Der CRA macht Cybersicherheit zur Bedingung für die CE-Kennzeichnung. Rizzqo verankert den Nachweis dort, wo Sie entwickeln und ausliefern.
Der Cyber Resilience Act unterwirft jedes Produkt mit digitalen Elementen grundlegenden Anforderungen – Security by Design, keine bekannten ausnutzbaren Schwachstellen und Schwachstellenbehandlung über einen festgelegten Unterstützungszeitraum. Rizzqo macht daraus Konformität, die Sie belegen können – laufend bereitgehalten, während Sie entwickeln, statt vor der Bewertung rekonstruiert.
Produkte mit digitalen Elementen
Der CRA gilt für Produkte mit digitalen Elementen – jede Hardware oder Software, die auf dem EU-Markt bereitgestellt wird und deren bestimmungsgemäße Verwendung eine Datenverbindung umfasst. Der Konformitätsaufwand richtet sich nach dem Risiko: Für die meisten Produkte genügt die Selbstbewertung des Herstellers, wichtige und kritische Produkte durchlaufen eine Bewertung durch Dritte. Wählen Sie eine Klasse, um zu sehen, was sie für Sie bedeutet.
Wichtige & kritische Produkte
Bewertung durch Dritte oder Zertifizierung
Produkte, deren Kernfunktion sicherheitsrelevant ist – gelistet in Anhang III (wichtig, Klasse I und II) und Anhang IV (kritisch). Je höher die Klasse, desto unabhängiger fällt die Konformitätsbewertung aus.
- Passwortmanager, VPNs, Firewalls, Netzwerk- und Identitätsverwaltung
- Klasse II und kritische Produkte benötigen eine benannte Stelle oder Zertifizierung
- Smart-Meter-Gateways, Hardware-Sicherheitsmodule und Smartcards sind kritisch
- Dieselben grundlegenden Anforderungen – nachgewiesen mit höherer Prüftiefe
Standardprodukte
Selbstbewertung durch den Hersteller
Die große Mehrheit der Produkte mit digitalen Elementen. Der Hersteller bewertet die Konformität selbst, erstellt die technische Dokumentation und bringt die CE-Kennzeichnung an.
- Die meisten vernetzten Produkte und Softwarelösungen für Verbraucher und Unternehmen
- Selbstbewertung anhand der grundlegenden Anforderungen aus Anhang I
- Technische Dokumentation, SBOM und eine EU-Konformitätserklärung
- CE-Kennzeichnung, sobald die grundlegenden Anforderungen erfüllt und belegt sind
Erfasste Produkte
Am klarsten lässt sich der CRA in zwei Gruppen fassen: Standardprodukte bewerten die Hersteller selbst anhand der grundlegenden Anforderungen; für wichtige und kritische Produkte liegt die Messlatte gleich hoch, hinzu kommt jedoch eine unabhängige Konformitätsbewertung oder Zertifizierung. Produkte, die bereits sektoralen Regeln unterliegen – Medizinprodukte, Fahrzeuge, Luftfahrt –, sind ausgenommen.
Standardprodukte
Die große Mehrheit – Selbstbewertung anhand der grundlegenden Anforderungen.
Wichtige & kritische Produkte
Sicherheitsrelevante Produkte mit unabhängiger Bewertung oder Zertifizierung.
Was Security by Design bedeuten muss
Anhang I legt die grundlegenden Anforderungen fest: Produktsicherheitseigenschaften in Teil I, Schwachstellenbehandlung in Teil II. Jedes Produkt muss danach ausgeliefert und gepflegt werden. Mit Rizzqo weisen Sie die Konformität zu jeder davon nach, statt sie nur zu behaupten.
Security by Design & Default
Produkte werden mit einem angemessenen Cybersicherheitsniveau und einer sicheren Standardkonfiguration entworfen, entwickelt und ausgeliefert.
Keine bekannten Lücken
Produkte kommen ohne bekannte ausnutzbare Schwachstellen auf den Markt – mit einem sicheren Zustand als Rückfallebene.
Vertraulichkeit & Verschlüsselung
Die Vertraulichkeit gespeicherter, übertragener und verarbeiteter Daten schützen – wo relevant mit Verschlüsselung nach dem Stand der Technik.
Integritätsschutz
Die Integrität gespeicherter, übertragener und verarbeiteter Daten, Befehle, Konfiguration und des Produktcodes schützen.
Datenminimierung
Nur Daten verarbeiten, die für die bestimmungsgemäße Verwendung angemessen, erheblich und auf das Notwendige beschränkt sind.
Verfügbarkeit & Resilienz
Die Verfügbarkeit wesentlicher Funktionen und die Widerstandsfähigkeit gegen Denial-of-Service schützen, auch bei vernetzten Geräten.
Minimierte Angriffsfläche
Angriffsflächen einschließlich externer Schnittstellen begrenzen und Gegenmaßnahmen einbauen, um die Folgen eines Vorfalls zu mindern.
Sicherheitsprotokollierung
Relevante interne Aktivitäten aufzeichnen und überwachen, einschließlich Zugriff auf und Änderung von Daten und Funktionen.
Sichere Updates
Sicherheitsupdates bereitstellen – wo möglich automatisch –, die sich über den gesamten Unterstützungszeitraum zeitnah installieren lassen.
Schwachstellenbehandlung
Eine SBOM pflegen, eine Richtlinie zur koordinierten Offenlegung vorhalten und über den gesamten Unterstützungszeitraum zeitnah kostenlose Sicherheitsupdates bereitstellen.
Eine aktiv ausgenutzte Lücke setzt die 24-Stunden-Frist zur Meldung an ENISA in Gang
Bei einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall sieht der CRA eine gestaffelte Meldung an das koordinierende CSIRT und ENISA vor. Mit Rizzqo halten Sie jede Stufe fristgerecht ein – die betroffenen Produkte und Nachweise sind bereits zur Hand.
Erkennen & bestätigen
Kenntnis von einer aktiv ausgenutzten Schwachstelle im Produkt oder einem schwerwiegenden sicherheitsrelevanten Vorfall erlangen und die Auswirkungen bestätigen.
Frühwarnung
Innerhalb von 24 Stunden nach Kenntnis eine Frühwarnung an das koordinierende CSIRT und ENISA über die zentrale Meldeplattform.
Schwachstellenmeldung
Innerhalb von 72 Stunden eine umfassendere Meldung mit der Art der Lücke, ihrer Schwere und etwaigen ergriffenen Korrektur- oder Gegenmaßnahmen.
Abschlussbericht
Sobald eine Korrekturmaßnahme verfügbar ist – spätestens jedoch 14 Tage danach – ein Abschlussbericht, der die Schwachstelle und ihre Behebung beschreibt.
An den Produkten und Komponenten, die Sie ausliefern
Die grundlegenden Anforderungen gehören ans Produkt, nicht in einen Ordner. Bei Rizzqo bleibt jede verantwortet, verfolgt und mit Nachweisen belegt, während Sie entwickeln – so entsteht die Konformitätsakte von selbst.
Anforderungen direkt an realen Produkten
Der CRA setzt an den Produkten und Komponenten an, die Sie tatsächlich ausliefern – nicht an einer generischen Checkliste. So bildet Ihr Anwendungsbereich Ihr reales Produkt ab, keine Papierübung.
- An Ihren realen Produkten verankert
- Ein Anwendungsbereich, den Sie belegen können
- Risiken monetär beziffert statt als Ampelfarbe
Klare Verantwortung, Nachweise für die Akte
Jede Anforderung hat eine klar benannte verantwortliche Person, und die Nachweise wachsen mit, während die Teams entwickeln – so bleibt die technische Dokumentation konformitätsbereit, statt kurz vor der Bewertung rekonstruiert zu werden.
- Klare Verantwortung, nichts bleibt offen
- Nachweise, die aktuell bleiben, statt zu veralten
- Technische Dokumentation und SBOM bereit für die Bewertung
Ein Meldeprozess gegen die Uhr
Wird eine Schwachstelle aktiv ausgenutzt, läuft die Artikel-14-Uhr. Rizzqo hält die Stufen 24 Stunden, 72 Stunden und 14 Tage sowie die betroffenen Produkte im Blick – so wird jeder Bericht aus dem zusammengestellt, was Sie bereits haben, statt unter Druck improvisiert.
- Fristen 24h, 72h und 14 Tage nie verpasst
- Betroffene Produkte von Anfang an im Blick
- Jede Stufe zusammengestellt, nicht improvisiert
Sichere Entwicklung leisten Sie längst – Rizzqo rechnet sie an
Sichere Entwicklung, Zugriffskontrolle, Verschlüsselung, Schwachstellenmanagement – der CRA stützt sich auf Praktiken, die ein ISO-27001-ISMS ohnehin verlangt. Rizzqo rechnet diese Arbeit auf denselben Assets für den CRA an, sodass nur die wirklich produktspezifischen Pflichten übrig bleiben: Auslieferung mit sicheren Standardeinstellungen, eine SBOM, Updates über den Unterstützungszeitraum und die CE-Konformität.
CRA-konform ausliefern, mit eingebautem Nachweis.
Machen Sie die grundlegenden Anforderungen aus Anhang I zu belegbarer Konformität an Ihren realen Produkten – gerüstet für die Artikel-14-Uhr, bevor sie losläuft.
Häufige Fragen zum CRA
Der CRA gilt für Produkte mit digitalen Elementen – Hardware und Software, die auf dem EU-Markt bereitgestellt werden und deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung umfasst. Das erfasst die meisten vernetzten Geräte und Softwareprodukte, vom Verbraucher-IoT über Geschäftsanwendungen bis zu Betriebssystemen. Ausgenommen sind Produkte, die bereits sektoralen Regeln unterliegen – Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge, zivile Luftfahrt und Schiffsausrüstung –, ebenso nichtkommerzielle Open-Source-Software. Rizzqo hilft Ihnen, Ihre Produkte der Verordnung zuzuordnen, sodass der Anwendungsbereich auf Nachweisen beruht statt auf Vermutungen.
Alle Produkte müssen dieselben grundlegenden Anforderungen aus Anhang I erfüllen; der Unterschied liegt darin, wie die Konformität geprüft wird. Standardprodukte – die große Mehrheit – bewertet der Hersteller selbst. Wichtige Produkte nach Anhang III (Klasse I und II) stützen sich auf harmonisierte Normen oder binden eine benannte Stelle ein, kritische Produkte nach Anhang IV können eine europäische Cybersicherheitszertifizierung erfordern. Rizzqo verfolgt die Anforderungen für jede Klasse auf dieselbe Weise und stellt lediglich höhere Ansprüche an die Nachweise, wo eine unabhängige Bewertung greift.
Bei einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall mit Auswirkungen auf die Sicherheit eines Produkts sieht Artikel 14 eine gestaffelte Meldung an das koordinierende CSIRT und ENISA über eine zentrale Meldeplattform vor: eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis, eine umfassendere Meldung innerhalb von 72 Stunden und einen Abschlussbericht, sobald eine Korrekturmaßnahme verfügbar ist, spätestens jedoch 14 Tage danach. Mit Rizzqo halten Sie jede Stufe fristgerecht ein – die betroffenen Produkte und Nachweise sind bereits zur Hand.
Der CRA ist im Dezember 2024 in Kraft getreten; die Pflichten greifen gestaffelt. Die Meldepflichten für Schwachstellen und Vorfälle nach Artikel 14 gelten ab dem 11. September 2026, der volle Pflichtenkatalog – grundlegende Anforderungen, Konformitätsbewertung und CE-Kennzeichnung – ab dem 11. Dezember 2027. Mit Rizzqo setzen Sie das Framework schon heute auf und verfolgen den Fortschritt mit Blick auf diese Stichtage – so halten Sie die Fristen mit belastbaren Nachweisen ein, statt in letzter Minute zu improvisieren.
Ja. Der CRA stützt sich auf Praktiken, die ISO 27001 ohnehin verlangt – sichere Entwicklung, Zugriffskontrolle, Kryptografie und Schwachstellenmanagement –, sodass ein Informationssicherheits-Managementsystem bereits einen erheblichen Teil der Anforderungen abdeckt. In Rizzqo laufen beide Frameworks auf denselben Assets: Eine für ISO 27001 nachgewiesene Kontrolle zählt sofort auch für den CRA. Offen bleiben nur die wirklich produktspezifischen Anforderungen – Auslieferung mit sicheren Standardeinstellungen, SBOM, Updates über den Unterstützungszeitraum und die CE-Konformität.