Zurück zur Inhaltsseite

      Der CRA ist eine neue EU-Verordnung, die ab Dezember 2027 für betroffene Unternehmen gilt, die Produkte mit digitalen Elementen im europäischen Binnenmarkt bereitstellen. Ziel der Verordnung ist es, ein einheitliches Cybersicherheitsniveau zu schaffen und Verbraucherinnen und Verbraucher wie Unternehmen besser vor digitalen Bedrohungen zu schützen. 

      Der CRA verpflichtet Hersteller, Importeure und Händler dazu, die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg nachzuweisen – von der Entwicklung über den Betrieb bis hin zu Updates und Dokumentationen. Die Auswirkungen treffen nicht nur große Konzerne, sondern auch kleine und mittelständische Unternehmen.

      Die Anforderungen und Änderungen im Überblick

      • Technische Anforderungen an Produkte mit digitalen Elementen

        Produkte müssen ohne bekannte Schwachstellen und mit sicherer Standardkonfiguration („Security by Default“) bereitgestellt werden. Hersteller sind verpflichtet Sicherheitsmechanismen wie sichere Kommunikation, Zugriffskontrollen und zeitnahe Updates sicherstellen. Zudem müssen Produkte über ihren gesamten Lebenszyklus hinweg überwacht und Schwachstellen behoben werden. 

      • Organisatorische Anforderungen und Dokumentationspflichten

        Unternehmen müssen ein strukturiertes Risiko- und Schwachstellenmanagement etablieren, technische Dokumentationen bereitstellen und die Einhaltung der CRA-Anforderungen nachvollziehbar nachweisen. Dazu gehören Risikoanalysen vor Markteinführung, kontinuierliche Überwachung sowie klar definierte Prozesse für Updates, Meldungen und Incident-Response. 

      • Wesentliche Änderungen und Folgen für die Konformität

        Eine erneute Konformitätsbewertung fällt an, wenn wesentliche Änderungen auftreten, die das Sicherheitsniveau eines Produkts beeinflussen – etwa neue Funktionen, Änderungen sicherheitsrelevanter Mechanismen oder zusätzliche Schnittstellen. Anpassungen der Benutzeroberfläche (UI) und kleinere Bugfixes gelten hingegen nicht als wesentlich. Bei Nichteinhaltung können Bußgelder bis zu 15 Millionen Euro oder zweieinhalb Prozent des weltweiten Jahresumsatzes sowie Produktrückrufe und Marktzugangsbeschränkungen drohen.

      grafik

      Betroffene Rollen und Produktkategorien

      Verantwortliche Rollen im Sinne des CRA

      • Hersteller tragen die Hauptverantwortung für die Entwicklung, Produktion und Konformität digitaler Produkte. Sie müssen Risikoanalysen durchführen, sichere Entwicklungsprozesse etablieren und technische Dokumentationen bereitstellen.
      • Importeure und Händler müssen sicherstellen, dass nur konforme Produkte auf den Markt gelangen und übernehmen bei wesentlichen Änderungen die Pflichten eines Herstellers.
      • Weitere Akteure wie Bevollmächtigte oder kommerzielle Open-Source-Verwalter können ebenfalls in die Verantwortung genommen werden, wenn sie Produkte in der EU bereitstellen.

      Die CRA-Produktkategorien

      Der Cyber Resilience Act unterscheidet Produkte mit digitalen Elementen nach ihrem Cybersicherheitsrisiko. Die grundlegenden Cybersicherheitsanforderungen gelten dabei für alle Produkte gleichermaßen. Die Produktkategorie bestimmt dabei das anzuwendende Konformitätsbewertungsverfahren, insbesondere den Umfang externer Prüfungen.

      • Standard-Produkte (Default-Kategorie): alle Produkte mit digitalen Elementen, die nicht als wichtig oder kritisch eingestuft sind.
      • Wichtige Produkte Klasse I: zum Beispiel Betriebssysteme und Bootmanager.
      • Wichtige Produkte Klasse II: zum Beispiel Firewalls und Container-Runtime-Systeme
      • Kritische Produkte: zum Beispiel Smart-Meter-Gatewaysund Chipkarten.
      Bereit für ein Gespräch? Kontaktieren Sie uns

      FAQ zum Cyber Resilience Act

      • Wann tritt der CRA in Kraft? Seit Dezember 2024, volle Umsetzungspflicht ab Dezember 2027.
      • Welche Produkte sind betroffen? Alle Hardware- und Softwareprodukte mit Netzwerkschnittstellen.
      • Gibt es Ausnahmen? Ja, zum Beispiel für Medizinprodukte, Fahrzeuge und Luftfahrttechnik
      • Was passiert bei Nichteinhaltung? Bußgelder bis 15 Millionen Euro oder zweieinhalb Prozent des Jahresumsatzes sowie Produktrückrufe und Marktzugangsbeschränkungen sind möglich.
      • Wie kann ich mein Unternehmen vorbereiten? Frühzeitige Analyse der Betroffenheit, Aufbau eines Risikomanagements und Integration von Security-by-Design sind entscheidend.
      • Wer unterstützt bei der Umsetzung? Unsere Expert:innen aus Cybersecurity, Rechtsberatung und Technologie begleiten Sie von der Analyse bis zur erfolgreichen Auditierung.

      Unsere Leistungen im Bereich Cyber Security

      troubleshoot

      Analyse der Betroffenheit und Bewertung des Handlungsbedarfs

      Wir prüfen, ob und wie Ihre Produkte vom CRA betroffen sind und welche Pflichten für Ihr Unternehmen daraus resultieren – in einer klaren Übersicht über den Handlungsbedarf und für Ihre nächsten Schritte.

      query_stats

      Gap-Analyse und Erstellung einer CRA-Compliance-Roadmap

      Wir identifizieren bestehende Lücken zu den CRA-Anforderungen in Ihren Produkten und Systemen und entwickeln einen maßgeschneiderten Maßnahmenplan mit Prioritäten und Zeitplänen für die Umsetzung.

      lock_reset

      Security-by-Design und Software-Development-Life-Cycle

      Wir unterstützen Sie bei der Integration von Sicherheitsanforderungen in Ihren Entwicklungsprozessen – von der ersten Idee bis zum fertigen Produkt. So stellen Sie sicher, dass Cybersicherheit von Anfang an mitgedacht wird und regulatorische Anforderungen umgesetzt werden.

      app_shortcut

      Software-Stücklisten- (SBOM-), Schwachstellen- und Meldeprozessen

      Wir unterstützen beim Aufbau effizienter Prozesse für Schwachstellenmanagement, die Erfüllung von Meldepflichten sowie die Erstellung und Pflege von Software Bill of Materials (SBOM) für relevante Produkte, um Transparenz und Nachweisführung sicherzustellen.

      query_stats

      Technische Konformitätsbewertung und CE-Kennzeichnung

      Wir begleiten Sie bei internen Prüfverfahren und der Zusammenarbeit mit benannten Stellen, um die CE-Kennzeichnung für Ihre Produkte sicherzustellen und den Marktzugang zu zu unterstützen.

      Unser Mehrwert für Unternehmen

      Ganzheitliche Beratung aus einer Hand: technisch, organisatorisch und rechtlich. 

      • Tiefe regulatorische Expertise (unter anderem IEC 62443, prEN 40000, ETSI EN 303 645)
      • Praxisorientierte Lösungen für das Internet der Dinge (IoT), Industrie und Software 
      • Frühzeitige Vorbereitung zur Risikominimierung und nachhaltigen Compliance
      • Individuelle Workshops, Schulungen und Board-Briefings für Ihr Team

      Performance & Strategy – Strategische Umsetzung des Cyber Resilience Act

      Die Anforderungen des Cyber Resilience Act betreffen nicht nur Technologie, sondern auch Organisation, Prozesse und Governance. Wir unterstützen Unternehmen dabei, CRA-Anforderungen strategisch zu verankern und effizient in bestehende Strukturen der Produktentwicklung und -steuerung zu integrieren.

      Unsere Leistungen im Bereich Performance & Strategy umfassen:

      • CRA-Gap-Analyse und Reifegradbewertung

        Wir analysieren den aktuellen Umsetzungsstand im Vergleich zu den CRA-Anforderungen, identifizieren Handlungsfelder und priorisieren Maßnahmen entlang von Risiko, Aufwand und Wirkung.

      • Integration von Security-by-Design in Organisation und Prozesse

        Wir unterstützen bei der Verankerung von Security-by-Design und CRA-Vorgaben in Governance-Strukturen, Entwicklungsmodellen und Entscheidungsprozessen – über reine technische Maßnahmen hinaus.

      • Effiziente und skalierbare Umsetzung

        Wir gestalten CRA-konforme Prozesse so, dass sie sich effizient in bestehende Abläufe integrieren lassen und auch bei wachsenden Produktportfolios und internationalen Strukturen skalierbar bleiben.

      Interessiert an unseren Services? Kontaktieren Sie uns

      Rechtliche Beratung zum CRA durch KPMG Law *

      • Rechtliche Rollen- und Pflichtenanalyse im CRA-Kontext
        Unsere spezialisierten Rechtsanwält:innen ordnen Ihr Unternehmen und Ihre Produkte rechtlich im CRA-Regime ein und leiten daraus konkrete Pflichten ab.
      • Governance, Verantwortlichkeiten und Organhaftung
        Wir übertragen die CRA-Vorgaben in klare Verantwortlichkeiten und Berichtslinien für Geschäftsführung, Produktmanagement, IT und Security – inklusive Bewertung von Organhaftungsrisiken.
      • Vertragsgestaltung in der Lieferkette und regulatorische Absicherung
        Wir gestalten und prüfen Verträge entlang der Lieferkette, um CRA-Pflichten, SBOM-, Update- und Supportpflichten sowie Haftung und Freistellung rechtssicher zu regeln.
      • Rechtliche Ausgestaltung von Meldepflichten und Incident-Kommunikation
        Wir definieren gesetzliche Meldepflichten, erstellen Vorlagen für Behörden- und Kundenkommunikation und unterstützen bei der Incident-Response.
      • Dokumentation, Nachweise und Audits
        Wir bereiten Konformitätsunterlagen für Marktüberwachungsbehörden auf und begleiten Sie bei Prüfungen und Audits.

      ServiceNow für Risiko-, Schwachstellen- und Compliance-Management

      ServiceNow für Risiko-, Schwachstellen- und Compliance-Management

      ServiceNow vereint alle relevanten Funktionen – von Risikomanagement über Schwachstellenmanagement bis hin zu Compliance und Reporting – in einer zentralen Plattform.

      Automatisierte Workflows für Meldepflichten und Konformitätsprozesse

      Digitale Workflows ermöglichen die effiziente Steuerung von Meldepflichten, Konformitätsbewertungen und Incident Response. So werden Prozesse nachvollziehbar und revisionssicher dokumentiert.

      Integration bestehender IT- und Security-Systeme sowie SBOM-Unterstützung

      ServiceNow lässt sich nahtlos in bestehende IT- und Security-Systeme integrieren und unterstützt die Erstellung und Pflege von SBOMs. KI-gestützte Analysen helfen, Risiken frühzeitig zu erkennen und zu priorisieren.

      Mehr zu KPMG & ServiceNow

      Compliance & Governance

      Aufbau von CRA-Governance, Rollen- und Verantwortlichkeitsmodellen

      Wir unterstützen Sie bei der klaren organisatorischen Verankerung der CRA-Anforderungen – von der Definition eindeutiger Rollen und Entscheidungswege bis zur Verzahnung von Engineering, IT-Security, Legal und Management. So schaffen Sie belastbare Governance-Strukturen und reduzieren Haftungs- und Eskalationsrisiken.

      Regulatorisches Zusammenspiel und nachhaltige Betriebsmodelle


      Wir helfen Ihnen, den Cyber Resilience Act konsistent mit angrenzenden EU-Digitalregulierungen (z. B. NIS2, AI-Act, Data Act) umzusetzen. Ziel ist ein integriertes Zielbetriebsmodell mit effizienten Prozessen, klaren Schnittstellen und einer skalierbaren Struktur für den laufenden Betrieb und künftige regulatorische Erweiterungen.

      Management-Reporting, KPIs und Steuerungsmechanismen

      Wir entwickeln aussagekräftige Steuerungs- und Berichtskonzepte für das Management – inklusive KPIs, Entscheidungsgrundlagen und Eskalationslogiken. Damit wird CRA-Compliance transparent, steuerbar und in bestehende Governance- und Risikostrukturen integriert.

      Ihre Ansprechperson

      Andrzej Wozniczka
      Andrzej Wozniczka

      Partner, Consulting - Cyber Security

      KPMG AG Wirtschaftsprüfungsgesellschaft

      * Die Rechtsdienstleistungen werden durch die KPMG Law Rechtsanwaltsgesellschaft erbracht.