Unterstützung für Hersteller

Unterstützung für Hersteller

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) stellt Hersteller von Produkten mit digitalen Elementen vor neue, verbindliche Pflichten. Insbesondere für wichtige und kritische Produkte mit digitalen Elementen gelten umfassende Anforderungen an Cybersicherheit, Risikomanagement, technische Dokumentation sowie Meldeprozesse bei Schwachstellen und Sicherheitsvorfällen.

Wir unterstützen Hersteller gezielt bei der vollständigen, prüfungssicheren und marktfähigen Umsetzung der Herstellerpflichten gemäß Artikel 13 und Artikel 14 CRA – über den gesamten Produktlebenszyklus hinweg.

Regulatorische Anforderungen an Hersteller nach Artikel 13 CRA

Artikel 13 CRA verpflichtet Hersteller, ihre Produkte cybersicher zu entwerfen, zu entwickeln und bereitzustellen. Dies umfasst unter anderem:

  • Cybersecurity by design und by default
    Sichere Architektur, sichere Voreinstellungen und ein dokumentierter Secure Development Lifecycle (SDLC)
  • Produktspezifisches Cyber-Risikomanagement
    Identifikation, Bewertung und Minimierung von Risiken über den gesamten Lebenszyklus
  • Schwachstellenmanagement
    Prozesse zur Erkennung, Behandlung und Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure)
  • Sicherheitsupdates und Supportpflichten
    Regelmäßige Updates, klare Supportzeiträume und transparente Nutzerinformation
  • Technische Dokumentation und Nachweisführung
    Vollständige, nachvollziehbare und marktüberwachungsfeste Dokumentation

Wir übersetzen diese gesetzlichen Anforderungen in konkrete, operative Prozesse, abgestimmt auf Ihr Produktportfolio und Ihre Organisationsstruktur.

Umsetzung der Meldepflichten nach Artikel 14 CRA

Neben den präventiven Pflichten regelt Artikel 14 CRA die verpflichtende Meldung von aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen.

Unsere Unterstützung umfasst:

  • Einrichtung klarer Melde- und Entscheidungsprozesse
  • Klassifikation meldepflichtiger Ereignisse
  • Einhaltung der gesetzlichen Fristen (24h / 72h / Abschlussmeldung)
  • Erstellung standardisierter Meldetemplates
  • Aufbau eines revisionssicheren Incident- und Vulnerability-Logs

So stellen wir sicher, dass Hersteller ihren Meldepflichten fristgerecht, korrekt und haftungsminimierend nachkommen.

Wichtige und kritische Produkte mit digitalen Elementen

Für wichtige und insbesondere kritische Produkte gelten erhöhte Anforderungen, unter anderem:

  • Verpflichtende Konformitätsbewertung
  • Erhöhte Nachweispflichten gegenüber Marktüberwachungsbehörden
  • Größere Haftungs- und Sanktionsrisiken

Wir begleiten Hersteller gezielt bei der Vorbereitung auf Konformitätsbewertungen, der Strukturierung von Nachweisen sowie der Abstimmung mit benannten Stellen.

Ihr Mehrwert

  • Klare Ausrichtung auf Herstellerpflichten nach CRA
  • Fokus auf wichtige und kritische Produkte
  • Prüfungs-, aufsichts- und marktüberwachungsgeeignete Umsetzung
  • Keine abstrakte Beratung, sondern konkrete, umsetzbare Lösungen
  • Minimale Doppelarbeit mit bestehenden ISMS-, QMS- oder Secure-Development-Strukturen