IT-Security
CRA-Readiness
CRA-konform werden, bevor die Frist es erzwingt
Der EU Cyber Resilience Act betrifft jeden Hersteller digitaler Produkte – von der Embedded-Software über SaaS bis zum vernetzten Gerät. Ab Dezember 2027 gelten verbindliche Anforderungen an sichere Entwicklung, Schwachstellenbehandlung und Produktdokumentation. Bei Nichterfüllung drohen Bußgelder von bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes.
Wir machen Ihr Unternehmen schrittweise CRA-ready – ohne abstraktes Gutachten, ohne 200-seitige PDF. In einem kompakten Workshop direkt mit Ihrem Entwicklungsteam klären wir, was der CRA für Ihren Stack bedeutet, ermitteln in einer Bestandsaufnahme die echten Lücken und etablieren einen Secure Development Lifecycle, der zu Ihrer Realität passt. Ergebnis ist eine priorisierte Maßnahmenliste – umsetzbar, nachvollziehbar, prüfungssicher.
- Sicherheits-by-Design Anforderungen Erfüllt
- SBOM & Komponenten-Inventar Erfüllt
- Vulnerability Disclosure Policy In Arbeit
- Secure Development Lifecycle In Arbeit
- Incident Reporting an ENISA (24 h) Offen
- Technische Dokumentation Offen
Die Realität
Der CRA ist kein Compliance-Projekt — sondern eine Produktentscheidung
Viele Hersteller behandeln den Cyber Resilience Act wie eine Datenschutzerklärung: ein juristisches Dokument, das man kurz vor Frist ergänzt. Das geht in diesem Fall nicht. Der CRA fordert Security-by-Design über den gesamten Produktlebenszyklus – belegbar in Code, Prozessen und Dokumentation.
Wer erst 2027 anfängt, wird seine Architektur nicht mehr rechtzeitig anpassen können. SBOMs, Coordinated Vulnerability Disclosure, sichere Default-Konfigurationen und kontinuierliche Schwachstellenbehandlung müssen in die Entwicklungs-Pipeline integriert sein – nicht in einen Compliance-Ordner.
Der Aufwand ist beherrschbar, wenn Entwicklungsteams früh wissen, was zu tun ist. Genau hier setzen wir an.
15 Mio. €
90 %
Unklare Betroffenheit
„Gilt das überhaupt für uns?" Embedded, SaaS, B2B-Software, Komponenten-Lieferanten – die Abgrenzung ist nicht trivial. Wer falsch einschätzt, übersieht Pflichten oder überreguliert.
Kein Secure Development Lifecycle
Sichere Anforderungen, Threat Modeling, automatisierte Sicherheitstests – in vielen Teams entsteht Security ad hoc statt strukturiert. Der CRA verlangt einen dokumentierten Prozess, nicht guten Willen.
Kein SBOM, keine Disclosure-Policy
Ein vollständiges Komponenten-Inventar (SBOM) und ein Prozess zur Behandlung gemeldeter Schwachstellen werden Pflicht. Wer beides nicht aufsetzt, kann keine CE-Kennzeichnung für CRA-pflichtige Produkte tragen.
So funktioniert es
In fünf Schritten von der Lücke zur Umsetzung
Jeder Schritt liefert ein verwertbares Ergebnis – kein Gutachten, sondern Material, mit dem Ihr Team weiterarbeitet.
Was wir liefern
Umsetzbarer Fahrplan.
Kein Gutachten.
CRA-Anforderungen im Klartext
Wir übersetzen Annex I, II, III & IV in Sprache, die Entwicklerinnen und Entwickler verstehen.
SBOM-Strategie
Erzeugung im Build, Pflege im Repository, Bereitstellung im Lieferprozess – konkret, nicht theoretisch.
Vulnerability Disclosure
Aufbau eines CVD-Prozesses, der Meldungen aus der Community strukturiert verarbeitet.
Incident-Reporting-Workflow
24-Stunden-Frist an ENISA – wir bauen den Workflow auf, bevor der erste Vorfall ihn erzwingt.
Anschluss an ISO 27001 & NIS2
Wer bereits ISMS-Strukturen hat, nutzt sie für den CRA mit – wir zeigen, wo Doppelarbeit vermeidbar ist.
Begleitung in der Umsetzung
Auf Wunsch arbeiten unsere Experten direkt im Team mit – als Verstärkung, nicht als externer Wasserkopf.
Unsere Pentest-Leistungen
Der richtige Test für Ihr Szenario
CRA-Workshop
Kompakter Halbtages- oder Tagesworkshop für Entwicklungs- und Produktteams: Anforderungen, Betroffenheit, Konsequenzen für den Alltag – mit konkreten Beispielen aus Ihrer Branche.
Inhouse · ½ – 1 Tag · Entwicklung & Produkt
CRA Gap-Analyse
Strukturierte Bestandsaufnahme entlang der CRA-Pflichten: Wo steht das Unternehmen heute, wo sind die größten Lücken – inkl. Risiko- und Aufwandsbewertung je Maßnahme.
Code · Prozesse · Dokumentation
Secure Coding Training
Praxisnahe Schulung sicherer Entwicklungspraktiken direkt am eigenen Stack: OWASP Top 10, Threat Modeling, Secrets-Handling, Dependency Hygiene – mit Hands-on-Übungen an realem Code.
Java · .NET · JavaScript · Python · Embedded
SDLC-Aufbau
Wir verankern einen Secure Development Lifecycle in Ihrer Realität: Anforderungs-Phase, Design Reviews, automatisierte Sicherheitstests, sichere Releases. Kein Standardprozess von der Stange.
Threat Modeling · SAST/DAST · Release Gates
SBOM & Lieferkette
Aufbau einer SBOM-Erzeugung im Build-Prozess (CycloneDX, SPDX), Integration in CI/CD und kontinuierliche Überwachung auf neu bekannte Schwachstellen Ihrer Komponenten.
CycloneDX · SPDX · CI/CD-Integration
Vulnerability Handling
Aufbau einer Coordinated Vulnerability Disclosure Policy, Prozessen zur Behandlung gemeldeter Schwachstellen und des 24-Stunden-Incident-Reportings an ENISA.
CVD · ENISA-Meldung · Patch-Workflow
Warum BREDEX
Berater, die selbst entwickeln
Aus der Softwareentwicklung, nicht aus dem Audit
Seit 1987 bauen wir Software für regulierte Branchen – wir kennen den Unterschied zwischen Compliance-Theater und einem Sprint, der wirklich abgeschlossen wird.
Workshop statt Folien-Vortrag
Wir arbeiten mit Ihrem Team am eigenen Code, nicht an einem fiktiven Beispiel. So entsteht Verständnis, nicht nur Anwesenheit.
Verbindung zu NIS2, ISO 27001, BSI-Grundschutz
Wir behandeln den CRA nicht isoliert, sondern verknüpfen ihn mit bestehenden Compliance-Frameworks – damit Sie nicht zweimal arbeiten.
Vom Workshop bis zur Umsetzung
Wir liefern nicht nur die Analyse – auf Wunsch begleiten unsere Entwicklerinnen und Entwickler die Umsetzung direkt im Team. Aus einem Plan wird gelieferter Code.
Nächster Schritt
Bereit, den CRA
vor 2027 zu meistern?
Wir zeigen Ihnen in einem 20-minütigen Gespräch, wie ein CRA-Readiness-Projekt in Ihrer Umgebung aussehen kann – ohne Verkaufsdruck.