Spezialisierte Software hilft Herstellern von Produkten mit digitalen Elementen, die Vorgaben des Cyber Resilience Act (CRA) systematisch umzusetzen – von der Produktklassifizierung über das Schwachstellenmanagement bis zur vollständigen Konformitätsdokumentation gegenüber Marktaufsichtsbehörden.
Wir zeigen Ihnen an konkreten Beispielen, wie Sie mit unserer SaaS-Lösung Ihre CRA-Compliance strukturiert und nachweissicher erreichen.
David Weihbrecht
CRA-Experte von activeMind.legal Rechtsanwälte
Herausforderung CRA-Compliance
Der Cyber Resilience Act (CRA) setzt als EU-Verordnung verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Dadurch sind vom CRA deutlich mehr Unternehmen betroffen als etwa von NIS2 oder DORA.
Hinzu kommt der Fokus auf Produktsicherheit über den gesamten Lebenszyklus, was zu einer neuen strukturellen Tiefe der Anforderungen führt. Konkret müssen Unternehmen:
- alle in Verkehr gebrachten Produkte mit digitalen Elementen erfassen, klassifizieren und ihre Konformitätspflichten je Produktkategorie bestimmen;
- Schwachstellen aktiv identifizieren, bewerten und innerhalb strikter Fristen an die zuständigen Behörden (ENISA) melden;
- eine vollständige, auditfähige technische Dokumentation für jedes Produkt führen und über den gesamten Support-Zeitraum – mindestens fünf Jahre – aktuell halten.
Um diese verschiedenen Anforderungen strukturiert und zielorientiert im Unternehmen zu etablieren, ist ein vielschichtiges Projektmanagement nötig. Andernfalls riskieren Sie Bußgelder und verlieren ggfs. die Marktzulassung (CE-Kennzeichnung) für Ihre Produkte.
Warum CRA-Compliance-Software notwendig ist
Der Versuch, CRA-Readiness mit Tabellenkalkulationen, verstreuten Dokumenten und manuellen Prozessen zu erlangen, ist strukturell zum Scheitern verurteilt. Allein die Pflicht, für jedes Produkt mit digitalen Elementen eine aktuelle Schwachstellenübersicht, eine Software Bill of Materials (SBOM) und eine technische Dokumentation vorzuhalten, überfordert jeden manuellen Ansatz spätestens dann, wenn das Produktportfolio wächst.
Eine auf den CRA spezialisierte SaaS-Lösung löst dieses Problem grundlegend. Die wichtigsten Vorteile sind:
- Die CRA-Anforderungen aus Anhang I und II der Verordnung sind durch Experten bereits in konkrete, produktbezogene Aufgaben übersetzt.
- Produkte und ihre Komponenten werden im integrierten Asset Management erfasst und direkt mit den jeweiligen Konformitätspflichten verknüpft – keine Lücken, keine Doppelarbeit.
- Meldepflichten zu Schwachstellen und Vorfällen können durch dokumentiertes Vorgehen besser eingehalten werden.
- Dashboards geben Produktmanagement, Entwicklung und Compliance jederzeit ein realistisches Bild über den Aufgaben- und Konformitätsstatus.
Wie hilft die SaaS-Lösung bei der CRA-Compliance?
Compliance-Kick-off
Um die CRA-Compliance-Software optimal auf Ihr Unternehmen vorzubereiten, beginnt die Zusammenarbeit mit einem strukturierten Compliance-Kick-off-Workshop. Gemeinsam mit den Verantwortlichen aus Produktmanagement, Entwicklung und Compliance legen unsere Experten die wichtigsten Rahmenfaktoren fest.
Im Workshop erarbeiten eine erste Produktlandkarte und legen die internen Zuständigkeiten fest – damit von Anfang an klar ist, wer welche CRA-Anforderungen für welches Produkt verantwortet.
Im Anschluss erhalten Sie Zugriff auf die CRA-Compliance-Software, in der die im Workshop erarbeiteten Werte bereits eingepflegt sind.
Ihr Vorteil: Sie starten nicht mit einem leeren System, sondern mit einer auf Ihr Produktportfolio zugeschnittenen SaaS-Lösung, die sofort einsatzbereit ist.
Produkte und Komponenten im Asset Management
Das Herzstück der CRA-Compliance ist die vollständige Erfassung aller betroffenen Produkte und ihrer Komponenten. Genau hier setzt das integrierte Asset Management unserer SaaS-Lösung an. Jedes Produkt mit digitalen Elementen wird mit seinen Komponenten, Abhängigkeiten und relevanten Metadaten strukturiert erfasst.
Alle für das jeweilige Produkt geltenden Vorgaben (Security by Design) des CRA sind als Aufgaben verknüpft und können jederzeit auf Aktualität geprüft werden. Strukturierte Masken und spezielle Vorlagen stellen sicher, dass Sie bei Erstellung und laufender Pflege der technischen Dokumentation an alles denken – inklusive Risikoanalyse, Sicherheitskonzept, Testberichte und EU-Konformitätserklärung. Alle Dokumente werden revisionssicher abgelegt und sind über den gesamten geforderten Aufbewahrungszeitraum abrufbar.
Das Asset Management bildet zudem die Grundlage für die Software Bill of Materials (SBOM) – eine nach CRA verpflichtende maschinenlesbare Übersicht aller Software-Komponenten und ihrer Abhängigkeiten.
Ihr Vorteil: Sie haben jederzeit einen vollständigen, aktuellen Überblick über Ihr gesamtes Produktportfolio und dessen Konformitätsstatus – ohne manuelle Pflege verteilter Listen.
CRA-Schwachstellenmanagement
Über das Ticketsystem bildet unsere SaaS-Lösung das vollständige Schwachstellenmanagement nach Anhang I, Teil II CRA ab: Erfassung und Bewertung identifizierter Schwachstellen, Koordination der Behebung, Bereitstellung von Sicherheitsupdates sowie die fristgerechte Meldung aktiv ausgenutzter Schwachstellen an ENISA.
Damit verbundene Aufgaben können an zuständige Personen delegiert und die Umsetzung überwacht werden.
Ihr Vorteil: Ihre Entwicklungs- und Produktteams arbeiten nicht isoliert, sondern gemeinsam und koordiniert an der Behebung von Schwachstellen und der Information von Aufsichtsbehörden und ggfs. Betroffenen. Das reduziert das Risiko von Bußgeldern wegen verpasster Meldefristen erheblich.
Konformitätsbewertungen vorbereiten
Vom Cyber Resilience Act betroffene Produkte benötigen eine Konformitätsbewertung, um eine CE-Kennzeichnung zu erhalten. Je nach Klassifizierung Ihrer Produkte (Standard, Wichtig (Klasse 1 und 2), Kritisch) kann diese Konformitätsbewertung intern erfolgen oder muss durch eine externe Prüfstelle vorgenommen werden.
Unsere CRA-Software ist die optimale Grundlage dafür. Sowohl für interne Konformitätsbewertungen als auch externe Audits liegen alle Informationen stets in ihrer aktuellen Version an einem Ort. So können Prüfer nicht nur sehen, was gemacht wird, sondern auch wie.
Ihr Vorteil: CRA-Produkt-Konformitätsbewertungen lassen sich deutlich schneller durchführen und es kommt zu weniger Abweichungen bzw. Beanstandungen. Das spart Zeit, Geld und Nerven.
Begleitende Beratung zum CRA
Bei Nutzung der CRA-Compliance-Software können Sie zusätzlich auf erfahrene Experten aus dem Bereich der Cybersicherheit zurückgreifen. So erhalten Sie die optimale Kombination aus spezialisierter SaaS-Lösung und individueller Beratung – insbesondere bei der Auslegung der delegierten Rechtsakte der Europäischen Kommission und der harmonisierten Normen, die die CRA-Anforderungen konkretisieren.
Wählen Sie unsere Software für Ihre CRA-Compliance
Unsere SaaS-Lösung hat sich bereits bei vielen Informationssicherheits-Normen erfolgreich bewiesen und unsere Kunden bestätigen den Vorteil unseren Audit-fokussierten Ansatzes.
Gerne zeigen wir Ihnen in einem Democall direkt in der Software, wie die Workflows funktionieren.
Eine Übersicht zu allen Preisen und zusätzlichen Angeboten finden Sie auf dieser Seite.
Häufig gestellte Fragen zu CRA-Compliance-Software
Für welche Unternehmen ist eine CRA-Software relevant?
Eine spezialisierte CRA-Software hilft allen Unternehmen, die Compliance mit dem Cyber Resilience Act erlangen müssen.
Der CRA gilt für alle Hersteller, Importeure und Händler, die Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringen – also für Unternehmen, die Hardware mit Software-Komponenten oder reine Softwareprodukte verkaufen.
Besonders dringend ist der Handlungsbedarf für Hersteller von Produkten, die als wichtig oder kritisch eingestuft sind, da hier verschärfte Konformitätsbewertungsverfahren vorgeschrieben sind.
Auch Hersteller, Importeure und Händler, die ein breites Produktspektrum mit digitalen Elementen im Portfolio haben, sollten auf eine CRA-Saas-Lösung zurückgreifen, um der Komplexität gerecht zu werden.
Hilft die Software beim Nachweis gegenüber Marktaufsichtsbehörden?
Ja, die CRA-Compliance-Software ist konsequent auf Nachweisfähigkeit ausgerichtet.
Technische Dokumentationen, Konformitätserklärungen, Schwachstellenberichte und Audit-Ergebnisse werden revisionssicher abgelegt und können Marktaufsichtsbehörden strukturiert zugänglich gemacht werden.
Was unterscheidet eine CRA-Software von einem generischen Compliance-Tool?
Der CRA stellt produktbezogene Anforderungen, die generische GRC-Tools nicht abbilden können.
Entscheidend für die Effizienz einer CRA-Software sind das integrierte Asset Management für Produkte und Komponenten, die Durchführung einer auf den CRA ausgerichteten Risikobewertung, die SBOM-Unterstützung sowie, die produktspezifische Klassifizierung nach CRA-Kategorien sowie ein Ticketsystem zur Unterstützung der Schwachstellenmeldungen an ENISA.
Was unterscheidet CRA-Software von anderer ISMS-Software?
ISMS-Software legt den Fokus auf das Unternehmen und seine Infrastruktur. CRA-spezifische Software muss (auch) Produkte und Komponenten abbilden können.
Die Funktionslogik von ISMS-Software – etwa für ISO 27001 oder NIS2 – ist für alle Normen recht ähnlich. Um auch den Cyber Resilience Act damit erfüllen zu können, bedarf es aber der oben angesprochenen inhaltlichen Erweiterung auf Produkte und Komponenten. Im Idealfall bietet die Softwarelösung ein integriertes Managementsystem an, so dass mehrere Normen gleichzeitig abgebildet werden können.
Anleitungen zu weiteren Normen, die Sie mit unserer ISMS-Software erfüllen können:
Der Cyber Resilience Act (CRA) stellt Cybersicherheitsanforderungen an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen.
Der Digital Operational Resilience Act (DORA) reguliert die digitale Widerstandsfähigkeit von Unternehmen der Finanzwirtschaft.
Die ISO/IEC 27001 ist der weltweite Goldstandard wenn es um die Zertifizierung von Informationssicherheit geht.
Die Network-and-Information-Security-Directive (NIS2-Richtlinie) soll die Resilienz gegenüber Cyberbedrohungen stärken und die Sicherheit kritischer Infrastrukturen verbessern.