Cyber Resilience Act: Sind Ihre Produkte und Prozesse bereit?

Ab 2025 gelten mit einer Übergangsfrist von bis zu 36 Monaten neue Anforderungen für vernetzte Produkte - wir helfen Ihnen, Risiken und Bußgelder zu vermeiden.

Warum der CRA für Hersteller zur echten Herausforderung wird

  • Neue Pflichten für IT-Security in Produkten
  • Bußgelder bis zu 15 Millionen Euro
  • Verpflichtende Prozesse für Updates, Risikoanalysen & CE-Kennzeichnung
  • Geltung für Eigenentwicklungen, OEM- und Drittsoftware
  • Unklare Zuständigkeiten im Unternehmen
  • Hoher Dokumentationsaufwand
  • Verzahnung mit bestehenden CE-Prozessen nötig
  • Kaum Klarheit über betroffene Produkte

Cyber Resilience Act – 1-Tages-Workshop

Wissen – Standortbestimmung – Maßnahmenplan. Klarheit in nur einem Tag.

Dauer Thema Beschreibung
0:30 h Einführung & Zielsetzung Begrüßung, Erwartungen, Zieldefinition Workshop & CRA-Kontext
1:00 h Wer ist betroffen & was ist gefordert? Rollen (Hersteller, Importeur, Händler), Produktarten, Pflichten und Fristen
1:30 h Anforderungen im Überblick Lebenszyklus-Pflichten, sichere Entwicklung, Updates, technische Doku, Meldepflichten
☕ Pause
1:15 h Check 1: Produkt- & Rollenklärung Welche Produkte sind betroffen? Welche Rolle hat der Kunde? Welche Systeme und Technologien?
0:45 h Check 2: Secure Development Lifecycle Wie läuft SW-Entwicklung ab? Welche Prozesse, Tools, Doku gibt es?
0:30 h Check 3: Update-, Patch- und Supportkonzept Wie werden Sicherheitsupdates ausgerollt? Lebensdauer? Automatisierung?
☕ Pause
0:45 h Check 4: Risikoanalyse & Threat Modeling Gibt es eine Risikoanalyse? Ist Bedrohungsmodellierung etabliert?
0:45 h Check 5: Technische Dokumentation Was wird dokumentiert? Wie CE-relevant? SBOM vorhanden?
0:15 h Abschluss & nächste Schritte Zusammenfassung, erste To-dos, Feedback

An wen richtet sich der CRA 1-Tages-Workshop?

Typische Teilnehmer:

  • F&E-Leiter und Entwicklungsverantwortliche
  • Produktmanager und CE-Beauftragte
  • Geschäftsführer technischer Produktbereiche

Ihre Vorteile:

  • Sie erkennen betroffene Produkte und Lücken
  • Sie bekommen Klarheit zu Zuständigkeiten und Prozessen
  • Sie erhalten eine belastbare Entscheidungsgrundlage
  • Sie reduzieren Ihr Compliance-Risiko

Kostenfreier CRA-Check: Wo stehen Sie wirklich?

Buchen Sie jetzt Ihr unverbindliches Erstgespräch – inklusive Workshop-Infos und erster Einschätzung Ihrer Produkte.

Häufige Fragen zum CRA

Gilt der CRA auch für Altgeräte?

Ja, wenn diese nach Inkrafttreten neu in Verkehr gebracht werden oder wesentliche Änderungen erfahren.

Was ist der Unterschied zur NIS2?

NIS2 betrifft kritische Infrastrukturen, der CRA zielt auf konkrete Produkte mit digitalen Elementen ab.

Was kostet ein CRA-konformes Produkt?

Das hängt stark vom Entwicklungsstand und vorhandenen Prozessen ab. Unser Workshop hilft, das einzuschätzen.

Wer ist verantwortlich für die Einhaltung?

Primär der Hersteller - bei OEM-Konstellationen aber auch der Inverkehrbringer bzw. Systemintegrator.

Welche Produkte sind vom CRA betroffen?

Grundsätzlich alle vernetzten Produkte mit digitalen Elementen - von Steuerungen über Gateways bis zu Cloud-Plattformen, sofern sie Endnutzer oder andere Produkte beeinflussen können.

Müssen auch interne Tools oder Engineering-Software CRA-konform sein?

Nur wenn diese in Produkten eingesetzt oder ausgeliefert werden. Reine Entwicklungs- oder Konfigurationstools ohne externe Nutzung sind in der Regel ausgenommen.

Welche Normen und Standards sind relevant?

Unter anderem die IEC 62443, ISO/IEC 27001, EN ISO 21434 sowie neue harmonisierte Normen, die aktuell erarbeitet werden. Wir geben einen Überblick im Workshop.

Was passiert, wenn ich nichts tue?

Spätestens ab Geltungsbeginn drohen Bußgelder, Marktzugangshürden und Haftungsrisiken. Frühzeitiges Handeln spart Kosten und schützt Reputation.

Kostenfreie CRA-Selbsteinschätzung

Erhalten Sie in wenigen Minuten eine erste Einschätzung, wo Ihr Unternehmen in Bezug auf den Cyber Resilience Act steht.

Relevante Informationen

Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren

Der CRA und seine Sanktionen: Was Hersteller wirklich riskieren

18. März 2026
6 Minuten zum Lesen
Verkaufsverbot statt Bußgeld: Warum CRA-Sanktionen in der Tradition des Produktrechts stehen und was Safety Gate über die tatsächliche Durchsetzungspraxis in Europa zeigt.
Lars Roith
Requirements Cyber Resilience Act Compliance
Logging Redaction in .NET und im Browser – Sensible Daten sicher aus Logs entfernen

Logging Redaction in .NET und im Browser – Sensible Daten sicher aus Logs entfernen

17. März 2026
9 Minuten zum Lesen
Sensible Nutzerdaten haben in Logs nichts verloren. Dieser Artikel zeigt, wie du mit .NET Data Redaction und LogTape systematisch personenbezogene Daten maskierst, bevor sie in den Logs landen.
Florian Bader
Development .NET Security
CRA & Updates: Welche Mechanismen sich für welche Produkte eignen

CRA & Updates: Welche Mechanismen sich für welche Produkte eignen

11. März 2026
13 Minuten zum Lesen
Vom klassischen Windows-Installer über OTA-Update-Frameworks bis zum Firmware-Flasher: ein Überblick aller relevanten Update-Mechanismen und wie du sie CRA-konform umsetzt.
Lars Roith
Deployment Security Cyber Resilience Act
Harmonisierte Standards für den CRA – Stand der Dinge

Harmonisierte Standards für den CRA – Stand der Dinge

4. März 2026
4 Minuten zum Lesen
Harmonisierte Standards für den Cyber Resilience Act (CRA) sind ein zentrales Element der Konformitätsbewertung, doch sie sind noch nicht vollständig veröffentlicht. Dieser Beitrag zeigt, wo die Normung heute steht, welche Quellen verlässlich Auskunft geben und wie du dich aktiv an der Entwicklung beteiligen kannst.
Lars Roith
Requirements Cyber Resilience Act Standards
Managed Identity in Azure: Auth ohne Secrets

Managed Identity in Azure: Auth ohne Secrets

3. März 2026
12 Minuten zum Lesen
Ihr nutzt immer noch Passwörter und Access Keys in euren Azure Apps? Hier zeigen wir euch, wie ihr mit Azure Managed Identity endlich damit Schluss machen könnt.
Florian Bader
Deployment Azure Security
Microsoft Threat Modeling Tool vs. OWASP Threat Dragon: Ein Praxisvergleich entlang des Threat-Modeling-Ablaufs

Microsoft Threat Modeling Tool vs. OWASP Threat Dragon: Ein Praxisvergleich entlang des Threat-Modeling-Ablaufs

25. Februar 2026
11 Minuten zum Lesen
In diesem Artikel werden zwei etablierte Tools für Threat Modeling – das Microsoft Threat Modeling Tool und OWASP Threat Dragon – praxisnah entlang des gesamten Threat-Modeling-Prozesses verglichen. Der Fokus liegt auf typischen Abläufen, Report-Funktionen, Katalogen und der Wartung über den Produktlebenszyklus.
Lars Roith
Cyber Resilience Act Security Compliance Standards
Secure Development Lifecycle messen: Das Lunaris SDL Assessment

Secure Development Lifecycle messen: Das Lunaris SDL Assessment

23. Februar 2026
4 Minuten zum Lesen
Ein kompaktes Online-Assessment hilft dir, den Reifegrad deines Secure Development Lifecycle einzuordnen und konkrete Verbesserungen abzuleiten.
Lars Roith
Development Security Standards
SBOM für Embedded Systeme: CRA-Anforderungen pragmatisch umsetzen

SBOM für Embedded Systeme: CRA-Anforderungen pragmatisch umsetzen

16. Februar 2026
11 Minuten zum Lesen
Im Web-Umfeld ist eine SBOM schnell erzeugt. Bei Embedded und PLC sieht das anders aus. Dieser Artikel zeigt, warum Embedded-SBOMs schwieriger sind und wie du die CRA-Anforderungen trotzdem pragmatisch erfüllst.
Lars Roith
Requirements Cyber Resilience Act Standards
Abhängigkeiten im Griff: Private Feeds für NuGet, npm, pip und Docker

Abhängigkeiten im Griff: Private Feeds für NuGet, npm, pip und Docker

10. Februar 2026
12 Minuten zum Lesen
Warum öffentliche Registries allein oft nicht reichen und wie private Feeds/Mirrors Builds stabiler, schneller und sicherer machen.
Florian Bader
Deployment DevOps Security