Beratung zum Cyber Resilience Act

Erreichen Sie CRA-Readiness für Ihre Produkte mit digitalen Elementen und sichern sich nachhaltig den Marktzugang in der EU.

Zufriedene Kunden der activeMind AG

Mitarbeiter eines Unternehmens besprechen bei der Produktentwicklung, welche Komponenten für den CRA relevant sind
Mitarbeiter eines Unternehmens stellen einen Roboter so ein dass er den Cybersicherheitsanforderungen des CRA entspricht

Welche Unternehmen sind vom CRA betroffen?

Der Europäische Cyber Resilience Act (CRA) führt erstmals Cybersicherheits-Anforderungen für alle Produkte mit digitalen Elementen ein. Erfasst wird damit grundsätzlich jedes Produkt mit Software- oder Hardwarekomponenten, das eine Datenverbindung zu einem Gerät oder Netzwerk herstellen kann.

Der Europäische Cyber Resilience Act (CRA) führt erstmals Cybersicherheits-Anforderungen für alle Produkte mit digitalen Elementen ein. Erfasst wird damit grundsätzlich jede Software oder Hardware, die eine Datenverbindung zu einem Gerät oder Netzwerk herstellen kann.

Vom CRA betroffen sind alle Wirtschaftsakteure entlang der Lieferkette: Hersteller, Importeure und Händler. Je nach Rolle und Risikoeinstufung des Produkts gelten unterschiedlich weitreichende Pflichten.

Vom CRA betroffen sind alle Wirtschaftsakteure entlang der Lieferkette: Hersteller, Importeure und Händler. Je nach Rolle und Risikoeinstufung des Produkts gelten unterschiedlich weitreichende Pflichten.

Ein elektronisches Türschloss in einem modernen Büro, das durch Beratung von activeMind eine CRA-Konformitätsbewertung erhalten hat
Auf einem User Interface werden Updates eingespielt, um die Anforderungen des CRA zu erfüllen

Was müssen Unternehmen für eine CRA-Readiness tun?

Der CRA verlangt von Herstellern, die Cybersicherheit ihrer Produkte über den gesamten Lebenszyklus sicherzustellen. Die Pflichten teilen sich dabei in zwei Gruppen auf:

  • Zum einen bestehen produktbezogene Pflichten, insbesondere Security by Design und eine kontinuierliche Update-Pflicht zur Beseitigung von Schwachstellen.
  • Zum anderen bestehen akteursbezogene Pflichten. Dazu gehören Konformitätsbewertungen und -erklärungen, technische Dokumentationen sowie die Einhaltung von Meldepflichten.

Welches Konformitätsbewertungs-Verfahren erforderlich ist, hängt von Kritikalität bzw. der Risikoklasse des Produkts ab. Für Standardprodukte genügt eine interne Kontrolle; für wichtige und kritische Produkte ist in der Regel ein Audit durch eine benannte Kontrollstelle erforderlich.

Eine Beraterin der activeMind AG erklärt den MItarbeitenden eines Unternehmens den Cyber Resilience Act in einem Workshop
Eine Beraterin der activeMInd AG berät die Geschäftsführung eines Unternehmens zu dessen spezifischen Risiken unter dem CRA

Wie kann activeMind Unternehmen beim CRA unterstützen?

Bei der Umsetzung der CRA-Anforderungen unterstützen wir Unternehmen dabei, die komplexe Mischung aus technischer Produktgestaltung, Schwachstellen- und Risikomanagement sowie interner Governance- und Dokumentationsstrukturen zu koordinieren.

Dafür haben wir zusammen mit unserer Partnerkanzlei activeMind.legal Rechtsanwälte fünf spezifische Beratungsformate zum CRA entwickelt, um Sie genau dort abzuholen, wo Sie auf Ihrer Reise zur CRA-Compliance gerade stehen:

Unsere Services für Ihre CRA-Compliance

CRA-Software

Um für Ihre Produkte schnell und zugleich nachhaltig CRA-Compliance zu erzielen, arbeiten wir mit unserer spezialisierten SaaS-Lösung activeMind.cloud.

Verabschieden Sie sich vom Excel-Chaos und lernen ein modernes Management kennen!

Drei gute Gründe für activeMind als Ihren CRA-Partner

Erfahrung mit Standards

Durch unsere langjährige Erfahrung mit der Implementierung unterschiedlicher Normen wie ISO 27001, NIS2, DORA oder TISAX bei Unternehmen und Konzernen verschiedenster Branchen sind unsere Experten für die Beratung zum Cyber Resilience Act bestens aufgestellt.

Beratung auf Augenhöhe

Wir verfügen über breites juristisches Wissen und tiefgreifendes technologisches Knowhow. Zugleich beraten wir Sie immer auf Augenhöhe und befähigen alle Beteiligten.

Alles aus einer Hand

Wir unterstützen Sie genau dort, wo Ihnen interne Ressourcen fehlen oder begleiten Sie umfassend bis zur CRA-Readiness. Zusammen mit unserer Partnerkanzlei bieten wir auch die rechtliche Sicherheit – alles aus einer Hand.

Ausgewählte Experten

Unsere Experten für Ihre CRA-Readiness.

Klaus Foitzick

Klaus Foitzick

Consultant Datenschutz und Informationssicherheit
Senior Partner und Vorstand
Haykuhi Gevorgyan

Haykuhi Gevorgyan

Consultant Datenschutz und Informationssicherheit
Senior Associate
Leider liegt noch kein Foto der Person vor

Dirk Ammelburger

Consultant Datenschutz und Informationssicherheit
Senior Associate

Kostefreie Erstberatung

Lassen Sie uns gemeinsam herausfinden, welche Anforderungen Sie erfüllen müssen, um Compliance mit dem CRA zu erzielen.

Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine erste Auftragsklärung bei Ihnen!

Wir leben Qualität,
die überzeugt

Häufig gestellte Fragen zum Cyber Resilience Act

Der Cyber Resilience Act (CRA) ist eine Verordnung der EU (2024/2847), mit der die Cybersicherheit von Produkten mit digitalen Elementen über den gesamten Lebenszyklus sichergestellt werden soll.

Die Pflichten teilen sich dabei in zwei Gruppen auf:

  • Zum einen bestehen produktbezogene Pflichten, also die Erfüllung der grundlegenden Cybersicherheitsanforderungen gemäß Anhang I im Sinne von Security by Design sowie eine kontinuierliche Update-Pflicht zur Beseitigung von Schwachstellen.
  • Zum anderen bestehen akteursbezogene Pflichten. Dazu gehören die Durchführung der passenden Konformitätsbewertung, die Erstellung der technischen Dokumentation, die Ausstellung einer EU-Konformitätserklärung, die Anbringung der CE-Kennzeichnung und die Einhaltung von Meldepflichten.

Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über eine einheitliche Meldeplattform der ENISA melden, wobei die Frühwarnung unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnis erfolgen muss. Hinzu kommt die Informationspflicht gegenüber den Nutzern von Produkten.

Fehlt eine Hauptniederlassung in der EU, bestimmt Art. 14 Abs. 7 CRA für die Meldung eine Rangfolge: Vorrangig ist der Mitgliedstaat des Bevollmächtigten oder anderer Marktakteure, die für den Hersteller handeln; hilfsweise der Mitgliedstaat mit den meisten Nutzern des Produkts.

 

Weiterlesen:

Der CRA ist am 20. November 2024 in Kraft getreten.

Der überwiegende Teil der Anforderungen gilt ab dem 11. Dezember 2027.

Die CRA-Meldepflichten gelten bereits ab dem 11. September 2026.

Vom CRA betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen herstellen, in die EU einführen oder verkaufen.

Adressaten der Verordnung sind die Wirtschaftsakteure entlang der Lieferkette. In erster Linie sind dies die Hersteller, daneben aber auch Einführer (Importeure) und Händler. Je nach Rolle und Risikoeinstufung des Produkts gelten unterschiedlich weitreichende Pflichten.

Importeure und Händler sollten ihre Rolle dabei nicht unterschätzen. Sobald ein Produkt verändert oder unter eigenem Namen vertrieben wird, kann ein Akteur unbemerkt in die deutlich umfangreichere Herstellerrolle rutschen.

Der Cyber Resilience Act führt erstmals horizontale Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen ein. Erfasst wird damit grundsätzlich jede Software oder Hardware, die eine Datenverbindung zu einem Gerät oder Netzwerk herstellen kann. Das reicht von vernetzter Hardware über eigenständige Software bis hin zu Apps und Betriebssystemen.

Der CRA unterscheidet zwischen Standardprodukten, wichtigen Produkten und kritischen Produkten. Maßgeblich für die Einstufung ist allein die Kernfunktion eines Produkts. Je höher die Risikoklasse, desto strenger sind die Anforderungen an die erforderliche Konformitätsbewertung.

Für Standardprodukte genügt regelmäßig eine interne Kontrolle. Für wichtige und kritische Produkte ist hingegen die Einbindung einer notifizierten Stelle erforderlich. Für kritische Produkte kann ein europäisches Cybersicherheitszertifikat verpflichtend sein.

Ein Produkt gilt als wichtig oder kritisch, wenn seine Kernfunktion einer der in den Anhängen III und IV genannten Kategorien entspricht. Dazu zählen etwa Passwortmanager, Firewalls oder Betriebssysteme als wichtige Produkte sowie beispielsweise Smartcards oder Smart-Meter-Gateways als kritische Produkte.

Bei Verstößen gegen den CRA drohen empfindliche Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes. Zusätzlich kann die Marktüberwachungsbehörde Hersteller verpflichten, innerhalb einer angemessenen Frist Korrekturmaßnahmen zu ergreifen, um die Konformität des Produkts mit digitalen Elementen mit den Anforderungen des CRA herzustellen oder um das Produkt vom Markt zu nehmen oder es zurückzurufen.

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zum CRA. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.