Beratung zum Cyber Resilience Act
Start » Informationssicherheit » CRA
Erreichen Sie CRA-Readiness für Ihre Produkte mit digitalen Elementen und sichern sich nachhaltig den Marktzugang in der EU.
Zufriedene Kunden der activeMind AG
Welche Unternehmen sind vom CRA betroffen?
Der Europäische Cyber Resilience Act (CRA) führt erstmals Cybersicherheits-Anforderungen für alle Produkte mit digitalen Elementen ein. Erfasst wird damit grundsätzlich jedes Produkt mit Software- oder Hardwarekomponenten, das eine Datenverbindung zu einem Gerät oder Netzwerk herstellen kann.
Der Europäische Cyber Resilience Act (CRA) führt erstmals Cybersicherheits-Anforderungen für alle Produkte mit digitalen Elementen ein. Erfasst wird damit grundsätzlich jede Software oder Hardware, die eine Datenverbindung zu einem Gerät oder Netzwerk herstellen kann.
Vom CRA betroffen sind alle Wirtschaftsakteure entlang der Lieferkette: Hersteller, Importeure und Händler. Je nach Rolle und Risikoeinstufung des Produkts gelten unterschiedlich weitreichende Pflichten.
Vom CRA betroffen sind alle Wirtschaftsakteure entlang der Lieferkette: Hersteller, Importeure und Händler. Je nach Rolle und Risikoeinstufung des Produkts gelten unterschiedlich weitreichende Pflichten.
Was müssen Unternehmen für eine CRA-Readiness tun?
Der CRA verlangt von Herstellern, die Cybersicherheit ihrer Produkte über den gesamten Lebenszyklus sicherzustellen. Die Pflichten teilen sich dabei in zwei Gruppen auf:
- Zum einen bestehen produktbezogene Pflichten, insbesondere Security by Design und eine kontinuierliche Update-Pflicht zur Beseitigung von Schwachstellen.
- Zum anderen bestehen akteursbezogene Pflichten. Dazu gehören Konformitätsbewertungen und -erklärungen, technische Dokumentationen sowie die Einhaltung von Meldepflichten.
Welches Konformitätsbewertungs-Verfahren erforderlich ist, hängt von Kritikalität bzw. der Risikoklasse des Produkts ab. Für Standardprodukte genügt eine interne Kontrolle; für wichtige und kritische Produkte ist in der Regel ein Audit durch eine benannte Kontrollstelle erforderlich.
Wie kann activeMind Unternehmen beim CRA unterstützen?
Bei der Umsetzung der CRA-Anforderungen unterstützen wir Unternehmen dabei, die komplexe Mischung aus technischer Produktgestaltung, Schwachstellen- und Risikomanagement sowie interner Governance- und Dokumentationsstrukturen zu koordinieren.
Dafür haben wir zusammen mit unserer Partnerkanzlei activeMind.legal Rechtsanwälte fünf spezifische Beratungsformate zum CRA entwickelt, um Sie genau dort abzuholen, wo Sie auf Ihrer Reise zur CRA-Compliance gerade stehen:
Unsere Services für Ihre CRA-Compliance
CRA-Betroffenheitsprüfung
Unsere Partnerkanzlei klärt rechtsverbindlich, welche Produkte digitale Elemente im Sinne des CRA enthalten und welche Rolle Ihr Unternehmen hat. Anschließend klassifizieren die Anwälte Ihre Produkte und leiten die konkret anwendbaren Pflichten ab.
CRA-Workshop
In einem Online-Workshop erklären wir allen Verantwortlichen in Ihrem Unternehmen die wesentlichen Vorschriften des CRA. Ziel ist es, dass alle internen Stakeholder über einen gemeinsamen Wissensstand verfügen.
CRA-Compliance-Kickoff
Der Aufbau eines Managementsystems befähigt sie, CRA-Vorgaben vom Schwachstellen- und Patch-Management über Incident-Meldeprozesse bis hin zur Dokumentation für alle Produkte zu etablieren.
CRA-Managementsystem
In einem Online-Workshop erklären wir allen Verantwortlichen in Ihrem Unternehmen die wesentlichen Vorschriften des CRA. Ziel ist es, dass alle internen Stakeholder über einen gemeinsamen Wissensstand verfügen.
CRA-Produkt-Konformitätsbewertung
Wir unterstützen Sie bei der technischen Dokumentation und der Konformitätsbewertung. Je nach Kritikalität Ihrer Produkte übernehmen wir die interne Bewertung oder bereiten Sie auf das externe Audit vor.
CRA-Bevollmächtigter
Für Hersteller ohne Niederlassung in der EU übernehmen wir die Rolle des Bevollmächtigten nach dem Cyber Resilience Act. Wir fungieren als zentrale EU-Anlaufstelle für Marktüberwachungsbehörden, halten die erforderlichen Konformitätsunterlagen bereit und unterstützen Sie bei Behördenanfragen sowie bei der strukturierten Erfüllung Ihrer CRA-Nachweispflichten.
CRA-Software
Um für Ihre Produkte schnell und zugleich nachhaltig CRA-Compliance zu erzielen, arbeiten wir mit unserer spezialisierten SaaS-Lösung activeMind.cloud.
Verabschieden Sie sich vom Excel-Chaos und lernen ein modernes Management kennen!
Drei gute Gründe für activeMind als Ihren CRA-Partner
Beratung auf Augenhöhe
Wir verfügen über breites juristisches Wissen und tiefgreifendes technologisches Knowhow. Zugleich beraten wir Sie immer auf Augenhöhe und befähigen alle Beteiligten.
Alles aus einer Hand
Wir unterstützen Sie genau dort, wo Ihnen interne Ressourcen fehlen oder begleiten Sie umfassend bis zur CRA-Readiness. Zusammen mit unserer Partnerkanzlei bieten wir auch die rechtliche Sicherheit – alles aus einer Hand.
Ausgewählte Experten
Unsere Experten für Ihre CRA-Readiness.
Kostefreie Erstberatung
Lassen Sie uns gemeinsam herausfinden, welche Anforderungen Sie erfüllen müssen, um Compliance mit dem CRA zu erzielen.
Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine erste Auftragsklärung bei Ihnen!
Wir leben Qualität,
die überzeugt
Häufig gestellte Fragen zum Cyber Resilience Act
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine Verordnung der EU (2024/2847), mit der die Cybersicherheit von Produkten mit digitalen Elementen über den gesamten Lebenszyklus sichergestellt werden soll.
Die Pflichten teilen sich dabei in zwei Gruppen auf:
- Zum einen bestehen produktbezogene Pflichten, also die Erfüllung der grundlegenden Cybersicherheitsanforderungen gemäß Anhang I im Sinne von Security by Design sowie eine kontinuierliche Update-Pflicht zur Beseitigung von Schwachstellen.
- Zum anderen bestehen akteursbezogene Pflichten. Dazu gehören die Durchführung der passenden Konformitätsbewertung, die Erstellung der technischen Dokumentation, die Ausstellung einer EU-Konformitätserklärung, die Anbringung der CE-Kennzeichnung und die Einhaltung von Meldepflichten.
Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über eine einheitliche Meldeplattform der ENISA melden, wobei die Frühwarnung unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnis erfolgen muss. Hinzu kommt die Informationspflicht gegenüber den Nutzern von Produkten.
Fehlt eine Hauptniederlassung in der EU, bestimmt Art. 14 Abs. 7 CRA für die Meldung eine Rangfolge: Vorrangig ist der Mitgliedstaat des Bevollmächtigten oder anderer Marktakteure, die für den Hersteller handeln; hilfsweise der Mitgliedstaat mit den meisten Nutzern des Produkts.
Weiterlesen:
Wann ist der CRA anwendbar und was sind die wichtigsten Fristen?
Der CRA ist am 20. November 2024 in Kraft getreten.
Der überwiegende Teil der Anforderungen gilt ab dem 11. Dezember 2027.
Die CRA-Meldepflichten gelten bereits ab dem 11. September 2026.
Welche Unternehmen sind vom CRA betroffen?
Vom CRA betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen herstellen, in die EU einführen oder verkaufen.
Adressaten der Verordnung sind die Wirtschaftsakteure entlang der Lieferkette. In erster Linie sind dies die Hersteller, daneben aber auch Einführer (Importeure) und Händler. Je nach Rolle und Risikoeinstufung des Produkts gelten unterschiedlich weitreichende Pflichten.
Importeure und Händler sollten ihre Rolle dabei nicht unterschätzen. Sobald ein Produkt verändert oder unter eigenem Namen vertrieben wird, kann ein Akteur unbemerkt in die deutlich umfangreichere Herstellerrolle rutschen.
Welche Produkte fallen unter den CRA?
Der Cyber Resilience Act führt erstmals horizontale Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen ein. Erfasst wird damit grundsätzlich jede Software oder Hardware, die eine Datenverbindung zu einem Gerät oder Netzwerk herstellen kann. Das reicht von vernetzter Hardware über eigenständige Software bis hin zu Apps und Betriebssystemen.
Der CRA unterscheidet zwischen Standardprodukten, wichtigen Produkten und kritischen Produkten. Maßgeblich für die Einstufung ist allein die Kernfunktion eines Produkts. Je höher die Risikoklasse, desto strenger sind die Anforderungen an die erforderliche Konformitätsbewertung.
Für Standardprodukte genügt regelmäßig eine interne Kontrolle. Für wichtige und kritische Produkte ist hingegen die Einbindung einer notifizierten Stelle erforderlich. Für kritische Produkte kann ein europäisches Cybersicherheitszertifikat verpflichtend sein.
Ein Produkt gilt als wichtig oder kritisch, wenn seine Kernfunktion einer der in den Anhängen III und IV genannten Kategorien entspricht. Dazu zählen etwa Passwortmanager, Firewalls oder Betriebssysteme als wichtige Produkte sowie beispielsweise Smartcards oder Smart-Meter-Gateways als kritische Produkte.
Was droht bei Verstößen gegen den Cyber Resilience Act?
Bei Verstößen gegen den CRA drohen empfindliche Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes. Zusätzlich kann die Marktüberwachungsbehörde Hersteller verpflichten, innerhalb einer angemessenen Frist Korrekturmaßnahmen zu ergreifen, um die Konformität des Produkts mit digitalen Elementen mit den Anforderungen des CRA herzustellen oder um das Produkt vom Markt zu nehmen oder es zurückzurufen.