Cyber Resilience Act

Sind Ihre Produkte und Prozesse bereit?

Ab 2025 gelten mit einer Übergangsfrist von bis zu 36 Monaten neue Anforderungen für vernetzte Produkte – wir helfen Ihnen, Risiken und Bußgelder zu vermeiden.

CRA Check anfragen – Compliance sichern

Warum der CRA für Hersteller zur echten Herausforderung wird

  • Neue Pflichten für IT-Security in Produkten
  • Bußgelder bis zu 15 Millionen Euro
  • Verpflichtende Prozesse für Updates, Risikoanalysen & CE-Kennzeichnung
  • Geltung für Eigenentwicklungen, OEM- und Drittsoftware
  • Unklare Zuständigkeiten im Unternehmen
  • Hoher Dokumentationsaufwand
  • Verzahnung mit bestehenden CE-Prozessen nötig
  • Kaum Klarheit über betroffene Produkte

Cyber Resilience Act – 1-Tages-Workshop

Wissen – Standortbestimmung – Maßnahmenplan. Klarheit in nur einem Tag.

Dauer Thema Beschreibung
0:30 h Einführung & Zielsetzung Begrüßung, Erwartungen, Zieldefinition Workshop & CRA-Kontext
1:00 h Wer ist betroffen & was ist gefordert? Rollen (Hersteller, Importeur, Händler), Produktarten, Pflichten und Fristen
1:30 h Anforderungen im Überblick Lebenszyklus-Pflichten, sichere Entwicklung, Updates, technische Doku, Meldepflichten
☕ Pause
1:15 h Check 1: Produkt- & Rollenklärung Welche Produkte sind betroffen? Welche Rolle hat der Kunde? Welche Systeme und Technologien?
0:45 h Check 2: Secure Development Lifecycle Wie läuft SW-Entwicklung ab? Welche Prozesse, Tools, Doku gibt es?
0:30 h Check 3: Update-, Patch- und Supportkonzept Wie werden Sicherheitsupdates ausgerollt? Lebensdauer? Automatisierung?
☕ Pause
0:45 h Check 4: Risikoanalyse & Threat Modeling Gibt es eine Risikoanalyse? Ist Bedrohungsmodellierung etabliert?
0:45 h Check 5: Technische Dokumentation Was wird dokumentiert? Wie CE-relevant? SBOM vorhanden?
0:15 h Abschluss & nächste Schritte Zusammenfassung, erste To-dos, Feedback

An wen richtet sich der CRA 1-Tages-Workshop?

Typische Teilnehmer:

  • F&E-Leiter und Entwicklungsverantwortliche
  • Produktmanager und CE-Beauftragte
  • Geschäftsführer technischer Produktbereiche

Ihre Vorteile:

  • Sie erkennen betroffene Produkte und Lücken
  • Sie bekommen Klarheit zu Zuständigkeiten und Prozessen
  • Sie erhalten eine belastbare Entscheidungsgrundlage
  • Sie reduzieren Ihr Compliance-Risiko

Kostenfreier CRA-Check: Wo stehen Sie wirklich?

Buchen Sie jetzt Ihr unverbindliches Erstgespräch – inklusive Workshop-Infos und erster Einschätzung Ihrer Produkte.

Jetzt kostenfrei CRA-Check & Erstgespräch sichern

Häufige Fragen zum CRA

Gilt der CRA auch für Altgeräte?

Ja, wenn diese nach Inkrafttreten neu in Verkehr gebracht werden oder wesentliche Änderungen erfahren.

Was ist der Unterschied zur NIS2?

NIS2 betrifft kritische Infrastrukturen, der CRA zielt auf konkrete Produkte mit digitalen Elementen ab.

Was kostet ein CRA-konformes Produkt?

Das hängt stark vom Entwicklungsstand und vorhandenen Prozessen ab. Unser Workshop hilft, das einzuschätzen.

Wer ist verantwortlich für die Einhaltung?

Primär der Hersteller - bei OEM-Konstellationen aber auch der Inverkehrbringer bzw. Systemintegrator.

Welche Produkte sind vom CRA betroffen?

Grundsätzlich alle vernetzten Produkte mit digitalen Elementen - von Steuerungen über Gateways bis zu Cloud-Plattformen, sofern sie Endnutzer oder andere Produkte beeinflussen können.

Müssen auch interne Tools oder Engineering-Software CRA-konform sein?

Nur wenn diese in Produkten eingesetzt oder ausgeliefert werden. Reine Entwicklungs- oder Konfigurationstools ohne externe Nutzung sind in der Regel ausgenommen.

Welche Normen und Standards sind relevant?

Unter anderem die IEC 62443, ISO/IEC 27001, EN ISO 21434 sowie neue harmonisierte Normen, die aktuell erarbeitet werden. Wir geben einen Überblick im Workshop.

Was passiert, wenn ich nichts tue?

Spätestens ab Geltungsbeginn drohen Bußgelder, Marktzugangshürden und Haftungsrisiken. Frühzeitiges Handeln spart Kosten und schützt Reputation.

Kostenfreie CRA-Selbsteinschätzung

Erhalten Sie in wenigen Minuten eine erste Einschätzung, wo Ihr Unternehmen in Bezug auf den Cyber Resilience Act steht.

Zur CRA-Selbsteinschätzung

Relevante Informationen

CRA und Open Source: Die neue Rolle des Open Source Stewards erklärt

CRA und Open Source: Die neue Rolle des Open Source Stewards erklärt

21. Juli 2026 13 Min.
Der Cyber Resilience Act schafft erstmals eine eigene Rolle für Open-Source-Verantwortliche – dieser Artikel erklärt, wer als Open Source Steward gilt, welche Pflichten Art. 24 CRA konkret fordert und was Hersteller beim Einsatz von Open Source beachten müssen.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance
CRA Konformitätsbewertung: Von der Produktkategorie zur CE-Kennzeichnung

CRA Konformitätsbewertung: Von der Produktkategorie zur CE-Kennzeichnung

30. Juni 2026 13 Min.
Der Cyber Resilience Act schreibt je nach Produktkategorie unterschiedliche Konformitätsbewertungsverfahren vor – dieser Artikel zeigt, welches Verfahren für welches Produkt gilt und wie Hersteller Schritt für Schritt zur CE-Kennzeichnung gelangen.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance
CRA und Lieferkette: Was Hersteller von ihren Lieferanten fordern müssen

CRA und Lieferkette: Was Hersteller von ihren Lieferanten fordern müssen

9. Juni 2026 11 Min.
Der Cyber Resilience Act endet nicht an der eigenen Fabrikhalle: Dieser Artikel zeigt, was Hersteller aus Maschinenbau und Industrie von ihren Lieferanten fordern müssen – und wie SBOM, Assessments und Vertragsklauseln die Lieferkette absichern.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance
CVD-Policy unter dem CRA: So baust du eine echte Vulnerability Disclosure Policy auf

CVD-Policy unter dem CRA: So baust du eine echte Vulnerability Disclosure Policy auf

19. Mai 2026 9 Min.
Ab dem 11. September 2026 müssen Hersteller eine CVD-Policy veröffentlichen und eine erreichbare Meldestelle betreiben – dieser Artikel zeigt, wie eine praxistaugliche Vulnerability Disclosure Policy aussieht.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance
Entra ID PIM: Weniger Dauerechte, mehr Kontrolle

Entra ID PIM: Weniger Dauerechte, mehr Kontrolle

12. Mai 2026 6 Min.
Privileged Identity Management in Entra ID reduziert permanente Administratorrechte und bringt mehr Kontrolle, Transparenz und Sicherheit in den Alltag von IT-Teams.
Felix Burkhard
Felix Burkhard
Solution Architect
Design Governance Security
CRA Meldepflichten: Was Hersteller ab September 2026 melden müssen

CRA Meldepflichten: Was Hersteller ab September 2026 melden müssen

28. April 2026 10 Min.
Ab dem 11. September 2026 sind Hersteller verpflichtet, aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle innerhalb von 24 Stunden an ENISA zu melden – dieser Artikel zeigt, was konkret zu tun ist.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance
CRA Funding: Wie KMU die Umsetzung des Cyber Resilience Act fördern lassen

CRA Funding: Wie KMU die Umsetzung des Cyber Resilience Act fördern lassen

1. April 2026 9 Min.
Das SECURE-Projekt fördert CRA-Maßnahmen mit bis zu 30.000 €. Dieser Artikel zeigt, wer förderfähig ist und wie ein erfolgreicher Antrag aussieht.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance
CRA: Den Supportzeitraum nachvollziehbar herleiten

CRA: Den Supportzeitraum nachvollziehbar herleiten

25. März 2026 9 Min.
Wie Hersteller den Supportzeitraum für Produkte mit digitalen Elementen aus Nutzung, Architektur, Lieferkette und Updatefähigkeit nachvollziehbar ableiten.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance
Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren

Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren

18. März 2026 6 Min.
Verkaufsverbot statt Bußgeld: Warum CRA-Sanktionen in der Tradition des Produktrechts stehen und was Safety Gate über die tatsächliche Durchsetzungspraxis in Europa zeigt.
Lars Roith
Lars Roith
Solution Consultant | CEO
Requirements Cyber Resilience Act Compliance