Zurück zur Inhaltsseite

      Der Cyber Resilience Act ist für alle Unternehmen, die mit digitalen Produkten, Software, vernetzten Komponenten oder relevanten Lieferkettenrollen zu tun haben, kein Zukunftsthema mehr. Die aktuellen von ENISA veröffentlichten Unterlagen zeigen klar: Viele Unternehmen kennen den CRA bereits, sind aber bei technischer Dokumentation, Konformitätsbewertung, Security-by-Design, sicheren Updates und Schwachstellenmeldungen noch nicht ausreichend vorbereitet.

      Warum jetzt Handlungsbedarf besteht

      Der CRA verpflichtet Unternehmen, Cybersicherheit über den gesamten Lebenszyklus digitaler Produkte hinweg nachweisbar zu verankern. Das betrifft nicht nur Technologie, sondern auch Organisation, Prozesse und Governance.

      Besonders wichtig: Ab dem 11. September 2026 sind aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle mit Auswirkung auf die Produktsicherheit über die Single Reporting Platform der ENISA zu melden. Dafür müssen Unternehmen vorher wissen, welche Produkte betroffen sind, welche Informationen kurzfristig verfügbar sein müssen, wer Schwachstellen und Vorfälle intern bewertet und wie Security, Legal, Produktentwicklung, Support und Kommunikation im Ernstfall zusammenarbeiten.

      Wenn diese Fragen erst während eines Incidents geklärt werden müssen, entsteht unnötiger Zeit- und Entscheidungsdruck; im schlimmsten Fall führt dies zur Kund:innenunzufriedenheit und möglicherweise zu negativen rechtlichen Folgen. 

      Was die ENISA-Dokumente deutlich machen

      Der ENISA „SME CRA Survey Report“ aus Juni 2026 zeigt eine klare Umsetzungslücke: 66 Prozent der befragten Unternehmen hatten zwar bereits vom CRA gehört; gleichzeitig verfügen nur 13 Prozent über ein gutes oder sehr gutes Verständnis der Anforderungen an technische Dokumentation. Bei der Konformitätsbewertung sind es gar nur 14 Prozent.

      Das „ENISA Security by Design and Default Playbook“ (Working Draft) aus März 2026 zeigt weiters, worum es in der Praxis geht: Sicherheitsanforderungen, Threat Modelling, sichere Entwicklung, Dependency Management, sichere Updates, den Umgang mit Schwachstellen und belastbare Nachweise.

      CRA-Compliance entsteht nicht durch eine einmalige rechtliche Bewertung; Unternehmen müssen ihre Produkt-, Entwicklungs- und Security-Prozesse CRA-fähig machen.

      Strategische Konsequenzen: Sechs Schritte, die jetzt zählen

      Unternehmen, die sich derzeit noch nicht für den CRA bereitfühlen, sollten pragmatisch an sechs Fronten beginnen:

      • Betroffenheit klären

        Welche Produkte, Softwarekomponenten und Lieferkettenrollen fallen potenziell unter den CRA? In welche Kategorie (Standard, wichtig, kritisch) fallen die Produkte?

      • Nachweise strukturieren

        Welche technische Dokumentation existiert bereits, etwa Architekturinformationen, Risikoanalysen, Sicherheitsanforderungen, Testnachweise oder Release-Dokumentation, um die Cybersicherheitsanforderungen des CRA im Anhang 1 nachweislich zu erfüllen? Ist diese noch aktuell genug, um wiederverwendet zu werden, oder besteht hier ebenfalls Nachholbedarf?

      • Konformitätsbewertungen

        Für Standardprodukte reichen interne Konformitätsprüfungen aus, für wichtige und kritische Produkte sind externe Prüf- und Konformitätsprüfungen vorzunehmen.

      • Security-by-Design verankern

        Werden Sicherheitsanforderungen, Threat Modelling, Code- und Dependency-Prüfungen sowie Security Gates im Entwicklungsprozess tatsächlich genutzt? Sind entsprechende Prozesse lediglich dokumentiert oder tatsächlich organisatorisch und (soweit möglich) technisch (z. B. im Rahmen einer CI-/CD-Pipeline) verankert?

      • SBOMs und sichere Updates vorbereiten

        Können eingesetzte Komponenten (z. B. Open-Source-Libraries) nachvollzogen werden, und existieren Prozesse für den Umgang mit bekannten Schwachstellen?

      • Meldefähigkeit herstellen

        Gibt es einen klaren Prozess für Schwachstellenannahme, Bewertung, Behebung, Kommunikation und mögliche Meldungen über die Single Reporting Platform?


      Fazit

      Der Cyber Resilience Act wird konkret. Unternehmen sollten jetzt nicht nur prüfen, ob sie betroffen sind, sondern ob sie dokumentations-, nachweis- und meldefähig sind. Wer frühzeitig Scope, Lücken und Verantwortlichkeiten klärt, reduziert Umsetzungsdruck und stärkt zugleich die eigene Produkt-Cybersecurity.


      Wie KPMG unterstützt

      Im direkten Austausch begleiten Sie unsere Expert:innen dabei, CRA-Anforderungen nicht nur technologisch zu betrachten, sondern strategisch in Organisation, Prozesse und Governance zu verankern. Ziel ist eine Umsetzung, die regulatorische Anforderungen abdeckt, in bestehende Produktentwicklungs- und Kontrollstrukturen passt und auch bei wachsenden Produktportfolios oder internationalen Strukturen skalierbar bleibt.

      Der Einstieg erfolgt in der Regel über eine Anwendbarkeitsprüfung der betroffenen Produkte mit anschließender CRA-Gap-Analyse und einem Maturity Assessment. Dabei wird der aktuelle Umsetzungsstand mit den CRA-Anforderungen abgeglichen, Handlungsfelder werden identifiziert und Maßnahmen nach Risiko, Aufwand und Wirkung priorisiert.

      Darauf aufbauend unterstützten die KPMG Cybersecurity-Spezialist:innen bei der Integration von Security-by-Design in Governance-Strukturen, Entwicklungsmodelle und Entscheidungsprozesse. Dazu gehören auch technische Dokumentation, SBOM- und Dependency-Prozesse, sichere Update-Konzepte sowie Schwachstellen-Handling und Meldeprozesse.

      So wird aus regulatorischer Awareness ein umsetzbares Programm mit klarer Roadmap, belastbaren Nachweisen und Prozessen, die im Alltag funktionieren. Außerdem ermöglicht es Unternehmen, ihren Kund:innen schon jetzt CRA-konforme Produkte anzubieten, was in Zeiten steigender Cyber- und Lieferkettenrisiken zu einem zunehmend wichtigen Verkaufsargument wird.


      Bernhard Wannasek

      Senior Manager, Advisory / Cybersecurity, Wien

      KPMG Austria


      Cyber Resilience Act

      Cybersicherheit für Hard- und Softwareprodukte
      Laserlinien

      Cybersecurity & IT Risk

      Risiken erkennen, Chancen nutzen
      Schildkröte im Meer

      Gemeinsam steuern wir mit Ihnen in eine erfolgreiche Zukunft und finden die passenden Lösungen für Ihre Herausforderungen.

      Wir stehen Ihnen als Partner zur Seite und lösen gemeinsam die komplexen Anforderungen Ihrer Branche.


      Treten Sie mit uns in Kontakt

      Unsere Expert:innen freuen sich, von Ihnen zu hören.                              

      Weltkugel und Frau