Ist Ihr IoT-Produkt bereit für den EU Cyber Resilience Act?

Verbindliche Cybersicherheitsanforderungen für alle vernetzten Produkte, die in der EU verkauft werden. Meldungspflichten ab 11. September 2026. Vollständige Durchsetzung ab 11. Dezember 2027.

Kostenloses CRA-Beratungsgespräch buchen →

Das Problem

Ab Dezember 2027 müssen alle Produkte mit digitalen Elementen, die in der EU verkauft werden, 22 wesentliche Cybersicherheitsanforderungen erfüllen — oder riskieren Bußgelder von bis zu 15 Mio. €.

Die meisten IoT- und Embedded-Produkte, die wir bewerten, erfüllen weniger als 20 % der Anforderungen. Die Lücke zwischen dem aktuellen Stand und den notwendigen Maßnahmen ist erheblich — und die Zeit läuft ab.

Die erste Frist rückt näher als gedacht: Ab 11. September 2026 gelten Meldungspflichten (24h Frühwarnung / 72h Vollmeldung) für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle — über die CRA-Meldeplattform und die zuständigen CSIRTs. Dafür benötigen Sie eine Infrastruktur, die die meisten Teams noch nicht haben.

Unser Angebot

CRA-Bereitschaftsanalyse

Wir bewerten Ihr Produkt gegen alle 22 wesentlichen CRA-Anforderungen und liefern einen klaren Bericht, der zeigt, wo Sie stehen und was geändert werden muss.

Sie erhalten:

  • Lückenanalyse gegen CRA Anhang I (14 Produktsicherheits- + 8 Schwachstellenmanagement-Anforderungen)
  • Firmware-Sicherheitsüberprüfung auf Codeebene (keine reine Dokumentenprüfung)
  • SBOM-Bereitschaftsbewertung
  • Risikoprioritisierter Sanierungsplan nach den zwei CRA-Fristen
  • Empfehlung zum Konformitätsbewertungsweg (Selbstbewertung vs. Drittpartei)

Über die Analyse hinaus

  • Sicherheitssanierung — signiertes OTA, Secure Boot, verschlüsselte Kommunikation, SBOM-Pipeline
  • Technische Dokumentation für die Konformitätsbewertung
  • Laufendes Schwachstellenmonitoring und Unterstützung bei der Vorfallmeldung
Kostenloses CRA-Beratungsgespräch buchen →

So funktioniert's

01

30-Min. Gespräch

Wir klären Ihr Produkt, Ihren Markt und ob der CRA auf Sie zutrifft — kostenlos, ohne Verpflichtung.

02

1–2 Wochen Assessment

Wir prüfen Ihre Firmware, Dokumentation und Prozesse gegen alle 22 CRA-Anforderungen.

03

Bericht + Roadmap + Next Steps

Klarer Statusbericht (Rot / Gelb / Grün), priorisierter Maßnahmenplan nach CRA-Fristen, konkrete nächste Schritte.

So sieht Ihr Bericht aus

CRA-Statusbericht — Musterstruktur
CRA AnforderungStatusPriorität
Secure Default Configuration
No Hard-coded Credentials
Attack Surface ReductionMittel
Encrypted CommunicationsHoch
Integrity Protection (OTA)Hoch
SBOM DocumentationMittel
Vulnerability Disclosure PolicyHoch
Security Update MechanismMittel
Konform Teilweise Nicht konform22 Anforderungen gesamt

Warum wir

Wir sind Embedded-Ingenieure, keine Compliance-Berater. Wir prüfen nicht nur Ihre Dokumentation und haken Punkte ab. Wir prüfen Ihre Firmware, Ihren Wireless-Stack, Ihre OTA-Implementierung, Ihre sdkconfig. Wir finden die echten Lücken, weil wir dieselben Systeme entwickeln wie Sie.

  • Praktische Erfahrung mit ESP-IDF, Zephyr, STM32, FreeRTOS
  • Wir bewerten echte Firmware, nicht nur Richtlinien
  • Praktische Abhilfemaßnahmen, die Sie umsetzen können — keine 100-seitigen Berichte, die verstauben

CRA Kernfakten

Gilt fürAlle Produkte mit digitalen Elementen, die in der EU verkauft werden
MeldefristAb 11.09.2026: Meldungspflichten (24h Frühwarnung / 72h Vollmeldung) bei aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen.
Vollständige Durchsetzung11. Dezember 2027
BußgelderBis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes
Anforderungen22 wesentliche Cybersicherheitsanforderungen
SBOMErforderlich / bereitzuhalten (für Lieferkettentransparenz & Schwachstellenmanagement)
SupportzeitraumMindestens 5 Jahre Sicherheitsupdates
SelbstbewertungDie meisten Produkte können Hersteller-Selbstbewertung nutzen (Ausnahmen: wichtige/kritische Produktkategorien)

Kostenloser CRA-Reality-Check (30 Min)

Buchen Sie Ihren kostenlosen CRA-Reality-Check. Wir besprechen Ihr Produkt, Ihren Markt und ob der CRA auf Sie zutrifft.

Oder per E-Mail: ros.spoliak@cybed.co