Antworten zum EU Cyber Resilience Act

Immer noch unsicher, was mit dem CRA zu tun ist? Du bist nicht allein.

Falls du den EU Cyber Resilience Act (CRA) bisher nicht wahrgenommen hast, wird es höchste Zeit. Seit seiner Verabschiedung Ende 2024 stellt der CRA eine bahnbrechende Regulierung für alle Produkte mit digitalen Elementen dar, die in der EU verkauft werden – egal ob du smarte Spielzeuge, industrielle Steuerungen oder IoT-Geräte entwickelst.

Das ist der Zeitplan: Ab September 2026 musst du Schwachstellen entsprechend dem im CRA vorgesehenen Verfahren behandeln. Ein Jahr später, September 2027, musst du nachweisen können, dass deine Produkte die Sicherheitsanforderungen des CRA erfüllen.

Als KMU fragst du dich wahrscheinlich:

  • Was genau bedeutet CRA-Compliance für uns?
  • Können wir uns selbst bewerten oder brauchen wir externe Prüfer?
  • Wie dokumentieren wir die Einhaltung, verwalten Updates und integrieren Sicherheit in die Produktentwicklung?

Gute Fragen – tatsächlich sind dies die häufigsten Fragen, die KMU beim Einstieg in die CRA-Umsetzung stellen. Wir haben sie unten zusammengefasst – basierend auf Expertenaustausch und regulatorischer Analyse – um dir klare und umsetzbare Antworten zu geben.

Da die neuen Pflichten nun den gesamten Lebenszyklus deines Produkts betreffen (Design, Herstellung, Lieferkette, Updates und sogar Schwachstellenmeldung), ist es wichtiger denn je, frühzeitig und effizient vorzusorgen.

Die 10 häufigsten Fragen von KMU zur CRA-Compliance

  1. Was verlangt der CRA über eine einfache Endkontrolle hinaus? → Der CRA schreibt einen sicheren Produktentwicklungszyklus (Secure Development Lifecycle, SDL) vor. Sicherheit muss von der Entwurfsphase bis zum Support nach dem Verkauf eingebettet sein – inklusive sicherer Konfiguration, Risikobewertung, regelmäßiger Tests und Schwachstellenmanagement.

  2. Wie finde ich heraus, welche Normen für mein Produkt gelten? → Die Normenlage ist nicht immer eindeutig. Zwar verweist der CRA auf harmonisierte Standards (sobald horizontale und vertikale Normen fertig sind), aber KMU brauchen meist Orientierung, wie sie diese auf ihre Produktmerkmale und Risiken anwenden. ENISA und Fachpapiere bieten dazu Tools und Zuordnungshilfen.

  3. Können wir uns selbst bewerten oder ist eine externe Zertifizierung nötig? → Für die meisten Produkte ist Selbstbewertung erlaubt, außer du stellst „kritische Komponenten“ her (gemäß Klassifizierung). Wichtig ist aber, dass dies auf einer dokumentierten Risikobewertung basiert – diese wird von Marktaufsichtsbehörden überprüft.

  4. Wie integriere ich CRA-Anforderungen in bestehende Prozesse und Tools? → Du musst keine bestehenden Systeme wie ISO 9001 oder agile Workflows verwerfen, aber du musst Cybersecurity-Prüfpunkte einbauen und sie an CRA-Vorgaben anpassen. Dazu gehören Risikovorlagen, SBOM-Integration und automatisierte Testwerkzeuge.

  5. Welche Tools oder Plattformen helfen bei der CRA-Umsetzung? → Es gibt zunehmend Tools für SBOMs, Schwachstellenscans und Sicherheitstests (z. B. Maven, SAST/DAST, Fuzzing). Viele lassen sich in DevOps-Pipelines integrieren. Entscheidend ist, dass sie zur Komplexität deines Produkts und zu deinen Ressourcen der Stewards und Open Source Software passen.

  6. Wo finde ich erschwingliche und vertrauenswürdige Beratung oder Unterstützung? → Der CRA-Markt entwickelt sich noch. Suche nach Partnern mit nachweislicher Erfahrung in Produktsicherheit und Regulierung. Kostenlose Einstiegshilfe bieten oft EU-Initiativen wie die European Digital Innovation Hubs.

  7. Wie rechtfertige ich die Kosten und den Aufwand gegenüber meinem Team oder Management? → Compliance ist nicht nur eine Pflicht – sie ist ein Wettbewerbsvorteil. Produkte mit CE-Kennzeichnung nach CRA signalisieren Vertrauen und Sicherheit – hilfreich für Ausschreibungen und Marktzugang.

  8. Welche Dokumentation ist erforderlich und wie detailliert? → Du musst Unterlagen wie Risikobewertungen, SBOMs, Testberichte, Verfahren zur Schwachstellenmeldung und Incident-Response-Pläne mindestens 10 Jahre lang aufbewahren. Diese Dokumentation ist verpflichtend und bildet das Rückgrat deiner technischen Unterlagen und deiner CE-Konformitätserklärung.

  9. Gibt es eine klare Start-Checkliste für KMU? → Noch nicht offiziell, aber Best Practices und EU-Ressourcen beschreiben typische Schritte: Risikobewertung starten, anwendbare Standards identifizieren, sicheres Design einführen, dokumentieren und testen. Entsprechende Vorlagen und Toolkits sind in Arbeit.

  10. Wie sichern wir laufende Compliance bei ständig neuen Risiken? → Der CRA ist risikobasiert und gilt über den gesamten Produktlebenszyklus. Das heißt: Schwachstellen überwachen, Software mindestens 5 Jahre lang unterstützen, und Dokumentation sowie Maßnahmen fortlaufend anpassen. Automatisierung hilft – aber regelmäßige Audits und Aktualisierungen bleiben Pflicht.

Hilfe gesucht, ohne im CRA-Dschungel unterzugehen?

Wenn du als KMU den CRA zum ersten Mal umsetzt, musst du das nicht allein tun. Ich biete CRA-orientierte Beratungsleistungen, speziell für kleine und mittlere Technologieunternehmen – ob du vernetzte Geräte, Softwareplattformen oder eingebettete Systeme entwickelst.

Wir klären deine Pflichten, optimieren deine Prozesse und sparen deinem Team Zeit und Risiken.

➡️ Erfahre mehr unter Cyber Resilience Consulting (peterschoo.de) - mit individuellen Checklisten, technischem Coaching, Risikovorlagen und vielem mehr.