Homepage

Produktsicherheit und EU CRA

Resilient. Konform. In KI-Geschwindigkeit.

Der Cyber Resilience Act (CRA) verändert die Spielregeln für digitale Produkte in Europa. Moderne KI-Modelle verkürzen die Zeit zwischen Entdeckung und Ausnutzung von Schwachstellen in unter 24 Stunden. CLOUDYRION macht Ihre Produkte sicher für die neue KI-Bedrohungslage und bereit für den CRA – mit Secure by Design und Ethical Hacking.

Jetzt Kontakt aufnehmen

Was ist der EU Cyber Resilience Act?

Die erste EU-weite Verordnung, die verbindliche Cybersecurity-Anforderungen für alle Produkte mit digitalen Elementen definiert. Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten und betrifft praktisch jeden Hersteller, Importeur und Händler von Produkten mit digitalen Elementen – von IoT-Sensoren über industrielle Steuerungssysteme, Video-Konferenzsysteme, Smart-Watches bis hin zur Geräteverwaltung als Software-as-a-Service (SaaS). Anders als bisherige Richtlinien setzt der CRA auf einen ganzheitlichen Ansatz im Produktlebenszyklus: Sicherheit muss von der Planung, Konzeption, Entwicklung, Herstellung, Lieferung, Wartung (mindestens 5 Jahre), bis zum End of Support berücksichtigt werden. Die grundlegenden Cybersecurity-Anforderungen (Essential Cybersecurity Requirements) des Anhang I umfassen Themen wie Zugriffskontrolle, Datenvertraulichkeit, Produktverfügbarkeit, Produktüberprüfung, Risikobewertung, sichere Standardkonfiguration, Datenminimierung und Zweckbestimmung, Benutzeranleitungen, Ereignisüberwachung, und Behandlung von Schwachstellen.

01

Planung

Risikobewertung, Produktklassifizierung und Unterstützungszeitraum werden festgelegt, bevor die erste Zeile Code entsteht.

02

Konzeption

Sicherheitsarchitektur, Angriffsfläche, Zugriffskontrolle und Update-Mechanismen werden als Secure by Design (SbD) Anforderungen verankert.tsvorfälle umsetzen.

03

Entwicklung

SbD-Anforderungen werden implementiert, Schwachstellen-Management aufgebaut, Drittkomponenten geprüft und die SBOM erstellt.

04

Herstellung

Das Produkt durchläuft die Konformitätsbewertung, erhält die CE-Kennzeichnung und wird für die Auslieferung freigegeben. Die technische Dokumentation mit den SbD-Anforderungen steht im Mittelpunkt. Ethical Hacking prüft den fertigen Prototyp vor der Serienherstellung auf bekannte Schwachstellen.

05

Lieferung

Nutzerinformationen, Kontaktstellen und das Enddatum des Unterstützungszeitraums werden sichtbar im Internet bereitgestellt.

06

Wartung

Schwachstellen werden laufend behandelt, neue Fähigkeiten und Funktionen mit SbD erweitert, Sicherheitsupdates bereitgestellt und Vorfälle innerhalb der CRA-Fristen gemeldet.

07

End of Support

Nutzer werden informiert, eine sichere Außerbetriebnahme ermöglicht und die Dokumentation weiterhin aufbewahrt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird voraussichtlich die Pflichten der nationalen Marktüberwachungsbehörde übernehmen. Das BSI hat mit der TR-03183 eine Handlungsempfehlung zur Umsetzung des CRA in Deutschland veröffentlicht. Für Unternehmen ohne strukturierte Cybersecurity-Prozesse bedeutet das einen erheblichen Anpassungsbedarf.

Komplikation

Die Kosten der Nicht-Compliance

Der CRA sieht empfindliche Strafen vor und Marktüberwachungsbehörden können Produkte vom Markt nehmen.

  • €15 Mio.

    oder 2,5 % des globalen Jahresumsatzes bei schwerwiegenden Verstößen gegen grundlegende Cybersecurity-Anforderungen, Herstellerpflichten oder Meldepflichten.

  • €10 Mio.

    oder 2 % des globalen Jahresumsatzes bei weniger schwerwiegenden Verstößen und Dokumentationsmängeln

  • €5 Mio.

    oder 1 % des globalen Jahresumsatzes bei falschen, unvollständigen oder irreführenden Auskünften auf Anfragen der Marktüberwachung.

  • Marktrücknahme

    Marktüberwachungsbehörden können den Verkauf untersagen, Produkte zurückrufen oder vom Markt nehmen lassen

CRA-Risikoklassen: Welche Stufe betrifft Sie?

Der CRA unterscheidet drei Risikoklassen mit steigenden Anforderungen an die Konformitätsbewertung. Die Einstufung bestimmt Ihren Anpassungsbedarf.

Standard (Default)

Nicht in Anhang III oder IV gelistet

 

Die Standard-Kategorie umfasst ca. 90 % aller Produkte mit digitalen Elementen. Diese Produkte stellen ein geringeres Cybersicherheitsrisiko dar, müssen aber dennoch alle grundlegenden Cybersecurity-Anforderungen nach Anhang I erfüllen. Eine Selbstbewertung (Modul A) durch den Hersteller reicht aus, wenn die technische Dokumentation und Risikobewertung den Anforderungen der nationalen Marktüberwachungsbehörde entspricht, voraussichtlich das BSI.

Betroffene Produkte

  • Standard-Software
  • Business-Anwendungen
  • Smart Devices (ohne KI-Assistenz, Überwachungs- oder Sicherheitsfunktion)
  • Wearables (für Erwachsene ohne Gesundheitsdaten)
  • Spielzeuge (ohne Internet-Funktion, soziale Interaktion oder Ortung)
  • u.a.

Anforderungen

  • Secure by Design – Alle grundlegenden Cybersicherheitsanforderungen umgesetzt
  • Schwachstellenmanagement – SBOM, Updates, CVD-Strategie und Meldepflichten an CSIRT + ENISA (24h / 72h / 14 Tage bzw. 1 Monat)
  • Dokumentation & Konformität – Technische Dokumentation, Risikobewertung, CE-Kennzeichnung, Nutzerinformation. Aufbewahrung mindestens 10 Jahre oder Unterstützungszeitraum.
  • Konformitätsverfahren: Selbstbewertung durch den Hersteller (Modul A)
Klasse I (Wichtig)

Anhang III (wichtige Produkte)

 

Produkte der Klasse I haben ein erhöhtes Cybersicherheitsrisiko und spielen eine bedeutende Rolle in der Netzwerk- und Systemsicherheit, Industrie- und Konsumentenprodukte für Erwachsene oder Kinder, speziell mit Funktionen für KI-Assistenz, Sicherheits- oder Überwachungsfunktion, z.B. Gesundheitsüberwachung. Produkte der Klasse I erlauben eine Selbstbewertung (Modul A), sofern harmonisierte Standards vollständig angewendet werden können, ansonsten ist eine Drittprüfung durch eine notifizierte Stelle erforderlich (Modul B + C oder H).

Betroffene Produkte

  • Identity Management einschließlich Lesegeräte
  • SIEM-Systeme
  • Router, Switches und VPN-Produkte
  • Smart Devices (mit KI-Assistenz, Überwachungs- oder Sicherheitsfunktion)
  • Wearables (mit Gesundheitsüberwachung oder für Kinder
  • Spielzeuge (mit Internet-Funktion, soziale Interaktion oder Ortung)
  • u.a.

Anforderungen

  • Secure by Design – Wie Standard
  • Schwachstellenmanagement – Wie Standard
  • Dokumentation & Konformität – Wie Standard
  • Konformitätsverfahren: Selbstbewertung (Modul A) nur bei vollständiger Anwendung harmonisierter Standards – andernfalls Drittprüfung durch notifizierte Stelle (Modul B+C oder H)
Klasse II (Wichtig+, erhöhtes Risiko)

Anhang III (wichtige Proadukte)

 

Klasse II umfasst Produkte mit dem höchsten Risikopotenzial innerhalb der wichtigen Produkte. Ein Sicherheitsvorfall kann schwerwiegende kaskadierende Auswirkungen auf zahlreiche Systeme haben – etwa durch zentrale Funktionen wie Virtualisierung oder Netzwerkschutz. Eine Drittprüfung ist hier immer Pflicht, auch bei vollständiger Anwendung harmonisierter Standards.

Betroffene Produkte

  • Firewalls, IDS/IPS-Systeme
  • Hypervisors und Container-Runtime-Systeme
  • Manipulationssichere Mikroprozessoren und -controller
  • u.a.

Anforderungen

  • Secure by Design – Wie Standard
  • Schwachstellenmanagement – Wie Standard
  • Dokumentation & Konformität – Wie Standard
  • Konformitätsverfahren: Immer Drittprüfung (Modul B+C, H oder EU-Zertifizierung „substantial”). Keine Selbstbewertung möglich.
Kritisch (höchste Sicherheitsstufe)

Anhang IV 

Kritische Produkte mit digitalen Elementen betreffen eine kleine Gruppe und sind für die kritische Infrastruktur und sicherheitsrelevante Anwendungen bestimmt. Sie erfordern eine Bewertung durch eine benannte Stelle (Notified Body) – die strengste Form der Konformitätsbewertung. Ein Ausfall dieser Produkte kann schwerwiegende Auswirkungen auf die öffentliche Sicherheit, Gesundheit oder wesentliche gesellschaftliche Funktionen haben.

Betroffene Produkte

  • Smart Meter Gateways in intelligenten Messsystemen
  • Hardware Security Modules (HSMs) / Hardwaregeräte mit Sicherheitsboxen
  • Chipkarten mit Sicherheitselemente/Kryptografie-Funktionen Elementen
  • Weitere Geräte für fortgeschrittene Sicherheitszwecke, einschließlich sicherer Kryptoverarbeitung

Anforderungen

  • Secure by Design – Wie Standard
  • Schwachstellenmanagement – Wie Standard
  • Dokumentation & Konformität – Wie Standard
  • Konformitätsverfahren: EU-Cybersicherheitszertifizierung (mindestens „substantial”), sobald delegierter Rechtsakt vorliegt. Bis dahin: wie Klasse II.

Das CRA-Ready Framework

Unser praxiserprobtes Framework deckt alle CRA-Anforderungen in Ihrem Produktlebenszyklus systematisch ab – mit Secure by Design in jeder Phase:

01

Planung

  • Risikobewertung und Threat Modelling durchführen
  • Produktklassifizierung und Anwendungsbereich bestimmen
  • Unterstützungszeitraum festlegen
  • Due-Diligence-Kriterien für Drittkomponenten und Open Source definieren (Vendor Risk Assessment)
02

Konzeption

  • Secure by Default: Sichere Standardkonfiguration entwerfen
  • Angriffsfläche minimieren, auch bei externen Schnittstellen
  • Zugriffskontrolle und Authentifizierung architekturell verankern
  • Verschlüsselungsstrategie für Daten at rest und in transit
  • Datenminimierung als Design-Prinzip umsetzen
  • Verfügbarkeits- und Resilienzkonzept erstellen
  • Update-Architektur entwerfen: automatische Sicherheitsupdates
  • Logging- und Monitoring-Konzept erstellen
  • Key Risk Indicators (KRI) identifizieren
  • Mechanismen zur Erkennung und Reaktion von Sicherheitsvorfälle umsetzen
03

Entwicklung

  • SBOM aufbauen und pflegen
  • Pipeline zur automatisierten und schnellen Erkennung von Schwachstellen aufbauen und pflegen
  • Schwachstellenverwaltung in Drittkomponenten aufbauen und melden.
04

Herstellung

  • Fertigen Prototyp durch Ethical Hacking zu prüfen – als wirksamer Nachweis für die CRA-Anforderung, dass keine bekannten ausnutzbaren Schwachstellen vorliegen.
  • Ergebnisse aus Ethical Hacking und Schwachstellenberichte der Pipeline als Nachweis nutzen, dass keine ausnutzbaren Schwachstellen zum Zeitpunkt des Inverkehrbringens erkennbar sind (Anhang I, Teil I, Buchstabe a)
  • Technische Dokumentation fertigstellen inklusive der Secure by Design and Default Anforderungen und Ergebnisse der Risikobewertung, Threat Modelling und Vendor Risk Assessment
05

Lieferung

  • Zentrale Anlaufstelle für Schwachstellenmeldungen von Kunden und Sicherheitsforschern bereitstellen
  • Sicherer Mechanismus zur Verteilung von Aktualisierungen bereitstellen
06

Wartung

  • Schwachstellen unverzüglich behandeln und beheben
  • Strategie für koordinierte Offenlegung von Schwachstellen umsetzen – Coordinated Vulnerability Disclosure (CVD)
  • Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle frist- und sachgerecht melden
  • Laufende Konformität bei veränderter Bedrohungslage oder neuen Funktion sicherstellen, z.B. wesentliche Änderungen
07

End of Support

  • Anleitung zur sicheren Außerbetriebnahme und sicheren Löschung von Nutzerdaten bereitstellen

Secure by Design

Sicherheit als Design-Prinzip

Der CRA macht Security by Design zur Pflicht. Wir machen es zu Ihrem Wettbewerbsvorteil. Secure by Design bedeutet mehr als ein Sicherheits-Audit am Ende der Entwicklung. Es ist ein fundamentaler Paradigmenwechsel: Cybersicherheit wird integraler Bestandteil jeder Design-Entscheidung, jeder Code-Zeile und jedes Architekturelements. Der CRA fordert in Anhang I, Teil I explizit, dass Produkte „ohne bekannte ausnutzbare Schwachstellen" auf den Markt gebracht werden, mit „sicheren Standardeinstellungen" konfiguriert sind und „möglichst geringe Angriffsflächen" bietet. Diese Anforderungen lassen sich nur mit einem systematischen Security-by-Design-Ansatz erfüllen. CLOUDYRION unterstützt Ihre Teams dabei, Security-Anforderungen nahtlos in den bestehenden Produktlebenszyklus zu integrieren – ohne Ihre Entwicklungsgeschwindigkeit auszubremsen.

01/09

Proaktives, Sichere-Architektur-Design

Sicherheit wird von Anfang an berücksichtigt und nicht erst nachträglich „aufgesetzt“. Risiken und Schutzmaßnahmen werden parallel zur Funktionalität bewertet, sodass Sicherheit zu einer zentralen Eigenschaft des Systems wird, nicht zu einer Ergänzung.

01

Ganzheitliche Sicherheit über Stack & Lieferkette

Ein System ist nur so sicher wie sein schwächstes Element in der Kette. SbD betrachtet das gesamte Ökosystem — Hardware, Software, APIs, Schnittstellen, Daten, Netzwerke und Zulieferer — als eine vernetzte Einheit, in der Sicherheit durch kohärentes, mehrschichtiges Design entsteht.

02

Geteilte Verantwortung zwischen Produkt, Engineering & Operation

Sicherheit ist keine reine Engineering-Aufgabe — sie ist eine geteilte Verantwortung. SbD fördert eine Kultur, in der Designer, Entwickler, Operatoren, Führungskräfte und sogar Nutzer gemeinsam zu sicheren Ergebnissen beitragen.

03

Adaptive Sicherheitsarchitektur

Bedrohungen, Technologien und Geschäftsmodelle verändern sich ständig. SbD bevorzugt Architekturen und Richtlinien, die anpassungsfähig, resilient und leicht modifizierbar sind, ohne kostspielige Neuaufbauten.

04

Assume Breach & Blast-Radius-Begrenzung

Perfekte Sicherheit gibt es nicht. SbD geht davon aus, dass Angreifer Schwachstellen finden werden, und konzentriert sich daher auf Eindämmung, Sichtbarkeit und robuste Ausfallsicherheit, damit einzelne Fehler nicht zu systemischen Krisen führen.

05

Risikogetriebene Priorisierung

Sicherheitsinvestitionen sollten sich auf messbare Risikoreduzierung konzentrieren, nicht auf Modetrends oder statische Checklisten. Entscheidungen basieren auf der Kombination von Eintrittswahrscheinlichkeit und Schadensausmaß — immer im Kontext von Risikobereitschaft, regulatorischen Vorgaben und Geschäftszielen.

06

Kundenorientierte Sicherheit & Datenschutz

Vertrauen ist ein strategischer Wettbewerbsvorteil. SbD integriert Sicherheit und Datenschutz in das Produkterlebnis selbst und priorisiert Nutzersicherheit, Transparenz und Wiederherstellbarkeit.

07

Kontinuierliche Sicherheitsverbesserung

SbD betrachtet Sicherheit als lebendiges System, das sich ständig durch Feedback und Daten weiterentwickelt. Erkenntnisse aus Metriken, Vorfällen und Betriebserfahrungen fließen in laufende Optimierungen ein, damit die Organisation mit der Zeit sicherer wird.

08

Resilientes Design mit Verteidigung und Reaktion in KI-Geschwindigkeit

Alle Prozesse und Werkzeuge sind auf Geschwindigkeit und Unterstützung durch KI-Agenten vorbereitet.

9

Ethical Hacking

Denken wie ein Angreifer

Alles was Sie brauchen

Upgradn Sie Ihren Cyber-Security-Prozess

Ein Upgrade Ihres Cyber-Security-Prozesses stärkt nicht nur Ihre Abwehr gegen Bedrohungen, sondern integriert Sicherheitsstrategien direkt in Ihren Unternehmensalltag. So bleiben Sie langfristig geschützt und agil gegenüber neuen Herausforderungen.

Secure by Design

Secure By Design

Mehr als nur ein Service – eine Garantie für eine sichere digitale Zukunft. Integrieren Sie robuste Sicherheitsmaßnahmen von Anfang an in jede Phase Ihrer Systementwicklung.

Hacking

Ethical Hacking

Wir helfen Ihnen dabei die Schwachstellen zu identifizieren und zu beheben.

Consulting

Strategy Consulting

Mit CLOUDYRION's Security Consulting machen Sie IT-Sicherheit zum integralen Bestandteil Ihrer Prozesse.

Insights

Tiefer ins Thema einsteigen

Zum Beitrag: Wie Secure-by-Design und Pentesting Ihre CRA-Compliance beschleunigen
An alien is floating in front of a galaxy with a laptop and a gameboy in hand.

Secure by Design

CRA-Compliance durch Secure-by-Design und Pentesting

Wie Secure-by-Design und Pentesting Ihre CRA-Compliance beschleunigen

Ist Ihr Unternehmen bereit für den EU Cyber Resilience Act? Erfahren Sie, was der CRA für Ihre Produkte bedeutet, welche Herausforderungen zu bewältigen sind und wie Secure by Design und Ethical Hacking Compliance in einen Wettbewerbsvorteil verwandeln können.

Weiterlesen
Zum Beitrag: EU CRA SBOM-Anforderungen 2027: Der vollständige Compliance-Leitfaden
A space cargoship is transporting two cargos through space.

Secure by Design

EU CRA-Compliance mit SBOMs meistern

EU CRA SBOM-Anforderungen 2027: Der vollständige Compliance-Leitfaden

Der EU Cyber Resilience Act (CRA) führt verbindliche Sicherheitsanforderungen für Software und vernetzte Produkte ein und stellt die Software Bill of Materials (SBOM) in den Mittelpunkt der Einhaltung. Diese neue Rechtsvorschrift ist Teil der umfassenderen EU-Cybersicherheitsstrategie und zielt darauf ab, die Sicherheit von Produkten mit digitalen Elementen auf dem europäischen Markt zu verbessern.

Weiterlesen
Zum Beitrag: Secure by Design 101: Sicherheit in Wachstum und Wettbewerbsvorteile verwandeln

Secure by Design

Secure by Design 101

Secure by Design 101: Sicherheit in Wachstum und Wettbewerbsvorteile verwandeln

Sicherheit wird in vielen Organisationen noch nicht konsequent von Beginn an berücksichtigt – dabei liegt hier der Schlüssel zu Effizienz und Vertrauen. Secure by Design ändert dieses Paradigma, indem Sicherheit von Anfang an in jede Entscheidung eingebettet wird. Entdecken Sie, wie dieser Ansatz Risikominimierung in einen echten Geschäftsvorteil verwandelt.

Weiterlesen
Alle Beiträge entdecken

Häufig gestellte Fragen zum CRA

Bereit für den Cyber Resilience Act?

Starten Sie mit einem kostenlosen CRA-Readiness-Check und erfahren Sie, wo Ihr Unternehmen steht – und was als Nächstes zu tun ist.

CRA-Readiness-Check anfragen

CLOUDYRION verbindet IT-Sicherheit mit einer Sicherheitskultur, die Ihre Projekte stärkt. Wir entwickeln gemeinsam sichere Architekturen, Prozesse und Lösungen, die Ihre IT-Strategie und Unternehmenskultur optimal unterstützen

CLOUDYRION GmbH
Kesselstr. 3
40221 Düsseldorf
info@cloudyrion.com+49 211 94251211
Zu unserem Instagram AccountZu unserem LinkedIn AccountZu unserem Xing AccountZu unserem Spotify AccountZu unserem Kununu Account