ISO 27001 vs. CRA – ISMS um Produktsicherheit erweitern

Inhalt

Viele Unternehmen verfügen bereits über eine ISO-27001-Zertifizierung ihrer Informationssicherheit. Nun stellt sich die Frage, ob das für die Compliance mit dem Cyber Resilience Act (CRA) ausreicht. Wir erklären Gemeinsamkeiten und Unterschiede von ISO 27001 und CRA – und was Unternehmen tun müssen, um beides zu integrieren.

Reicht eine ISO-27001-Zertifizierung für den CRA?

Nein, eine bestehende Zertifizierung nach ISO 27001 reicht nicht aus, um vollständige Compliance mit dem CRA zu erlangen.

Die ISO 27001 ist das am weitesten verbreitete Rahmenwerk für ein Informationssicherheits-Managementsystem (ISMS). Sie regelt, wie eine Organisation Informationssicherheit systematisch steuert: mit Risikomanagement, Verantwortlichkeiten, Richtlinien, technischen und organisatorischen Maßnahmen, internen Audits und kontinuierlicher Verbesserung.

Die ISO 27001 setzt damit auf der Ebene der Organisation an. Der CRA dagegen auf der Ebene des einzelnen Produkts, was aber auch organisationsweite Auswirkungen hat.

Eine ISO-27001-Zertifizierung ist deshalb (ebenso wie ein bestehendes NIS2-konformes ISMS) ein guter Ausgangspunkt für die CRA-Compliance – ersetzt sie aber nicht.

Wie unterscheidet sich der CRA von der ISO 27001?

Der Cyber Resilience Act unterscheidet sich von der Norm ISO 27001 nicht nur dadurch, dass er eine gesetzliche Vorgabe ist und damit für alle betroffenen Unternehmen gilt, sondern auch durch seinen starken Produktfokus.

Der CRA gilt als eine Verordnung der EU (2024/2847) unmittelbar in allen Mitgliedsstaaten (vergleichbar zur Datenschutz-Grundverordnung – DSGVO). Ob ein Unternehmen – und wenn ja, für welche Produkte – die CRA-Vorgaben erfüllen muss, kann mit einer CRA-Betroffenheitsanalyse festgestellt werden.

Der CRA gilt für nahezu jedes Produkt mit digitalen Elementen, das in der EU im Rahmen einer kommerziellen Tätigkeit in Verkehr gebracht wird. Der CRA gilt also für Hardware ebenso wie für Software, wenn sie eine Datenverbindung zu einem Gerät oder Netzwerk herstellen kann.

Achtung: Auch bestehende Produkte können nachträglich unter den CRA fallen – nämlich dann, wenn eine „wesentliche Änderung“ vorgenommen wird, die sich auf die Cybersicherheit oder den Verwendungszweck auswirkt (Art. 3 Nr. 30 CRA). Ein einmal in Verkehr gebrachtes Produkt ist also nicht dauerhaft aus dem Schneider.

Adressat des CRA sind zwar in erster Linie die Hersteller der Produkte. Aber auch Importeure und Händler können betroffen sein, vor allem wenn sie ein Produkt unter eigenem Namen auf den Markt bringen.

Für die Praxis heißt das: Viele Unternehmen sind betroffen, ohne sich als Hersteller zu verstehen. Wer eine anspruchsvolle SaaS-Lösung anbietet, eine App vertreibt oder vernetzte Geräte herstellt, sollte den eigenen Produktbestand frühzeitig prüfen.

Wesentliche Unterschiede ISO 27001 und CRA

Kriterium ISO 27001 CRA
Rechtsform Internationaler Standard (Best Practices), Zertifizierung freiwillig EU-Verordnung, unmittelbar geltend
Regelungsebene Organisation, ISMS (ggfs. auf spezifische Bereiche beschränkt) Einzelnes Produkt (mit organisationsweiten Auswirkungen)
Adressaten Unternehmen, die ein ISMS nachweisen wollen Hersteller, Importeure, Händler
Schutzziel Vertraulichkeit, Integrität und Verfügbarkeit der Systeme Sicherheit des Produkts über den Lebenszyklus
Nachweis Externes Audit durch unabhängige Prüfstelle Konformitätsbewertung, je nach Kritikalität des Produktes durch externe Prüfung belegt
Aufsicht Akkreditierte Zertifizierungsstelle Marktüberwachungsbehörden (in Deutschland: BSI)
Geltungsbeginn Kein gesetzlicher Stichtag, Zertifikat in der Regel 3 Jahre gültig Meldepflichten ab 11.09.2026, volle Anwendbarkeit ab 11.12.2027
Sanktionen Kein Bußgeld, möglicher Verlust/Entzug des Zertifikats Bußgelder bis 15 Mio. € bzw. 2,5 % des weltweiten Jahresumsatzes, Produktrückruf, Entzug der Marktzulassen (CE-Kennzeichnung)

Welche CRA-Anforderungen deckt ein ISO-27001-ISMS nicht ab?

Ein ISMS nach ISO 27001 liefert ein gutes organisatorisches Fundament für CRA-Compliance, vor allem ein gelebtes Managementsystem und eine etablierte Risikoanalyse. Der CRA verlangt darüber hinaus einige produktbezogene Anforderungen.

Zu ergänzende Anforderungen, welche die ISO 27001 nicht abfragt

  • Security by Design und by Default: Sicherheit muss bereits in Konzeption und Entwicklung des Produkts verankert sein, nicht erst im Betrieb der Organisation.
  • Umgang mit Schwachstellen: Hersteller müssen Schwachstellen über den gesamten Unterstützungszeitraum erkennen, behandeln und beheben.
  • Sicherheitsupdates: Produkte benötigen einen verlässlichen Mechanismus, um Updates zeitnah und sicher bereitzustellen.
  • Software-Stückliste (Software Bill of Materials – SBOM): Hersteller müssen alle Komponenten und Abhängigkeiten ihres Produkts – einschließlich Open-Source-Anteilen – kennen und in einem strukturierten Verzeichnis dokumentieren. Nur so lässt sich bei einer neuen Schwachstelle schnell feststellen, welche Produkte betroffen sind.
  • Technische Dokumentation und Konformitätsbewertung: Die Produktsicherheit muss nachweisbar sein – als Grundlage für CE-Kennzeichnung und Marktüberwachung.

Pflichten, welche die ISO 27001 strukturell nicht kennt

  • Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle (Art. 14 CRA).
  • Pflichten entlang der Lieferkette, da auch eingebundene Komponenten die Konformität des Endprodukts beeinflussen.

Achtung: Während der CRA vollumfänglich erst ab 11. Dezember 2027 anwendbar ist, gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle bereits ab 11. September 2026. Und zwar für alle Produkte am Markt, auch solche, die lange vorher in Verkehr gebracht wurden.

Es empfiehlt sich, die Erweiterung des ISMS frühzeitig anzugehen, da belastbare Prozesse und Nachweise nicht kurzfristig entstehen.

Wie erweitern Sie Ihr ISO-27001-ISMS für CRA-Compliance?

Der erste Schritt von der ISO 27001 zum CRA ist eine ehrliche Bestandsaufnahme: Was deckt Ihr ISO-27001-zertifziertes ISMS bereits ab, wo fehlen produktbezogene Prozesse und reichen Ihre Nachweise für eine Konformitätsbewertung?

Bewährt hat sich folgendes Vorgehen:

  1. Betroffenheit der Produkte und eigene Rolle erfassen: Bestimmen Sie, welche Produkte mit digitalen Elementen Sie in der EU bereitstellen und welche Rolle Sie dabei einnehmen – als Hersteller, Importeur oder Händler.
  2. Einstufung klären: Ordnen Sie Ihre Produkte den CRA-Kategorien zu. Davon hängt ab, ob eine Selbstbewertung genügt oder eine externe Konformitätsbewertung nötig ist.
  3. Mapping: Ordnen Sie bestehende ISMS-Maßnahmen den produktbezogenen CRA-Anforderungen zu – von Security by Design über Schwachstellenbehandlung bis zu Sicherheitsupdates.
  4. Lücken identifizieren: Erfassen Sie fehlende Prozesse und Nachweise, mit besonderem Augenmerk auf Schwachstellenmanagement, SBOM und technische Dokumentation.
  5. Priorisieren und planen: Bringen Sie die Maßnahmen in eine Reihenfolge nach Risiko und Aufwand und hinterlegen Sie klare Verantwortlichkeiten und Termine.

Tipp: Bauen Sie für jedes betroffene Produkt eine eigene Compliance-Akte auf, in der Sicherheitsanforderungen, Designentscheidungen, Tests, SBOM, Schwachstellenprozesse, Update-Politik und technische Dokumentation zusammenlaufen.

Dafür ist der Einsatz einer auf den Cyber Resilience Act spezialisierten Software dringend zu raten. Hier werden alle Informationen an einem Ort aktuell gehalten, Aufgaben lassen sich delegieren und die Umsetzung überwachen. Das reduziert den Aufwand bei Konformitätsbewertung und Marktüberwachung erheblich.

Welche Fehler sind bei der Erweiterung des ISMS für den CRA zu vermeiden?

In der Praxis werden zwei Bereiche bei der Erweiterung von einem ISO-27001-ISMS für CRA-Compliance besonders häufig unterschätzt:

Der CRA verlangt nicht nur, dass Hersteller Schwachstellen behandeln, sondern auch, dass sie aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb enger Fristen melden. In der Praxis scheitert das selten am Willen, sondern an unklaren Zuständigkeiten:

  • Wer bewertet und priorisiert eine gemeldete Schwachstelle für ein konkretes Produkt?
  • Wer entscheidet, ob eine Korrektur als Sicherheitsupdate veröffentlicht wird?
  • Wer informiert betroffene Kunden und Behörden – und in welcher Frist?

Ein Product Security Incident Response Team (PSIRT) mit klaren Abläufen beantwortet diese Fragen, bevor ein realer Vorfall sie aufwirft.

Viele Produkte bestehen zu großen Teilen aus fremden und Open-Source-Komponenten. Deren Schwachstellen werden dann schnell zu Schwachstellen des eigenen Produkts.

Unter dem CRA reicht es nicht, Komponenten einmalig auszuwählen – Hersteller müssen ihre Abhängigkeiten kennen (SBOM), kontinuierlich auf Schwachstellen prüfen und die Sicherheit ihrer Zulieferer bewerten. Das erfordert Prozesse, Verantwortlichkeiten und Dokumentation.

Tipp: Wie Sie Security by Design, Vulnerability-Management, SBOM und sichere Release-Prozesse konkret in Entwicklung und Betrieb umsetzen, behandelt unser Beitrag zur Software-Entwicklung unter dem Cyber Resilience Act.

Wie kann activeMind Unternehmen mit bestehender ISO-27001-Zertifizierung dabei helfen, CRA-Compliance zu erreichen?

Um Unternehmen, die bereits nach ISO 27001 zertifiziert sind, für den Cyber Resilience Act vorzubereiten, beginnen wir mit einer CRA-Betroffenheitsprüfung, um die relevanten Produkte zu identifizieren. Es folgt ein CRA-Compliance-Kickoff, um konkrete Lücken des bestehenden ISMS zu identifizieren sowie Maßnahmen und Verantwortlichkeiten festzulegen. Auf Wunsch begleiten wir bis zur Konformitätsbewertung, je nach Kritikalität der Produkte als interne Prüfung oder als Vorbereitung auf ein externes Audit.

Ihre Vorteile:

  • Unsere Berater sind ISO-27001-Auditoren und wissen genau, was die Norm schon leistet – und was Ihr Unternehmen für den CRA noch zusätzlich erbringen muss.
  • Sie profitieren einerseits von Synergieeffekten aus beiden Normen und andererseits von einer tatsächlich verbesserten Unternehmens- und Produktsicherheit, was die Risiken von Bußgeldern, Haftung und Produktrückrufen erheblich senkt.

Eine bestehende Zertifizierung nach ISO 27001 kann eine erhebliche Erleichterung auf dem Weg zur CRA-Readiness sein. Dafür muss man aber wissen, wie ein integriertes Managementsystem mit beiden Normen funktioniert. Unsere Experten zeigen Ihnen gerne den besten Weg.

Vereinbaren Sie jetzt einen kostenfreies Erstgespräch!

Fazit: Ein ISMS ist die Grundlage, der CRA braucht mehr

Wer bereits ein strukturiertes ISMS nach ISO 27001 betreibt, muss für den CRA nicht bei null anfangen. Allerdings deckt die ISO 27001 vor allem das Managementsystem und die Risikoanalyse ab.

Nach unserer Erfahrung aus der Praxis ist das nur rund ein Drittel der CRA-Anforderungen. Den weitaus größeren, produktbezogenen Teil müssen Unternehmen gezielt ergänzen.

Die entscheidenden Lücken liegen selten im organisatorischen Kern, sondern bei der Produktentwicklung und -pflege: Security by Design, Schwachstellenbehandlung über den gesamten Unterstützungszeitraum, sichere Updates, eine belastbare SBOM und eine prüffähige technische Dokumentation.

Wer diese Bereiche konsequent in sein ISMS einbindet und damit ein integriertes Managementsystem (nach ISO 27001 und CRA) entwickelt, schafft die Grundlage für eine CRA-konforme Produktentwicklung.

Das vermeidet teure Nachbesserungen kurz vor Ablauf der Fristen. Am besten beginnen Sie jetzt mit der Bestandsaufnahme, solange Sie das Tempo noch selbst bestimmen können.

Weiterlesen

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zum CRA. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.