CRA- & IEC-62443-Readiness

Der Cyber Resilience Act macht Cybersicherheit zur Voraussetzung für die CE-Kennzeichnung jedes Produkts mit digitalen Elementen. Ich mache vernetzte Maschinen und Geräte konformitätsbereit — ohne dass Sie ein vollständiges Produktsicherheits-Team aufbauen müssen.

Der Termin ist real

Ab Dezember 2027 muss jedes in der EU verkaufte Produkt mit digitalen Elementen die grundlegenden Cybersicherheitsanforderungen des Cyber Resilience Act erfüllen, um die CE-Kennzeichnung tragen zu dürfen. Für einen mittelständischen Maschinenbauer oder Hersteller vernetzter Produkte ist das eine neue Konformitätspflicht zusätzlich zur Maschinen- und EMV-Richtlinie, die Sie ohnehin bedienen — und sie reicht bis hinunter in Ihre Firmware, Ihren Update-Mechanismus und Ihren Schwachstellen-Prozess.

Zu groß, um es zu ignorieren; zu klein, um dafür ein komplettes Produktsicherheits-Team vorzuhalten. Genau diese Lücke fülle ich.


Wo ich helfe

CRA-Gap-Assessment

Eine konkrete, klauselweise Bestandsaufnahme, wo Produkt und Prozesse gegenüber den grundlegenden CRA-Anforderungen stehen — und ein priorisierter, realistischer Plan, die Lücken zu schließen, bevor sie Ihre CE-Kennzeichnung blockieren.

Secure-by-Design-Architektur (IEC 62443)

IEC 62443 ist das praktische Rückgrat, um den CRA bei industriellen und vernetzten Produkten zu erfüllen. Ich härte Ihre Produktarchitektur — Vertrauensgrenzen, sichere Kommunikation, Least Privilege, Secure Boot und Update — entlang der Teile von 62443-4-1 und 62443-4-2, die für Sie wirklich gelten.

Schwachstellen-Handling & PSIRT

Der CRA verlangt, dass Sie Schwachstellen über den gesamten Supportzeitraum handhaben: koordinierte Offenlegung, zeitnahe Sicherheitsupdates und Meldung aktiv ausgenutzter Schwachstellen. Ich richte einen passend dimensionierten Prozess ein — ohne Bürokratie, die Sie nicht durchhalten.

SBOM & sichere Updates

Eine Software-Stückliste (SBOM), die Sie tatsächlich aktuell halten können, und ein sicherer Update-Weg, der einem Audit standhält. Beides ist unter dem CRA nicht verhandelbar — und beides ist unkompliziert, sobald die Architektur es trägt.

Technische Dokumentation

Die Konformitätsakte, die alles zusammenhält — Risikobewertung, Design-Begründung und Nachweise — so strukturiert, dass sie ein Assessment übersteht, statt in letzter Minute zusammengesucht zu werden.


Warum ich

Ich ordne Sie nicht nur Klauseln zu. Ich breche seit fünfzehn Jahren eingebettete Geräte auf und halte Zertifizierungen zur funktionalen Maschinensicherheit (CMSE®/CEFS). Deshalb bringe ich die neuen Sicherheitsanforderungen des CRA mit dem Safety-Case in Einklang, den Sie bereits haben — statt Security dort anzuschrauben, wo sie Ihrer Sicherheitsargumentation widerspricht. Maschinenbauer in Heilbronn-Franken bekommen das vor Ort, auf Deutsch.

CRA-Readiness-Review buchen