Kontakt

EU Cyber Resilience Act – SEKAS unterstützt Sie bei der Umsetzung

Was ist der EU CRA?

Der Cyber Resilience Act (CRA) ist eine neue EU-Verordnung. Sie legt zum ersten Mal einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Das Ziel hierbei ist, das wachsende Risiko durch Schwachstellen in vernetzter Hard- und Software systematisch zu reduzieren, und das über den gesamten Lebenszyklus eines Produkts hinweg.

Der CRA verpflichtet Hersteller, Importeure und Händler zu verschiedenen Maßnahmen. Sie müssen beispielsweise Sicherheitsfunktionen bereits bei der Entwicklung berücksichtigen („Security by Design“), regelmäßige Updates bereitstellen und entdeckte Schwachstellen melden. Dabei betrifft der CRA nicht nur klassische IT-Produkte, sondern insbesondere auch industrielle Systeme, technische Anwendungen und Embedded Software, wenn diese mit Netzwerken oder anderen Geräten verbunden sind.

Mit dem CRA führt die EU zum ersten Mal verbindliche Cybersicherheitsstandards ein, die als rechtliche Voraussetzung für den Verkauf in Europa gelten. Das ist vergleichbar mit CE- oder RoHS-Vorgaben, allerdings liegt beim CRA der Schwerpunkt auf digitaler Sicherheit.

Dieses Bild zeigt die offizielle EU Flagge, um den Bezug zum CRA darzustellen

Sind Sie betroffen?

Entwickeln, vertreiben oder importieren Sie technische Systeme oder Softwarelösungen mit digitalen Funktionen, die in der EU genutzt werden?

Dann kann der CRA auch für Sie relevant sein.

Der CRA gilt für alle Produkte mit digitalen Elementen, die sich direkt oder indirekt mit anderen Geräten, Systemen oder Netzwerken verbinden können. Es ist dabei egal, ob dies über das Internet, ein lokales Netzwerk oder interne Schnittstellen geschieht. Eine weitere Bedingung ist, dass sie in der EU in verkauft werden. Dabei spielt es keine Rolle, ob sie für industrielle oder private Anwendungen bestimmt sind.

Sie sind betroffen, wenn Sie beispielsweise:

  • vernetzte Geräte oder Komponenten für technische Anlagen entwickeln
  • Applikationen bereitstellen, die in verteilten oder eingebetteten Systemen eingesetzt werden
  • Plattformen oder Tools zur Steuerung, Überwachung oder Optimierung technischer Prozesse anbieten
  • Systeme liefern, die hohe Anforderungen an Verfügbarkeit, Sicherheit oder Wartbarkeit erfüllen müssen – über viele Jahre hinweg
  • digitale Produkte mit Netzwerkanbindung auf dem europäischen Markt vertreiben oder importieren

Nicht betroffen sind z. B.

  • nicht-kommerzielle Open-Source-Software, sowie
  • Produkte, die technisch nicht vernetzbar sind (also keine Möglichkeit zur Netzwerkverbindung besitzen – weder direkt noch über andere Komponenten).
Dieses Bild zeigt Beispiele von Produkten, die vom EU CRA betroffen sind

Was fordert der CRA konkret?

Die Vorgaben des Cyber Resilience Act gelten nicht nur für neue Entwicklungen. Auch bereits am Markt befindliche Produkte können betroffen sein
Wenn Sie digitale Produkte entwickeln oder vertreiben, müssen Sie künftig die Anforderungen des CRA erfüllen:

Dieses Bild listet die Anforderungen des EU CRA auf. Das sind: Risikoanalyse durchführen, Security by Design and by Default, Schwachstellenmanagement etablieren, Sicherheitsvorfälle melden, Technische Dokumentation und Konformitätserklärung erstellen, das Produkt mit dem CE-Kennzeichen versehen

Wie unterstützt SEKAS Sie bei der CRA-Umsetzung?

Mit jahrzehntelanger Erfahrung in der Entwicklung sicherheitskritischer Software begleiten wir Sie auf dem Weg zur CRA-Compliance:

CRA-Ready-Check (Gap-Analyse)
Wir bewerten, welche Anforderungen Sie bereits erfüllen und wo Handlungsbedarf besteht.

Technische Umsetzung
Wir helfen Ihnen, Sicherheitsmaßnahmen wie Update-Mechanismen, Authentifizierungsverfahren oder Logging gezielt zu integrieren.

Dokumentation & Nachweise
Wir unterstützen Sie bei der Erstellung der notwendigen Unterlagen – von der Risikoanalyse bis zur technischen Dokumentation.

Schulungen & Beratung
Wir machen Ihre Teams mit den Anforderungen des CRA vertraut und helfen, Prozesse anzupassen oder neu zu gestalten.

Warum Sie jetzt starten sollten

Der EU Cyber Resilience Act ist am 10. Dezember 2024 in Kraft getreten – die Übergangsfrist läuft.

Jetzt aktiv zu werden, lohnt sich mehrfach

  • Vertrauen in der Lieferkette stärken:
    Kunden fordern zunehmend Nachweise zur Sicherheit – wer frühzeitig CRA-konform agiert, signalisiert Verantwortungsbewusstsein und Zuverlässigkeit.
  • Wettbewerbsvorteile sichern:
    Mit proaktivem Handeln heben Sie sich positiv vom Wettbewerb ab und vermeiden spätere Engpässe bei Entwicklung, Zulassung und Dokumentation.
  • Komplexe Systeme brauchen keine Panik – sondern Vorsprung:
    Gerade bei umfangreichen oder älteren Systemen kann die technische Umsetzung viel Zeit erfordern. Nutzen Sie den Spielraum, um auch anspruchsvolle Anpassungen mit kühlem Kopf umzusetzen.

Wichtige Fristen

Dieses Bild zeigt die Fristen des EU CRA, die bereits im Text genannt sind.
  • 11. Juni 2026: Konformitätsbewertungsstellen dürfen Produkte prüfen
  • 11. September 2026: Die Meldepflicht für Sicherheitsvorfälle und Schwachstellen tritt in Kraft
  • 11. Dezember 2027: Alle betroffenen Produkte müssen die vollständigen Anforderungen erfüllen

Wie Sie sinnvoll starten

Beginnen Sie mit einem CRA Ready-Check (GAP-Analyse):
Eine strukturierte Analyse Ihrer Produkte und Prozesse zeigt, wo Sie heute stehen – und wo Handlungsbedarf besteht. So schaffen Sie mit ruhigem Zeitplan die Grundlagen für eine effiziente und gesetzeskonforme Umsetzung.

Lassen Sie uns gemeinsam starten

Wir helfen Ihnen, den CRA systematisch und effizient umzusetzen.

Nehmen Sie Kontakt auf – wir beraten Sie gern im persönlichen Gespräch.

Thomas Krenzke

Ihr Ansprechpartner

Dipl.-Inf. MBA Thomas Krenzke

Telefon: +49 (89) 74 81 34 – 0

© 2025 SEKAS GmbH
© 2025 SEKAS GmbH
Kontakt
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
OK