Die Identifikation betroffener Produkte bieten wir nur in Kombination mit der Grundlagenschulung an.

Prozessanalyse

Wie gut ist Ihr Produktentwicklungsprozess aufgestellt? Wir bewerten Reifegrad, Rollen, Abläufe und technische Schnittstellen im Hinblick auf die CRA-Anforderungen und leiten priorisierte Handlungsempfehlungen ab.

Produktanalyse & Risikoabschätzung

In interaktiven Workshops führen wir gemeinsam mit Ihrem Team eine Bedrohungs- und Risikoanalyse auf Basis etablierter Methoden (z. B. STRIDE) durch. Ziel ist es, die CRA-Konformität einzelner Produkte zu bestimmen und risikoangepasst konkrete Schutzmaßnahmen abzuleiten.

Umsetzungscoaching

Wir begleiten Sie bei der praktischen Umsetzung Ihrer CRA-Roadmap – zugeschnitten auf Ihr Unternehmen, Ihre Prozesse und Ihre Produkte. Die inhaltlichen Schwerpunkte und Zeithorizonte legen wir gemeinsam mit Ihnen fest. Unser Ziel: praxistaugliche Unterstützung, die sich nahtlos in Ihre Betriebsabläufe einbettet.

Kundenstimmen und Praxisbeispiele

Referenzen

Erfahren Sie, wie andere Unternehmen den Weg zur CRA-Konformität bereits heute gehen – mit Unterstützung des Fraunhofer IEM. Unsere Referenzprojekte zeigen, wie vielfältig die Anforderungen in der Praxis sind.

Drei Schritte zur CRA-Konformität

Awareness schaffen

Sensibilisieren Sie Entwicklungsteams, Management und Produktverantwortliche für den CRA. Unsere Schulung hilft, einen gemeinsamen Wissensstand herzustellen.

Ist-Stand analysieren

Identifizieren Sie, welche Produkte und Prozesse betroffen sind. Das gibt Ihnen Planungssicherheit und verhindert Blindspots.

Prioritäten setzen

Leiten Sie konkrete Maßnahmen ab, etwa zum Aufbau eines PSIRT (Product Security Incident Response Team) oder zur Integration von Risikoanalysen in Ihre Entwicklung.

 

Jetzt aktiv werden!

Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Denn: Alle Produkte, die ab dem 11. Dezember 2027 verkauft werden – auch solche, die bereits entwickelt wurden –, müssen die CRA-Vorgaben erfüllen.

Häufige Fragen zum Cyber Resilience Act

Hier beantworten wir typische Fragen von Unternehmen zur Umsetzung des CRA – praxisnah, verständlich und auf Basis aktueller Regelungen.

  • Der CRA gilt für nahezu alle Produkte mit einer digitalen Schnittstelle, die in der EU in Verkehr gebracht werden – also z. B. Software, vernetzte Geräte und eingebettete Systeme. Ausnahmen gelten nur für Produkte, die bereits unter branchenspezifische Sicherheitsregulierungen wie z. B. in der Medizintechnik oder Luftfahrt fallen.

  • Gerade kleine und mittlere Unternehmen im Maschinen- und Anlagenbau sind betroffen, wenn ihre Produkte digitale Schnittstellen, also Connectivity-Features enthalten. Wichtig ist hier ein strukturiertes Vorgehen zur Risikoanalyse und zur Ableitung passender Sicherheitsmaßnahmen.

  • Zu den wichtigsten Maßnahmen zählen die Durchführung von Bedrohungs- und Risikoanalysen, die Integration von Sicherheitsfunktionen ins Design, die Einführung eines Schwachstellenmanagements inklusive der Organisation von Software-Updates und Meldeprozessen.

  • Ein PSIRT (Product Security Incident Response Team) ist eine organisatorische Einheit im Unternehmen, die für das strukturierte Management von Sicherheitslücken verantwortlich ist. Sie nimmt Hinweise zu Schwachstellen entgegen, bewertet Risiken, koordiniert Gegenmaßnahmen und kommuniziert intern wie extern.

    Der CRA schreibt ein PSIRT zwar nicht explizit vor – stellt aber Anforderungen, die sich in der Praxis am effektivsten mit einem solchen Team erfüllen lassen. Dazu zählen etwa die Reaktionsfähigkeit bei Sicherheitsvorfällen, die Überwachung von Schwachstellen in Zulieferkomponenten und die Benennung einer zentralen Anlaufstelle für externe Meldungen.

  • Eine strukturierte Portfoliobewertung zeigt, welche Produkte vom CRA betroffen sind. Dabei wird geprüft, welche Komponenten digitale Elemente enthalten, welche Schnittstellen vorhanden sind und ob bestehende Sicherheitsmaßnahmen ausreichen.

  • Ab dem 11. September 2026 gelten Meldepflichten für aktiv ausgenutzte Schwachstellen in eigenen Produkten. Ab dem 11. Dezember 2027 dürfen nur noch Produkte mit CRA-Konformität neu in den Markt gebracht werden und das CE-Kennzeichen tragen.

  • Die Risikoanalyse ist das zentrale Instrument des CRA. Sie hilft dabei, Sicherheitsmaßnahmen risikobasiert zu planen und zu dokumentieren – und damit sowohl Compliance als auch Effizienz sicherzustellen.

  • Ja, inhaltlich gibt es eine enge Verbindung. Viele CRA-Anforderungen decken sich mit denen der IEC 62443 – zum Beispiel in den Bereichen Security-by-Design, Schwachstellenmanagement und Dokumentation.

    Daher wird aktuell dieser internationale Standard zu einer harmonisierten europäischen Norm -  der hEN IEC 62443 - speziell für den CRA angepasst. Die IEC 62443 deckt nicht alle Anforderungen des CRA ab und wurde ursprünglich nur für den Maschinen- und Anlagenbau entwickelt. Darum wird es noch eine Reihe weiterer harmonisierter Normen für den CRA geben. Sie werden jedoch voraussichtlich alle zu spät veröffentlicht, um als Grundlage für die ersten Umsetzungsschritte zu dienen. Unternehmen sollten daher bereits jetzt mit der Vorbereitung beginnen.

Der CRA betrifft Sie? Wir sind für Sie da.

Matthias Meyer

Contact Press / Media

Dr. Matthias Meyer

Bereichsleiter Softwaretechnik und IT-Sicherheit

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465-122