Warum der CRA für Hersteller zur echten Herausforderung wird
- Neue Pflichten für IT-Security in Produkten
- Bußgelder bis zu 15 Millionen Euro
- Verpflichtende Prozesse für Updates, Risikoanalysen & CE-Kennzeichnung
- Geltung für Eigenentwicklungen, OEM- und Drittsoftware
- Unklare Zuständigkeiten im Unternehmen
- Hoher Dokumentationsaufwand
- Verzahnung mit bestehenden CE-Prozessen nötig
- Kaum Klarheit über betroffene Produkte
Cyber Resilience Act – 1-Tages-Workshop
Wissen – Standortbestimmung – Maßnahmenplan. Klarheit in nur einem Tag.
| Dauer | Thema | Beschreibung |
|---|---|---|
| 0:30 h | Einführung & Zielsetzung | Begrüßung, Erwartungen, Zieldefinition Workshop & CRA-Kontext |
| 1:00 h | Wer ist betroffen & was ist gefordert? | Rollen (Hersteller, Importeur, Händler), Produktarten, Pflichten und Fristen |
| 1:30 h | Anforderungen im Überblick | Lebenszyklus-Pflichten, sichere Entwicklung, Updates, technische Doku, Meldepflichten |
| ☕ Pause | ||
| 1:15 h | Check 1: Produkt- & Rollenklärung | Welche Produkte sind betroffen? Welche Rolle hat der Kunde? Welche Systeme und Technologien? |
| 0:45 h | Check 2: Secure Development Lifecycle | Wie läuft SW-Entwicklung ab? Welche Prozesse, Tools, Doku gibt es? |
| 0:30 h | Check 3: Update-, Patch- und Supportkonzept | Wie werden Sicherheitsupdates ausgerollt? Lebensdauer? Automatisierung? |
| ☕ Pause | ||
| 0:45 h | Check 4: Risikoanalyse & Threat Modeling | Gibt es eine Risikoanalyse? Ist Bedrohungsmodellierung etabliert? |
| 0:45 h | Check 5: Technische Dokumentation | Was wird dokumentiert? Wie CE-relevant? SBOM vorhanden? |
| 0:15 h | Abschluss & nächste Schritte | Zusammenfassung, erste To-dos, Feedback |
An wen richtet sich der CRA 1-Tages-Workshop?
Typische Teilnehmer:
- F&E-Leiter und Entwicklungsverantwortliche
- Produktmanager und CE-Beauftragte
- Geschäftsführer technischer Produktbereiche
Ihre Vorteile:
- Sie erkennen betroffene Produkte und Lücken
- Sie bekommen Klarheit zu Zuständigkeiten und Prozessen
- Sie erhalten eine belastbare Entscheidungsgrundlage
- Sie reduzieren Ihr Compliance-Risiko
Häufige Fragen zum CRA
Gilt der CRA auch für Altgeräte?
Ja, wenn diese nach Inkrafttreten neu in Verkehr gebracht werden oder wesentliche Änderungen erfahren.
Was ist der Unterschied zur NIS2?
NIS2 betrifft kritische Infrastrukturen, der CRA zielt auf konkrete Produkte mit digitalen Elementen ab.
Was kostet ein CRA-konformes Produkt?
Das hängt stark vom Entwicklungsstand und vorhandenen Prozessen ab. Unser Workshop hilft, das einzuschätzen.
Wer ist verantwortlich für die Einhaltung?
Primär der Hersteller - bei OEM-Konstellationen aber auch der Inverkehrbringer bzw. Systemintegrator.
Welche Produkte sind vom CRA betroffen?
Grundsätzlich alle vernetzten Produkte mit digitalen Elementen - von Steuerungen über Gateways bis zu Cloud-Plattformen, sofern sie Endnutzer oder andere Produkte beeinflussen können.
Müssen auch interne Tools oder Engineering-Software CRA-konform sein?
Nur wenn diese in Produkten eingesetzt oder ausgeliefert werden. Reine Entwicklungs- oder Konfigurationstools ohne externe Nutzung sind in der Regel ausgenommen.
Welche Normen und Standards sind relevant?
Unter anderem die IEC 62443, ISO/IEC 27001, EN ISO 21434 sowie neue harmonisierte Normen, die aktuell erarbeitet werden. Wir geben einen Überblick im Workshop.
Was passiert, wenn ich nichts tue?
Spätestens ab Geltungsbeginn drohen Bußgelder, Marktzugangshürden und Haftungsrisiken. Frühzeitiges Handeln spart Kosten und schützt Reputation.
Relevante Informationen
In 10 Schritten zur CRA-Konformität bis 2028
6. August 2025
10 Minuten zum Lesen
Der Cyber Resilience Act (CRA) stellt Hersteller digitaler Produkte vor große Herausforderungen. Dieser Artikel zeigt Ihnen, wie Sie in 10 Schritten systematisch auf die Fristen hinarbeiten.
Der Cyber Resilience Act und angrenzende EU-Vorschriften
30. Juli 2025
6 Minuten zum Lesen
Welche EU-Vorgaben helfen bei der CRA-Umsetzung? Dieser Beitrag zeigt, wie angrenzende Verordnungen, Normen und nationale Leitlinien zusammenspielen und wie Hersteller davon profitieren können.
Technische Dokumentation im Cyber Resilience Act: Was wirklich zählt.
23. Juli 2025
9 Minuten zum Lesen
Was gehört wirklich in die technische Dokumentation nach dem Cyber Resilience Act und wer darf sie wann sehen? Wir erklären die acht Pflichtbestandteile verständlich und praxisnah.
Pflichtlektüre fürs Produkt: Welche Informationen müssen laut CRA mitgeliefert werden?
16. Juli 2025
5 Minuten zum Lesen
Vom Herstellerkontakt bis zur sicheren Außerbetriebnahme: So sieht die neue Dokumentationspflicht aus.
CRA umsetzen: Anforderungen an die Behandlung von Schwachstellen?
9. Juli 2025
7 Minuten zum Lesen
In dieser Fortsetzung der praxisnahen Betrachtung der Anforderungen aus Anhang 1 des CRA werfen wir einen tieferen Blick auf Teil 2 und die dort beschriebenen Anforderungen zur Schwachstellenbehandlung.
CRA umsetzen: Was bedeutet Anforderung 2 aus Teil I für die Praxis?
25. Juni 2025
11 Minuten zum Lesen
In dieser Fortsetzung der praxisnahen Betrachtung der Anforderungen aus Anhang 1 des CRA werfen wir einen tieferen Blick auf Teil 1, Anforderung 2.a bis 2.m
CRA umsetzen: Cyber Security Anforderungen an den Produktlebenszyklus nach Anhang 1
18. Juni 2025
6 Minuten zum Lesen
Die erste Anforderung aus Anhang 1 des Cyber Resilience Act praxisnah erläutert: Bedeutung, Pflichten, Fallstricke und Tipps für Hersteller.
CRA umsetzen: Mit EUCC und BSI-TR-03183 zur Compliance
4. Juni 2025
5 Minuten zum Lesen
Der CRA macht Cybersicherheit zur Pflicht. In diesem Artikel zeigen wir, wie Hersteller mit der EUCC-Zertifizierung und den BSI-Richtlinien (TR-03183) strukturiert und nachvollziehbar die Anforderungen erfüllen – inklusive Vergleichen, Beispielen und praktischer Umsetzungshilfe.
CRA kompakt: Eine CRA-Einstiegshilfe für Produktverantwortliche
29. Mai 2025
2 Minuten zum Lesen
Dieser Artikel bietet eine schnelle Orientierung für Hersteller, OEMs und Zulieferer mit Entscheidungstabelle, ob sie vom CRA betroffen sind sowie praxisnahen Fallbeispielen.