Cyber Resilience Act: Was ist zu tun?

12.05.2026 – News

Wie unterstützen Sie, den Anforderungen gerecht zu werden

Grafik mit Text: Cyber Resilience Act – Product Life Cycle and SySS Service Mapping

Der Cyber Resilience Act (CRA) fordert einen ganzheitlichen Ansatz, um Produkte in der EU sicherer zu machen. Betroffen sind vor allem alle Hersteller von Hard- und Software sowie Importeure und Händler, die Produkte vertreiben, welche nicht schon anderweitig reguliert sind (Automobilbranche, Medizinbranche etc.). Ganzheitlich heißt hier: über den vollständigen Lebenszyklus.

Hier beantworten wir, was bei der Umsetzung des Cyber Resilience Act beachtet werden soll, und wie die SySS GmbH Sie dabei unterstützen kann.

Welche Security Best Practices müssen laut Cyber Resilience Act von Unternehmen umgesetzt werden?

Security by Design and Default: Sicherheit muss schon bei der Entwicklung eines Produkts mitgedacht werden; Produkte sollen standardmäßig mit sicheren Einstellungen ausgeliefert werden.
Risikoanalyse: Eine Risikobewertung hinsichtlich Cybersicherheit muss vor dem Inverkehrbringen durchgeführt und dokumentiert werden.
Technische Dokumentation und Software Bill of Materials (SBOM): Eine detaillierte Dokumentation inklusive einer SBOM ist zu erstellen.
Schutz vor unbefugtem Zugriff: Kontrollmechanismen wie Authentifizierung und Identitätsmanagement müssen implementiert werden.
Datenintegrität und Vertraulichkeit: Gespeicherte und übertragene Daten sind zu schützen, beispielsweise durch Verschlüsselung nach dem Stand der Technik.
Minimierung der Angriffsfläche: Produkte dürfen keine bekannten ausnutzbaren Schwachstellen aufweisen, wenn sie auf den Markt gebracht werden.
Regelmäßige Überprüfung: Hersteller sind verpflichtet, die Sicherheit ihrer Produkte regelmäßig zu testen und zu überprüfen – beispielsweise mit Pentests.
Updatepflicht: Hersteller müssen für einen festgelegten Zeitraum Sicherheitsupdates bereitstellen, um neu entdeckte Schwachstellen zu schließen.
Kontaktstelle für Meldungen: Es muss eine öffentlich zugängliche Stelle geben, über die Sicherheitsforscher oder Nutzer Schwachstellen melden können.
Meldepflicht bei Angriffen: Wenn eine aktiv ausgenutzte Sicherheitslücke entdeckt wird, muss der Hersteller diese an die Behörden melden.

Wie kann die SySS GmbH mit ihren Dienstleistungen passgenau bei der Umsetzung des Cyber Resilience Act unterstützen?

Grafik: Cyber Resilience Act – Product Life Cycle and Service Mapping

Threat Analysis and Risk Assessment (TARA): Wir bieten Workshops zu Risikomanagement, helfen bei der Erstellung einer Bedrohungs- und Risikoanalyse (TARA) und verifizieren, ob Prioritäten und gewählte Mitigationsstrategien realistisch sind.
Security by Design: In Workshops und Reviews bearbeiten wir Security-Konzepte – natürlich auch in praktischer Ausrichtung und mit technischer Tiefe rund um Themen wie Kryptografie.
Secure Development: Mit Code-Reviews überprüfen wir, ob Security Best Practices eingehalten wurden und Fehler in der Implementation erkennbar sind.
Testing: Unsere Penetrationstests decken Fehler in Produkten auf. Dabei geht es nicht nur um Schwachstellen, mit denen ein System kompromittiert werden kann, sondern auch um konfigurative Schwächen oder fehlerhaften Umgang mit Credentials.
Threat Monitoring, Vulnerability Management und mehr: Falls Systeme von Schwachstellen betroffen sind, müssen diese ausgebessert werden. Hierzu müssen Verantwortlichkeiten geklärt und Prozesse entwickelt und gelebt werden. Dazu unterstützen wir gerne mit unserer Expertise.