Verordnung (EU) 2024/2847

Der CRA macht Cybersicherheit zur Bedingung für die CE-Kennzeichnung. Rizzqo verankert den Nachweis dort, wo Sie entwickeln und ausliefern.

Der Cyber Resilience Act unterwirft jedes Produkt mit digitalen Elementen grundlegenden Anforderungen – Security by Design, keine bekannten ausnutzbaren Schwachstellen und Schwachstellenbehandlung über einen festgelegten Unterstützungszeitraum. Rizzqo macht daraus Konformität, die Sie belegen können – laufend bereitgehalten, während Sie entwickeln, statt vor der Bewertung rekonstruiert.

24hFrühwarnung bei aktiv ausgenutzter Schwachstelle
5 JahreMindest-Unterstützungszeitraum für Sicherheitsupdates
Dez. 2027sämtliche Pflichten ab dem 11. Dezember
Was unter den CRA fällt

Produkte mit digitalen Elementen

Der CRA gilt für Produkte mit digitalen Elementen – jede Hardware oder Software, die auf dem EU-Markt bereitgestellt wird und deren bestimmungsgemäße Verwendung eine Datenverbindung umfasst. Der Konformitätsaufwand richtet sich nach dem Risiko: Für die meisten Produkte genügt die Selbstbewertung des Herstellers, wichtige und kritische Produkte durchlaufen eine Bewertung durch Dritte. Wählen Sie eine Klasse, um zu sehen, was sie für Sie bedeutet.

Höhere Prüftiefe

Wichtige & kritische Produkte

Bewertung durch Dritte oder Zertifizierung

Produkte, deren Kernfunktion sicherheitsrelevant ist – gelistet in Anhang III (wichtig, Klasse I und II) und Anhang IV (kritisch). Je höher die Klasse, desto unabhängiger fällt die Konformitätsbewertung aus.

Was diese Klasse bedeutet
  • Passwortmanager, VPNs, Firewalls, Netzwerk- und Identitätsverwaltung
  • Klasse II und kritische Produkte benötigen eine benannte Stelle oder Zertifizierung
  • Smart-Meter-Gateways, Hardware-Sicherheitsmodule und Smartcards sind kritisch
  • Dieselben grundlegenden Anforderungen – nachgewiesen mit höherer Prüftiefe

Erfasste Produkte

Am klarsten lässt sich der CRA in zwei Gruppen fassen: Standardprodukte bewerten die Hersteller selbst anhand der grundlegenden Anforderungen; für wichtige und kritische Produkte liegt die Messlatte gleich hoch, hinzu kommt jedoch eine unabhängige Konformitätsbewertung oder Zertifizierung. Produkte, die bereits sektoralen Regeln unterliegen – Medizinprodukte, Fahrzeuge, Luftfahrt –, sind ausgenommen.

Standardprodukte

Die große Mehrheit – Selbstbewertung anhand der grundlegenden Anforderungen.

Vernetzte VerbrauchergeräteGeschäfts- & ProduktivitätssoftwareMobile & Desktop-AppsSmart-Home-GeräteVernetzte SensorenSpielkonsolen & MediengeräteEntwicklungswerkzeuge

Wichtige & kritische Produkte

Sicherheitsrelevante Produkte mit unabhängiger Bewertung oder Zertifizierung.

PasswortmanagerVPNs & FirewallsNetzwerkverwaltungIdentitätsverwaltungBetriebssystemeMikrocontrollerHardware-SicherheitsmoduleSmart-Meter-Gateways
Grundlegende Anforderungen aus Anhang I

Was Security by Design bedeuten muss

Anhang I legt die grundlegenden Anforderungen fest: Produktsicherheitseigenschaften in Teil I, Schwachstellenbehandlung in Teil II. Jedes Produkt muss danach ausgeliefert und gepflegt werden. Mit Rizzqo weisen Sie die Konformität zu jeder davon nach, statt sie nur zu behaupten.

Anh. I, 1

Security by Design & Default

Produkte werden mit einem angemessenen Cybersicherheitsniveau und einer sicheren Standardkonfiguration entworfen, entwickelt und ausgeliefert.

Anh. I, 2(a)

Keine bekannten Lücken

Produkte kommen ohne bekannte ausnutzbare Schwachstellen auf den Markt – mit einem sicheren Zustand als Rückfallebene.

Anh. I, 2(e)

Vertraulichkeit & Verschlüsselung

Die Vertraulichkeit gespeicherter, übertragener und verarbeiteter Daten schützen – wo relevant mit Verschlüsselung nach dem Stand der Technik.

Anh. I, 2(f)

Integritätsschutz

Die Integrität gespeicherter, übertragener und verarbeiteter Daten, Befehle, Konfiguration und des Produktcodes schützen.

Anh. I, 2(g)

Datenminimierung

Nur Daten verarbeiten, die für die bestimmungsgemäße Verwendung angemessen, erheblich und auf das Notwendige beschränkt sind.

Anh. I, 2(h)

Verfügbarkeit & Resilienz

Die Verfügbarkeit wesentlicher Funktionen und die Widerstandsfähigkeit gegen Denial-of-Service schützen, auch bei vernetzten Geräten.

Anh. I, 2(j/k)

Minimierte Angriffsfläche

Angriffsflächen einschließlich externer Schnittstellen begrenzen und Gegenmaßnahmen einbauen, um die Folgen eines Vorfalls zu mindern.

Anh. I, 2(l)

Sicherheitsprotokollierung

Relevante interne Aktivitäten aufzeichnen und überwachen, einschließlich Zugriff auf und Änderung von Daten und Funktionen.

Anh. I, 2(m)

Sichere Updates

Sicherheitsupdates bereitstellen – wo möglich automatisch –, die sich über den gesamten Unterstützungszeitraum zeitnah installieren lassen.

Anh. I, Teil II

Schwachstellenbehandlung

Eine SBOM pflegen, eine Richtlinie zur koordinierten Offenlegung vorhalten und über den gesamten Unterstützungszeitraum zeitnah kostenlose Sicherheitsupdates bereitstellen.

Meldung nach Artikel 14

Eine aktiv ausgenutzte Lücke setzt die 24-Stunden-Frist zur Meldung an ENISA in Gang

Bei einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall sieht der CRA eine gestaffelte Meldung an das koordinierende CSIRT und ENISA vor. Mit Rizzqo halten Sie jede Stufe fristgerecht ein – die betroffenen Produkte und Nachweise sind bereits zur Hand.

Bei KenntnisZuerst
Erkennung

Erkennen & bestätigen

Kenntnis von einer aktiv ausgenutzten Schwachstelle im Produkt oder einem schwerwiegenden sicherheitsrelevanten Vorfall erlangen und die Auswirkungen bestätigen.

24 StundenDann
Frühwarnung

Frühwarnung

Innerhalb von 24 Stunden nach Kenntnis eine Frühwarnung an das koordinierende CSIRT und ENISA über die zentrale Meldeplattform.

72 StundenZuletzt
Meldung

Schwachstellenmeldung

Innerhalb von 72 Stunden eine umfassendere Meldung mit der Art der Lücke, ihrer Schwere und etwaigen ergriffenen Korrektur- oder Gegenmaßnahmen.

14 TageZuletzt
Abschlussbericht

Abschlussbericht

Sobald eine Korrekturmaßnahme verfügbar ist – spätestens jedoch 14 Tage danach – ein Abschlussbericht, der die Schwachstelle und ihre Behebung beschreibt.

Der CRA – direkt an dem, was Sie ausliefern

An den Produkten und Komponenten, die Sie ausliefern

Die grundlegenden Anforderungen gehören ans Produkt, nicht in einen Ordner. Bei Rizzqo bleibt jede verantwortet, verfolgt und mit Nachweisen belegt, während Sie entwickeln – so entsteht die Konformitätsakte von selbst.

01

Anforderungen direkt an realen Produkten

Der CRA setzt an den Produkten und Komponenten an, die Sie tatsächlich ausliefern – nicht an einer generischen Checkliste. So bildet Ihr Anwendungsbereich Ihr reales Produkt ab, keine Papierübung.

  • An Ihren realen Produkten verankert
  • Ein Anwendungsbereich, den Sie belegen können
  • Risiken monetär beziffert statt als Ampelfarbe
02

Klare Verantwortung, Nachweise für die Akte

Jede Anforderung hat eine klar benannte verantwortliche Person, und die Nachweise wachsen mit, während die Teams entwickeln – so bleibt die technische Dokumentation konformitätsbereit, statt kurz vor der Bewertung rekonstruiert zu werden.

  • Klare Verantwortung, nichts bleibt offen
  • Nachweise, die aktuell bleiben, statt zu veralten
  • Technische Dokumentation und SBOM bereit für die Bewertung
03

Ein Meldeprozess gegen die Uhr

Wird eine Schwachstelle aktiv ausgenutzt, läuft die Artikel-14-Uhr. Rizzqo hält die Stufen 24 Stunden, 72 Stunden und 14 Tage sowie die betroffenen Produkte im Blick – so wird jeder Bericht aus dem zusammengestellt, was Sie bereits haben, statt unter Druck improvisiert.

  • Fristen 24h, 72h und 14 Tage nie verpasst
  • Betroffene Produkte von Anfang an im Blick
  • Jede Stufe zusammengestellt, nicht improvisiert

Sichere Entwicklung leisten Sie längst – Rizzqo rechnet sie an

Sichere Entwicklung, Zugriffskontrolle, Verschlüsselung, Schwachstellenmanagement – der CRA stützt sich auf Praktiken, die ein ISO-27001-ISMS ohnehin verlangt. Rizzqo rechnet diese Arbeit auf denselben Assets für den CRA an, sodass nur die wirklich produktspezifischen Pflichten übrig bleiben: Auslieferung mit sicheren Standardeinstellungen, eine SBOM, Updates über den Unterstützungszeitraum und die CE-Konformität.

CRA-konform ausliefern, mit eingebautem Nachweis.

Machen Sie die grundlegenden Anforderungen aus Anhang I zu belegbarer Konformität an Ihren realen Produkten – gerüstet für die Artikel-14-Uhr, bevor sie losläuft.

Grundlegende Anforderungen zugeordnetNachweis am realen ProduktBereit für die Artikel-14-Meldung

Häufige Fragen zum CRA