Der CRA stellt konkrete Anforderungen an Hersteller, Importeure und Händler digitaler Produkte. Mit carmasec verstehst du deine Betroffenheit, erhältst eine belastbare Roadmap und setzt die Anforderungen termingerecht um.
Der CRA gilt für Hardware, Software und vernetzte Systeme mit digitalen Elementen. Erste Meldepflichten für aktiv ausgenutzte Schwachstellen greifen ab September 2026. Ab Dezember 2027 dürfen ausschließlich konforme Produkte auf den EU-Markt gebracht werden. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes sowie Verkaufsverbote.
Der CRA fordert Security by Design, ein durchgängiges Schwachstellenmanagement, regelmäßige Sicherheitsupdates über mindestens fünf Jahre, eine vollständige SBOM sowie eine Konformitätsbewertung mit CE-Kennzeichnung. Die Anforderungen betreffen Entwicklung, Produktmanagement und Geschäftsleitung gleichermaßen.
Viele Unternehmen haben ihren Fokus bisher auf funktionale Sicherheit gelegt. Zuständigkeiten für Cybersecurity sind oft unklar. Legacy-Produkte lassen sich nur mit erheblichem Aufwand nachrüsten. Und die Verordnung selbst ist komplex, während verbindliche Normen noch ausstehen.
cra. done. right.
Wir bringen die Erfahrung aus komplexen Compliance-Projekten mit. Wir analysieren, welche deiner Produkte unter den CRA fallen, und setzen die Anforderungen strukturiert um. Jede Maßnahme ist auf deinen Kontext abgestimmt. Das Ergebnis: vollständige, prüffähige CRA-Konformität, die den EU-Markt sichert.
Betroffenheit klären
Du weißt schnell, welche deiner Produkte unter den CRA fallen und was konkret von dir gefordert wird.
ab 1.500 €*
abhängig von Anzahl der Produkte
Ideal für Unternehmen die noch am Anfang stehen.
Klarheit und Roadmap
Du weißt, dass du betroffen bist. Wir analysieren den Status quo, identifizieren die Lücken und liefern eine priorisierte Roadmap mit konkreten nächsten Schritten.
ab 9.000 €*
abhängig von Anzahl der Produkte
Vollständige Umsetzung
Kontinuierliche Begleitung als Trusted Advisor für deine CRA-Compliance.
ab 3.500 €*
pro Monat, abhängig vom Scope
Wir schnüren dir ein individuelles Kontingent.
Mit carmasec hast du einen erfahrenen Partner für die gesamte Cyber Resilienz-Umsetzung. Von der ersten Einordnung bis zur prüffähigen Compliance. Du weißt schnell, welche deiner Produkte betroffen sind, was konkret gefordert wird und welche Schritte als nächstes anstehen.
Der Cyber Resilience Act verpflichtet Hersteller, Importeure und Händler digitaler Produkte, Sicherheit über den gesamten Produktlebenszyklus nachzuweisen. Die Anforderungen gelten ab der ersten Entwicklungsphase und umfassen Security by Design, Schwachstellenmanagement, Meldepflichten, SBOM-Dokumentation, Sicherheitsupdates über mindestens fünf Jahre sowie eine Konformitätsbewertung mit CE-Kennzeichnung.
Alle Details zu Anforderungen, Fristen und typischen Umsetzungsfehlern findest du in unserem kostenfreien Whitepaper.
Viele Unternehmen glauben, ihre Produkte erfüllen die Cyber Resilienz-Anforderungen bereits weitgehend. Die Gap-Analyse zeigt regelmäßig ein anderes Bild, da die Lücke zwischen gefühlter und tatsächlicher Konformität oft größer ist als erwartet.
Wir begleiten Unternehmen von der ersten Einordnung bis zur prüffähigen Compliance. Jede Maßnahme ist auf die Produkte und Prozesse abgestimmt.
Unsere Erfahrung reicht von mittelständischen Herstellern bis hin zu international agierenden Unternehmen mit komplexen Produktportfolios.
Governance, technische Analyse und operative Umsetzung vereinen wir in einem Team, damit keine Reibungsverluste entstehen.
Bin ich vom CRA betroffen?
Der CRA gilt für alle Produkte mit digitalen Elementen, die in der EU hergestellt, importiert oder verkauft werden. Dazu zählen Hardware mit eingebetteter Software, Software-Produkte und vernetzte Systeme. Ausgenommen sind unter anderem Medizinprodukte und Fahrzeuge, die eigenen Regularien unterliegen.
Was bedeutet Security by Design?
Sicherheit wird ab der ersten Entwicklungsphase eingeplant. Dazu gehören eine systematische Risikoanalyse, Bedrohungsmodelle und eine nachvollziehbare Dokumentation aller sicherheitsrelevanten Entscheidungen.
Was fordert der CRA zur Konformitätsbewertung?
Produkte müssen eine Konformitätsbewertung durchlaufen, bevor sie auf den EU-Markt gebracht werden. Die CE-Kennzeichnung ist Voraussetzung für den Marktzugang.
Wie unterscheidet sich der CRA von NIS-2?
NIS-2 reguliert Betreiber wichtiger und kritischer Infrastrukturen. Der CRA reguliert Produkte mit digitalen Elementen und richtet sich an Hersteller, Importeure und Händler. Beide Verordnungen können gleichzeitig gelten.
Wie tiefgreifend ist das CRA Starter Paket und wo endet es?
CRA Starter klärt Betroffenheit, Risikoklassen und ersten Handlungsbedarf. Die strukturierte Umsetzung beginnt mit CRA Professional.
Was unterscheidet euer Gap-Assessment von einer klassischen Gap-Analyse?
Wir liefern priorisierte Maßnahmen, die sofort umsetzbar sind. Die Einordnung basiert auf euren konkreten Produkten und Prozessen.
Welche Bereiche und Rollen sind eingebunden?
Entwicklung, Produktmanagement, Legal und Geschäftsleitung.
Wie lassen sich die Ergebnisse in bestehende Governance-Strukturen integrieren?
Wir stimmen die Maßnahmen auf vorhandene Strukturen ab. Wer bereits ein ISMS betreibt, kann CRA-Anforderungen direkt darauf aufbauen.
Was ist der Mehrwert gegenüber einer internen Analyse?
Wir bringen Erfahrung aus zahlreichen CRA-Projekten mit. Du erhältst eine belastbare Einschätzung, die intern entwickelten Analysen an Tiefe und Praxisnähe überlegen ist.
Wer trägt die rechtliche Verantwortung?
Hersteller tragen die Hauptverantwortung. Importeure und Händler haften, wenn sie konforme Produkte nicht sicherstellen. Die Geschäftsleitung ist persönlich verantwortlich für die Einhaltung der Meldepflichten.
Was passiert nach CRA Starter oder Professional?
Du entscheidest, ob du die Umsetzung intern steuerst oder mit CRA Enterprise in erfahrene Hände gibst. Wir begleiten beide Wege.
»Mit Unterstützung von carmasec haben wir KPIs definiert und einen höheren Grad an Transparenz und Akzeptanz geschaffen.«
DKV Mobility Services
»Professionell, flexibel, nahbar und vor allem: erfolgreich. carmasec hat geliefert, was versprochen wurde.«
Bruker Optics
»Mit carmasec fanden wir einen vertrauenswürdigen Partner, der uns bei der Umsetzung unterstützte und einen umfangreichen Ergebnisbericht lieferte. Wir empfehlen carmasec uneingeschränkt weiter.«
ELIGO
»carmasec leistete einen nennenswerten Beitrag zur Sicherheit unserer Dienste. Professionelle Beratung, saubere Durchführung. Für Infrastruktur-Pentests empfehlen wir carmasec uneingeschränkt.«
tyntec GmbH
Kontakt
Dann ist jetzt der richtige Zeitpunkt. Wir begleiten dich von der ersten Analyse bis zur prüffähigen CRA-Compliance. In einem kostenlosen Beratungsgespräch erzählen wir dir gerne mehr. Einfach Formular ausfüllen und abschicken, dann melden wir uns.
Du brauchst Unterstützung oder willst einfach mal loswerden, was dich in Sachen Cybersecurity oder ISMS gerade beschäftigt? Wir nehmen’s ernst und melden uns zeitnah.
Noch kein Kunde?
Nützliche Links