CRA Funding: Wie KMU die Umsetzung des Cyber Resilience Act fördern lassen
Der Cyber Resilience Act (CRA) trat im November 2024 in Kraft und bringt konkrete Fristen mit sich. Ab dem 11. September 2026 müssen Hersteller nachweisbare Prozesse für das Vulnerability Handling und die Incident-Meldung bereitstellen. Die volle Geltung, einschließlich der Pflicht zur CE-Kennzeichnung und zur technischen Dokumentation, folgt zum 11. Dezember 2027. Für viele kleine und mittlere Unternehmen (KMU) ist der Weg dorthin finanziell noch ungeklärt.
Das Digital Europe Programme adressiert genau diese Lücke. Mit einem Budget von rund 7,5 Milliarden Euro fördert es unter anderem Cybersicherheitsprojekte für KMU, vermittelt über EU-Konsortien wie SECURE. Calls werden in Runden geöffnet und schließen oft innerhalb weniger Wochen. Wenn du zunächst grundsätzlich verstehen möchtest, was der CRA von dir verlangt, schau in unseren Artikel: Was kommt auf Maschinenbauer zu?.
Das SECURE-Projekt – Förderfakten auf einen Blick
Das SECURE-Konsortium wird aus dem Digital Europe Programme finanziert und besteht aus mehreren europäischen Partnern, darunter die European Cyber Security Organisation (ECSO). Das Projektziel ist klar: KMU beim CRA-Einstieg finanziell und methodisch zu unterstützen.
Das Fördermodell folgt dem Lump-Sum-Prinzip. Statt klassischer Stundennachweise zahlt das Konsortium einen fixen Betrag aus, sobald du die vorab vereinbarten Deliverables und KPIs (Key Performance Indicators) nachgewiesen hast. Das vereinfacht die Administration erheblich, setzt aber voraus, dass Deliverables und Erfolgsmessung im Proposal präzise beschrieben werden.
| Kenndaten | Wert |
|---|---|
| Maximale Fördersumme | 30.000 € |
| Förderquote | 50 % (Co-Finanzierung durch das Unternehmen) |
| Typische Projektgröße | bis 60.000 € |
| Maximale Projektlaufzeit | 180 Tage |
| Abrechnungsmodell | Lump Sum (Auszahlung gegen Deliverables) |
Bin ich förderfähig?
Antragsberechtigt sind Unternehmen, die der EU-KMU-Definition entsprechen: weniger als 250 Mitarbeiter und entweder ein Jahresumsatz von maximal 50 Millionen Euro oder eine Bilanzsumme von maximal 43 Millionen Euro. Verbundene Unternehmen oder Partnerunternehmen können diese Schwellen aufheben. Außerdem muss das Unternehmen seinen Sitz in einem Mitgliedsstaat der EU oder des Europäischen Wirtschaftsraums (EWR) haben.
Das Produkt muss ein Produkt mit digitalen Elementen im Sinne des CRA sein. Typische förderfähige Produktkategorien sind IoT-Geräte wie Sensoren und Edge-Gateways, Embedded-Software in Industriemaschinen und Steuerungseinheiten, vernetzte Konsumer- oder Industrieprodukte sowie On-Prem-Softwareprodukte mit Netzwerkverbindung.
Nicht förderfähig sind reine IT-Beratungsunternehmen ohne eigenes Produkt, Unternehmen, die ein Produkt nur vertreiben ohne es herzustellen oder wesentlich weiterzuentwickeln, sowie Projekte, die bereits vollständig aus anderen EU-Töpfen finanziert werden.
Drei Schnellbeispiele:
- Förderfähig: Maschinenbauer mit 120 Mitarbeitern, der eine vernetzte CNC-Steuerung mit integrierter Firmware entwickelt und vertreibt.
- Förderfähig: SaaS-Startup mit 15 Mitarbeitern, das eine On-Prem-Industriesoftware mit Remote-Update-Funktion anbietet.
- Nicht förderfähig: IT-Systemhaus mit 80 Mitarbeitern, das ausschließlich Drittprodukte integriert und betreibt, aber kein eigenes digitales Produkt entwickelt.
Geförderte CRA-Maßnahmen
Das SECURE-Projekt fördert keine abstrakten IT-Sicherheitsprojekte, sondern konkrete Maßnahmen mit direktem Bezug zu den Anforderungen aus Annex I des CRA. Für jede Maßnahme im Antrag musst du belegen, welche konkrete Anforderung sie adressiert und welches Deliverable als Nachweis dient. Orientierung bietet dabei die CRA-Ressourcenseite der Europäischen Kommission, die Vulnerability Management und Meldepflichten praxisnah aufbereitet.
| Maßnahme | Beispiel-Deliverable | Typ |
|---|---|---|
| CRA Gap Analysis | Gap-Report als PDF (Ist-/Soll-Matrix aller Annex-I-Anforderungen) | Quick-Win |
| Vulnerability Management Prozess | Prozessdokumentation + CVE-Tracking-Board | Security-by-Design |
| Secure Development Lifecycle (SDL) | SDL-Policy-Dokument + Pipeline-Integration (SAST/SCA) | Security-by-Design |
| Software Composition Analysis (SCA) | SBOM im SPDX- oder CycloneDX-Format + SCA-Report | Quick-Win |
| Penetration Test | Pentest-Report durch externen Dienstleister | Quick-Win |
| Architektur-Redesign | Architecture Decision Record (ADR) + aktualisiertes Architekturdiagramm | Security-by-Design |
| Incident Response Plan | IR-Plan-Dokument + dokumentierte Testübung | Quick-Win / Security-by-Design |
| Supply Chain Security | Lieferantenbewertungs-Fragebogen + Lieferantenliste | Security-by-Design |
| Schulungen / Security Awareness | Trainingsnachweise und Zertifikate | Quick-Win |
Quick-Wins wie SBOM oder Penetration Test bringen direkten Sicherheitsnutzen und sind teils für die CRA-Konformität unverzichtbar. Architekturmaßnahmen dauern länger, schaffen aber die technische Grundlage, die Annex I langfristig fordert. Die empfohlene Strategie ist ein ausgewogener Mix: Quick-Wins für sofortige Sicherheitsverbesserungen und förderfähige Nachweise, ein bis zwei strukturelle Maßnahmen für die technische Substanz. Die OWASP DevSecOps Guideline bietet dabei eine praxisnahe Referenz für die Beschreibung konkreter SDL-Maßnahmen im Antrag.
Für einen konkreten Maßnahmenplan empfiehlt sich unser 10-Schritte-Fahrplan zur CRA-Konformität. Einen schnellen Ausgangspunkt für die Gap Analysis liefert unser SDL-Assessment. Wie eine SBOM (Software Bill of Materials) als CRA-gefordertes Deliverable konkret aufgebaut wird, beschreibt unser Artikel: SBOM für Embedded Systems.
Der Antragsprozess Schritt für Schritt
Schritt 1: Registrierung und Call-Timing
Registriere dich auf der SECURE-Website und prüfe, welche Call-Runde aktuell offen ist. Calls schließen oft innerhalb weniger Wochen nach Öffnung. Plane mindestens vier bis sechs Wochen für die Proposal-Erstellung ein, damit du nicht unter Zeitdruck die wichtige Detailarbeit überspringst.
Schritt 2: Projektskizze und Proposal-Struktur
Ein überzeugendes Proposal beantwortet fünf Fragen: Welchen CRA-Compliance-Stand will das Unternehmen erreichen? Welche konkreten Maßnahmen werden durchgeführt? Wie wird Erfolg gemessen? Wie ist das Budget aufgeschlüsselt? Welche Meilensteine passen in die 180-Tage-Laufzeit? Jede dieser Fragen sollte im Proposal klar und in sich konsistent beantwortet sein.
Schritt 3: Evaluationskriterien kennen
Das Konsortium bewertet Proposals nach vier Kriterien: direkter CRA-Bezug zu den Annex-I-Anforderungen, konkreter Impact (wie viele Produkte und Nutzer profitieren), Realisierbarkeit des Budgets und der Lieferantenauswahl sowie Nachhaltigkeit nach Projektende. Wer diese Kriterien nicht explizit adressiert, verliert Punkte, selbst wenn die technische Substanz stimmt.
Schritt 4: Einreichung, Bewertung und Grant Agreement
Die Einreichung erfolgt über das SECURE-Portal. Die Bewertungsphase dauert typischerweise vier bis acht Wochen. Nach positiver Entscheidung unterzeichnest du das Grant Agreement, das alle Deliverables, KPIs und den Zeitplan verbindlich festlegt.
Schritt 5: Umsetzung, Dokumentation und Abrechnung
Halte Evidenz kontinuierlich fest: Meeting-Protokolle, Berichte, Rechnungen und Screenshots bilden die Grundlage für den Abschlussbericht. Der Abschlussbericht muss alle KPIs und Deliverables nachweisen. Nach Freigabe durch das Konsortium erfolgt die Lump-Sum-Auszahlung.
Die folgende Checkliste fasst die wichtigsten Voraussetzungen für einen vollständigen Antrag zusammen:
Checkliste für den Antrag:
- KMU-Status nachgewiesen (Mitarbeiterzahl und Umsatz)
- Produkt mit digitalen Elementen identifiziert
- CRA-Anforderungen aus Annex I referenziert
- Mindestens drei messbare KPIs definiert
- Budget plausibel aufgeschlüsselt (intern und extern)
- Zeitplan mit Meilensteinen ≤ 180 Tage
- Subcontractor-Verträge vorbereitet (falls relevant)
- Doppelfinanzierung ausgeschlossen
KPIs, Deliverables und Musterbudget
Das Lump-Sum-Modell stellt hohe Anforderungen an die Präzision von KPIs und Deliverables. Was nicht messbar definiert ist, lässt sich im Abschlussbericht nicht nachweisen. Die folgende Tabelle zeigt bewährte KPI-Vorlagen:
| KPI | Einheit | Beispiel-Zielwert |
|---|---|---|
| Identifizierte CRA-Compliance-Lücken | Anzahl bewerteter Anforderungen | ≥ 30 Anforderungen aus Annex I bewertet |
| Geschlossene kritische Schwachstellen | Anteil in % | ≥ 80 % der Critical- und High-CVEs bis Projektabschluss |
| SBOM-Abdeckung | % dokumentierter Komponenten | 100 % der Drittanbieter-Abhängigkeiten |
| Abgearbeitete Pentest-Befunde | % geschlossener Findings | ≥ 70 % High/Critical innerhalb der Projektlaufzeit |
| Dokumentierte SOPs | Anzahl abgenommener Dokumente | ≥ 2 abgenommene SOPs (z. B. Incident Response, Vulnerability Management) |
| Geschulte Mitarbeiter | Anzahl mit Nachweis | ≥ 5 Entwickler oder Produktverantwortliche |
Damit die volle Fördersumme von 30.000 Euro ausgeschöpft wird, muss die förderfähige Kostenbasis mindestens 60.000 Euro erreichen. Bei 50%-Förderquote gilt: jeder Euro, der nicht als förderfähig anerkannt wird, reduziert die mögliche Lump-Sum-Auszahlung. Zwei Kostenpositionen sind dabei besonders kritisch: Tooling-Lizenzen werden nur für den tatsächlichen Projektzeitraum anerkannt, nicht für das gesamte Lizenzjahr. Interne Personalkosten werden akzeptiert, müssen aber dokumentiert und im Proposal begründet sein. Einen separaten Puffer als eigene Budgetposition lehnt das Konsortium in der Regel ab, weil er kein Deliverable produziert und kein Sicherheitsziel adressiert. Kalkuliere Planungsrisiken stattdessen realistisch in die Einzelpositionen ein. Eine Aufschlüsselung, die zur vollen Förderung führt, sieht beispielsweise so aus:
| Kostenposition | Betrag |
|---|---|
| Externe CRA-Beratung / Gap Analysis | 18.000 € |
| Externer Penetration Test | 12.000 € |
| SDL-Tooling (Lizenz für den Projektzeitraum, ~6 Monate) | 4.000 € |
| Interne Projektkoordination (dokumentierte Personalkosten) | 10.000 € |
| Schulungen und Trainings | 8.000 € |
| Dokumentation und technisches Schreiben | 8.000 € |
| Gesamt | 60.000 € |
Alle Positionen sind vollständig förderfähig. Bei 50%-Förderquote ergibt das die maximale Lump-Sum-Förderung von 30.000 Euro und einen Eigenanteil von 30.000 Euro.
Für externe Dienstleister gilt keine feste prozentuale Obergrenze, aber die Evaluatoren prüfen, ob das KMU inhaltlicher Owner des Projekts bleibt. Ein Proposal, in dem 90 Prozent des Budgets extern vergeben werden und das KMU keinerlei interne Rollen benennt, wirkt wie ein reines Beratungsprojekt und verliert bei den Bewertungskriterien zu Nachhaltigkeit und internem Kompetenzaufbau. Subcontractors müssen außerdem mit Sitz in der EU oder im EWR eingebunden werden. Softwarelizenzen sind förderfähig, wenn sie direkt zur CRA-Konformität beitragen, also etwa für SAST-Tools, SBOM-Scanner, Vulnerability-Management-Lösungen oder Threat-Modeling-Tools. Pauschale IT-Kosten ohne CRA-Bezug, etwa allgemeine Cloud-Infrastruktur oder Kollaborationstools, werden nicht anerkannt. Entscheidend ist die Formulierung im Proposal: Jede Lizenz muss explizit auf eine Annex-I-Anforderung gemappt und als Teil eines Work Packages mit definiertem Deliverable beschrieben sein. Zeitlich werden nur Lizenzen anerkannt, die im Projektzeitraum genutzt werden. Eine Jahreslizenz ist daher nur anteilig für die Projektlaufzeit ansetzbar, nicht in voller Höhe.
Zum Nachweis im Lump-Sum-Modell: Rechnungen von Subcontractors aufheben und im Evidence-Paket ablegen. Interne Aufwände summarisch festhalten (z. B. beteiligte Mitarbeiter und grobe Aufgabenbeschreibung). Stundenlisten sind keine Pflicht, aber hilfreich. Das Evidence-Paket besteht typischerweise aus Deliverables, Rechnungen und KPI-Nachweisen wie Berichten und Screenshots.
Typische Ablehnungsgründe
Viele Proposals scheitern nicht an mangelnder technischer Substanz, sondern an vermeidbaren formalen Schwächen. Die häufigsten Ablehnungsgründe:
| Ablehnungsgrund | Was fehlt | Gegenstrategie |
|---|---|---|
| Kein klarer CRA-Bezug | Maßnahmen generisch formuliert | Jeden Maßnahmenpunkt explizit auf eine Annex-I-Anforderung mappen |
| Fehlende Substanz bei KPIs | Viel Text, keine messbaren Zielwerte | Mindestens fünf KPIs mit Zielwert und Messverfahren definieren |
| Inkonsistente KPI-Definition | KPIs nicht messbar oder widersprüchlich zum Budget | KPI-Tabelle mit Baseline, Zielwert und Messverfahren anlegen |
| Inkonsistentes Budget | Kosten nicht begründet, Summen passen nicht zu Maßnahmen | Jede Kostenposition mit Tagessatz, Aufwand und Begründung belegen |
| Nicht förderfähiger Antragsteller | Kein eigenes Produkt oder Unternehmen über KMU-Schwelle | KMU-Status vorab mit dem offiziellen EU-Tool prüfen |
Zwei weitere Hinweise: Kalkuliere ausreichend Puffer ein, mindestens zwei bis drei Wochen pro Meilenstein. Außerdem sollte das Projekt proaktiv gestartet und abgeschlossen sein, bevor CRA-Fristen greifen.
Jetzt handeln – CRA-Compliance finanzieren
Fördermittel für die CRA-Umsetzung sind vorhanden, und die Anforderungen an einen erfolgreichen Antrag sind erfüllbar. Der entscheidende Hebel liegt im Timing. Wer frühzeitig startet, hat die Zeit für ein substanzielles Proposal, die Auswahl geeigneter Subcontractors und den Abschluss erster Maßnahmen vor den kritischen CRA-Fristen.
Wenn du prüfen möchtest, ob dein Unternehmen förderfähig ist und wie ein konkretes SECURE-Proposal für dein Produkt aussehen könnte, findest du auf unserer CRA-Beratungsseite den passenden Einstieg. Wir unterstützen dich von der ersten Gap Analysis bis zum eingereichten Antrag.
Wie plant dein Unternehmen die Finanzierung der CRA-Umsetzung? Schau gerne bei uns auf LinkedIn vorbei und diskutiere mit.
