CRA Beratung

Die Gap-Analyse beinhaltet eine umfassende Bewertung der Cyber-Security-Posture Ihres Produkts. Dies inkludiert auch die Bewertung der dem Produkt zugeordneten.

Cybersicherheitsprozesse, wie z. B. des Security Testings und des Meldens von Schwachstellen.

Als Ergebnis erhalten Sie einen strukturierten Bericht mit konkretem Umsetzungsempfehlungen und einer Einschätzung zur Produktklasse Ihres Produkts.

Mit unserer Gap-Analyse erhalten Sie klare Transparenz über Ihren aktuellen CRA-Stand und wissen genau, wo Sie in der Umsetzung der Anforderungen stehen. Sie profitieren von einem präzisen Fahrplan mit priorisierten Maßnahmen, der Ihnen einen effizienten Weg zur CRAKonformität aufzeigt. Dies ermöglicht Ihnen eine realistische Ressourcenplanung und Budgetierung für die notwendigen Anpassungen. Die frühzeitige Identifikation von Schwachstellen minimiert Sicherheitsrisiken und vermeidet umfangreiche Nachbesserungen.

Wie gehen wir dabei vor?

1. Projekt-Definition: Gemeinsame Definition des Projektumfangs. Welche und wie viele Produkte brauchen eine Zertifizierung, und was ist der aktuelle Stand in Bezug auf die IT-Sicherheit?
2. Remote-/Vor-Ort-Bewertung: Analyse der Produkte hinsichtlich ihrer Sicherheit. Erfassung der aktuellen Prozesse für Aktualisierung, sowie für kontinuierliche Suche und Meldung von Schwachstellen.
3. Risikobewertung: Methodische Analyse des Risikos Ihres Produkts anhand international anerkannter Prozesse. Anschließende Eingruppierung in die passende Produktgruppe („Standard “, „Wichtig “ oder „Kritisch“).
4. Ergebnispräsentation: Vorstellung der identifizierten Lücken in einem Workshop
5. Maßnahmenplanung: Gemeinsame Entwicklung eines priorisierten Maßnahmenplans mit konkreten Handlungsempfehlungen.

Der CRA stellt eine ganze Reihe von Anforderungen an die unter ihn fallenden Produkte. Dies fängt damit an, dass dokumentiert werden muss, welche Softwarebestandteile vorhanden sind und wie diese miteinander interagieren. Außerdem muss der Nutzer umfänglich über alle für ihn relevanten ITSicherheitsaspekte aufgeklärt werden.

Ein solches, für den Nutzer möglichst leicht und mit wenig Vorwissen verständliches Dokument zu erstellen, kann herausfordernd sein. Gerne helfen wir Ihnen hierbei. Wir können Ihnen die komplette Entwicklung der Produktbeilage abnehmen oder Ihr Team bei deren Erstellung unterstützen.

Wir unterstützen Sie bei der Etablierung CRA-konformer Cybersicherheitsanforderungen und deren Realisierung. Basierend auf den CRAAnforderungen und produktspezifischen Bedrohungsszenarien identifizieren und bewerten wir systematisch die Cybersicherheitsrisiken. Wir entwickeln maßgeschneiderte Risikobehandlungsstrategien für die definierten Schutzziele und implementieren kontinuierliche Risikobewertungsprozesse.

Das strukturierte Vorgehen erfüllt die CRA-Anforderungen und bereitet Sie optimal auf das Assessment vor. Sie profitieren von reduzierten Sicherheitsvorfällen und damit verbundenen Kosten sowie von gestärktem Vertrauen bei Ihren Kunden. Die kontinuierliche Risikobewertung ermöglicht proaktive Maßnahmen gegen neue Bedrohungen.
Wie gehen wir dabei vor?

1. Kontextbestimmung: Definition des Risikomanagementumfangs und Festlegung der Risikobewertungskriterien
2. Bedrohungsanalyse: Identifikation relevanter Bedrohungen unter Berücksichtigung aktueller Threat Intelligence
3. Schwachstellenanalyse: Technische Prüfung auf Verwundbarkeiten
4. Risikobewertung: Berechnung der Risikohöhe durch Analyse von Eintrittswahrscheinlichkeit und Schadensauswirkung
5. Risikobehandlung: Entwicklung von Strategien (Vermeiden, Reduzieren, Übertragen, Akzeptieren) für identifizierte Risiken
6. Maßnahmenplanung: Erstellung eines priorisierten Maßnahmenkatalogs mit Zeit- und Ressourcenplanung
7. Implementierungsbegleitung: Unterstützung bei der Umsetzung der Risikobehandlungsmaßnahmen
8. Restrisikobewertung: Analyse der verbleibenden Risiken nach Maßnahmenumsetzung
9. Etablierung des Risikomanagement-Prozesses: Aufbau eines kontinuierlichen Überwachungs- und Review-Prozesses

Wir führen systematische interne Audits Ihres Produkts durch, um nach Schwachstellen zu überprüfen und Verbesserungspotenziale zu identifizieren. Wir überprüfen die praktische Umsetzung aller Schutzmaßnahmen entsprechend Ihrer Schutzziele. Als Ergebnis erhalten Sie detaillierte Auditberichte mit konkreten Handlungsempfehlungen und einem Maßnahmenplan zur kontinuierlichen Verbesserung der Sicherheit Ihres Produkts.

Ein Kernbestandteil des CRAs ist es, kontinuierlich über die gesamte Lebenszeit Ihres Produkts dieses auf Schwachstellen zu untersuchen. Schwachstellen müssen zeitnah durch wirksame und kostenlose Sicherheitsaktualisierungen behoben werden. Durch regelmäßiges internes Security Testing gewährleisten Sie, dass existierende Schwachstellen gefunden werden können. Sie können Schwachstellen proaktiv beheben, bevor sie zu Sicherheitsvorfällen führen. Die regelmäßigen Überprüfungen gewährleisten dauerhafte CRA-Konformität und Anpassungsfähigkeit an neue Bedrohungen. Gerne unterstützen wir Sie beim Testing selbst, aber auch bei dem Erschaffen der internen Infrastruktur für regelmäßige Tests. Auch bei dem Erschaffen eines Systems für Updates unterstützen wir Sie gerne. Hier ist es besonders wichtig, diese schon früh zu bedenken, weil ein Nachbessern oft mit hohen Kosten verbunden ist.

Wie gehen wir dabei vor?

1. Auditplanung: Abstimmung von Auditumfang, -zielen und Zeitplan
2. Eröffnungsbesprechung: Kick-off mit allen Beteiligten zur Klärung des Auditablaufs
3. Auditdurchführung: Systematische Prüfung Ihres Produkts auf Cybersicherheitsschwachstellen
4. Beweissicherung: Dokumentation aller Feststellungen mit objektiven Nachweisen
5. Abschlussbesprechung: Präsentation der vorläufigen Auditergebnisse und Klärung offener Punkte
6. Berichtserstellung: Ausarbeitung eines detaillierten Auditberichts mit Maßnahmenempfehlungen
7. Nachverfolgung: Unterstützung bei der Maßnahmenplanung und Überwachung der Umsetzung
8. Infrastrukturerstellung: Unterstützung bei der Einrichtung der Prozesse, die ein kontinuierliches Testen auf Schwachstellen sicherstellen
9. Entwürfe für Update-Prozesse: Gemeinsam arbeiten wir einen Prozess aus, welcher es ermöglicht, Ihre Kunden dauerhaft mit wirksamen Sicherheitsupdates zu versorgen
10. Wissenstransfer (optional): Schulung interner Auditoren für zukünftige eigenständige Audits

Ganz allgemein fordert der Cyber Resilience Act, dass für alle Produkte, welche auf den europäischen Markt kommen, ein angemessenes Cybersicherheitsniveau gewährleistet wird. Hierfür müssen bestimmte Mindestanforderungen, wie z. B. sichere Standardkonfigurationen oder benutzerfreundliche Opt-Out-Mechanismen, sichergestellt werden.

Idealerweise berücksichtigt man diese Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit der zu verarbeitenden Daten bereits in der Konzept- und Entwicklungsphase. Gerne unterstützen wir hier Ihre Entwicklungsteams als Security Architekt oder Security Ingenieur. Wir begleiten Ihre Mitarbeiter durch den Entwicklungsprozess und stellen sicher, dass die geforderten Schutzziele tief im Produkt verankert sind. Da man konzeptionelle Mängel gerade im Kontext der Cybersicherheit nachträglich schwer oder gar nicht mehr beheben kann, sparen Sie sich hier massiv Kosten. Ein Produkt ohne ein angemessenes Cybersicherheitsniveau wird auf dem europäischen Markt ab 2027 nicht mehr zugelassen werden.

Wir bereiten Sie umfassend auf das CRA-Assessment vor und begleiten Sie während des gesamten Prüfprozesses. Die Leistung umfasst einen Pre-Assessment-Check zur Identifikation möglicher Schwachstellen, die Optimierung kritischer Bereiche vor dem Assessment sowie die Vorbereitung aller erforderlichen Nachweise. Wir führen Probeassessments durch, um Sie auf die Prüfungssituation vorzubereiten, und schulen Ihre Mitarbeiter im Umgang mit CRA-Auditoren. Während des Assessments stehen wir als kompetenter Ansprechpartner zur Verfügung und unterstützen bei der Beantwortung von Auditorenfragen.

Durch professionelle Vorbereitung maximieren Sie Ihre Erfolgschancen für die angestrebte CRA-Konformitätsbewertung. Sie gehen selbstbewusst und gut vorbereitet in das Assessment, da alle kritischen Punkte vorab identifiziert und behoben wurden. Die Begleitung durch CRA-Experten reduziert Stress und Unsicherheit bei allen Beteiligten und gewährleistet eine optimale Darstellung Ihrer Sicherheitsmaßnahmen. Durch optimale Vorbereitung verkürzen Sie die Assessment-Dauer und minimieren die Betriebsunterbrechung. Bei Nichtkonformitäten erhalten Sie sofortige Unterstützung bei der Maßnahmenplanung.

Wie gehen wir dabei vor?

1. Readiness-Assessment: Durchführung einer finalen Überprüfung der Dokumente
2. Gap-Schließung: Gezielte Behebung identifizierter Schwachstellen und Optimierung auf das angestrebte Konformitätsbewertungsverfahren
3. Mock-Assessment: Simulation des CRA-Assessments unter realistischen Bedingungen
4. Mitarbeitervorbereitung: Coaching der Schlüsselpersonen und Durchführung von Assessment-Trainings
5. Assessment-Begleitung: Aktive Unterstützung während des gesamten Prüfprozesses als fachlicher Ansprechpartner
6. Nachbereitung: Unterstützung bei der Umsetzung von Verbesserungsmaßnahmen und Vorbereitung auf Re-Assessments

Um die Cyberresilienz der im europäischen Wirtschaftsraum vertriebenen Produkte zu erhöhen, ist es wichtig, dass Schwachstellen in Produkten frühzeitig erkannt und entsprechend behandelt werden. Der CRA hat in diesem Belangen konkrete Mindestanforderungen.

Insbesondere ist gefordert, dass alle Produkte regelmäßig auf Schwachstellen getestet werden müssen. Dieses Security Testing kann herausfordernd sein, da es sich massiv von herkömmlichem „QA-Testing“ und Testen auf funktionaler Ebene unterscheidet. Hier können wir Sie gerne unterstützen: Gerne übernehmen wir alle Testing-Aktivitäten inklusive der Dokumentation für Sie, aber wir können auch Ihre Mitarbeiter schulen und befähigen, das Testen auf Schwachstellen selbst durchzuführen.

Wenn Schwachstellen identifiziert worden sind, müssen diese schnell behoben werden. Anschließend müssen den Nutzern Ihres Produkts entsprechende Security Updates zur Verfügung gestellt werden. Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen dem CSIRT (Computer Security Incident Response Team) und auch der ENISA gemeldet werden.

Es ist gefordert, dass jeder Hersteller eine Strategie zur koordinierten Offenlegung von Schwachstellen durch Dritte anbieten muss. Wir unterstützen Sie auch in diesen Bereichen gerne durch die Ausarbeitung von Prozessen und bei der Unterstützung der Implementation.

Im CRA wird die Erhöhung der Awareness – insbesondere in Kleinstunternehmen, kleinen und mittleren Unternehmen sowie Start-ups – als eines der Ziele definiert. Nur durch ein Bewusstsein für die Gefahrenlage können Innovationen gefördert und geschützt werden. Gerne unterstützen wir Sie bei der Sensibilisierung Ihrer Mitarbeiter für das Thema IT-Sicherheit. Wir können eine ganze Bandbreite an Dienstleistungen anbieten, die individuell auf Ihre Bedürfnisse und das eventuelle Vorwissen angepasst sind.

Wie gehen wir dabei vor?

1. Bedarfsanalyse: Ermittlung des Schulungsbedarfs basierend auf Rollen, Risiken und aktuellem Wissensstand
2. Konzeptentwicklung: Erstellung eines Schulungsprogramms mit passenden Formaten und Inhalten
3. Durchführung Basisschulungen: Start mit Grundlagenschulungen für alle Mitarbeitenden und rollenspezifische Trainings
4. Sensibilisierungsprogramme: Implementierung kontinuierlicher Sensibilisierungsmaßnahmen und praktischer Übungen
5. Erfolgsmessung: Regelmäßige Wissenstests und Auswertung von Sicherheitsindikatoren
6. Optimierung: Anpassung des Programms basierend auf Feedback, neuen Bedrohungslagen oder nach Änderungen der Verordnung

Neben der allgemeinen Schulung der Mitarbeiter im Bezug auf Cyber-Security-Risiken bieten wir auch Schulungen spezifisch zum CRA an. Zum einen schulen wir Ihre Mitarbeiter über den CRA im Allgemeinen. Dabei erklären wir, welche Schritte auf sie zukommen und wie man die Konformität von Produkten zum CRA sicherstellen kann. Hier gehen wir individuell auf die Wünsche und Fragen Ihrer Angestellten ein.

Zudem ist uns bewusst, dass die praktische Umsetzung des CRAs auch einiges an technischem Verständnis sowohl über das Produkt selbst als auch über IT-Sicherheit voraussetzt. Hier unterstützen wir Ihre Mitarbeiter gerne mit technischen Schulungen in den relevanten Bereichen. Unser Portfolio ist vielfältig und reicht von Risikoanalysen über die Erstellung technischer Dokumentationen bis hin zur Vermittlung von Basiswissen in den Bereichen Security by Design, Security by Default und sichere Updates.

Die Leistung umfasst interaktive Präsenzschulungen, E-Learning-Module und Sensibilisierungsprogramme, die auf den CRA und Ihre Branchenanforderungen zugeschnitten sind. Wir vermitteln Grundlagen der Informationssicherheit, CRA-spezifisches Wissen sowie den Umgang mit Schwachstellen und dem Schwachstellenmanagement. Durch systematische CRA-Schulungen reduzieren Sie das größte Sicherheitsrisiko – den Faktor Mensch – erheblich und schützen kritische Informationen vor unbefugtem Zugriff.

Ihre Mitarbeiter werden zu aktiven Teilnehmern der Informationssicherheit und erkennen Bedrohungen frühzeitig. Die praxisnahen Trainings verbessern die Akzeptanz von CRAMaßnahmen und fördern die Sicherheitskultur in Ihrer Organisation.

Wir unterstützen Sie bei der intelligenten Verknüpfung der CRA Anforderungen mit Compliance-Anforderungen, welche sich aus anderen Standards und Regularien ergeben. Die Leistung umfasst die Analyse bestehender Standards in Ihrer Organisation und die Identifikation von Synergien zwischen dem CRA und anderen Normen und Standards wie ISO 27001, IEC 62443 oder NIS2. Wir erstellen harmonisierte Dokumentationen, die mehrere Standards gleichzeitig abdecken und dabei die besonderen Anforderungen des CRAs berücksichtigen.

Durch die Integration verschiedener Standards reduzieren Sie erheblich den Verwaltungsaufwand und vermeiden redundante Prozesse. Sie profitieren von Kosteneinsparungen durch gemeinsame Audits, einheitliche Dokumentation und geteilte Ressourcen. Die Komplexität für Ihre Mitarbeiter sinkt, da sie nicht mit verschiedenen, unabhängigen Systemen arbeiten müssen. Die integrierte Herangehensweise verbessert die Akzeptanz bei den Mitarbeitern und schafft eine ganzheitliche Sicherheitskultur, die sowohl CRA-Anforderungen als auch andere regulatorische Vorgaben abdeckt.

Wie gehen wir dabei vor?

1. Multi-Standard-Analyse: Bewertung Ihres Produktes im Bezug auf regulatorische Anforderungen im Verhältnis zum CRA
2. Synergieidentifikation: Ermittlung gemeinsamer Anforderungen
3. Integrationskonzept: Entwicklung einer Roadmap für die schrittweise Zusammenführung unter Beibehaltung der CRA Anforderungen
4. Harmonisierte Umsetzung: Erstellung integrierter Prozesse und Dokumentationen, die den CRA und andere Standards abdecken
5. Koordinierte Implementierung: Schrittweise Umsetzung der Anforderungen
6. Multi-Standard-Audit-Vorbereitung: Koordination kombinierter Assessments und Vorbereitung auf parallele Zertifizierungen

Sollte Ihr Produkt in die „Standard“-Produktklasse fallen, ist es möglich, nach Erfüllung aller CRAAnforderungen eine Konformitätsbewertung selbst durchzuführen. Das bedeutet, dass diese Prüfung von Ihnen selbst übernommen werden kann und keine Konformitätsüberprüfung durch eine dritte Partei stattfindet.

Wir unterstützen Sie gerne bei dieser internen Prüfung. Anschließend helfen wir Ihnen bei der Anfertigung der notwendigen Dokumentation. Gerne übernehmen wir auch den kompletten Prozess für Sie, sodass Sie sich ganz auf das Erfüllen der Anforderungen konzentrieren können.