Leistungen
⛔ 11.09.2026 — CRA MeldepflichtCyber Resilience Act:
Was Embedded-Systems-Hersteller jetzt tun müssen
Jede Maschine mit Firmware ist ab 11. September 2026 ein reguliertes Produkt — mit 24-Stunden-Meldepflicht bei Schwachstellen.
CRA Readiness Check anfragenWas der CRA für OEM bedeutet
Produkt mit digitalen Elementen (CRA Art. 3)
Jedes Software- oder Hardware-Produkt, das direkt oder indirekt mit einem Netzwerk oder Gerät verbunden werden kann — einschließlich Firmware, eingebettete Betriebssysteme und Fernzugriffslösungen.
Alle folgenden Systeme sind CRA-pflichtig wenn Sie sie herstellen:
Die drei Fristen
CRA-Zeitplan
10. Dezember 2024
CRA in Kraft
Prozesse anpassen beginnt jetzt
11. September 2026
Meldepflicht aktiv
24h Erstmeldung an cert.at + ENISA
11. Dezember 2027
Vollständige Anwendung
CE-Kennzeichnung · Cybersecurity Pflicht
Produktkategorie
CRA Annex II: Welche Kategorie ist Ihr Produkt?
| Kategorie | Konformitätspfad | Typische Produkte |
|---|---|---|
| Standardprodukte | Selbstbewertung (Annex IX) — kein Third-Party nötig | Einfache Sensoren, Standard-IoT-Devices |
| Wichtige Produkte Klasse I (Annex II) | Selbstbewertung ODER freiwillige Drittparteizertifizierung; ohne harmonisierte Norm: Third-Party Pflicht | Industrial Firewalls, Standard-PLCs, industrielle Router |
| ⚠ Wichtige Produkte Klasse II (Annex II) | Mandatory Third-Party Assessment | Safety Controller, Industrial Gateways mit Remote-Access, PLCs in kritischer Infrastruktur |
Anhang I
Security by Design (5 Anforderungen)
- ✅ Keine bekannten Schwachstellen bei Markteinführung
- ✅ Secure-by-Default Keine Standardpasswörter, keine offenen Ports ohne Notwendigkeit
- ✅ Minimale Angriffsfläche Nur notwendige Schnittstellen aktiviert
- ✅ Authentifizierung gegen unbefugten Zugriff
- ✅ Verschlüsselung sensibler Daten — in Übertragung und Speicherung
SBOM — Neue Pflicht nach CRA Art. 13
CRA Art. 13 verpflichtet Hersteller zur Erstellung einer SBOM (Software Bill of Materials) — ein maschinenlesbares Verzeichnis aller Software-Komponenten.
- Format: CycloneDX oder SPDX (kein PDF)
- Inhalt: Alle Komponenten inkl. Open-Source-Bibliotheken, Versionsnummern, CVE-Referenzen
- Für Legacy-Systeme: SBOM-Erstellung oft aufwändigster CRA-Schritt — Reverse Engineering der Abhängigkeiten kann nötig sein
Meldepflicht
24h-Meldepflicht-Tabelle
| Frist | Meldung | An wen (Österreich) | Inhalt |
|---|---|---|---|
| 24 Stunden | Erstmeldung (Early Warning) | cert.at / GovCERT Austria + ENISA | Kenntnis, dass Schwachstelle aktiv ausgenutzt wird |
| 72 Stunden | Ergänzende Meldung | cert.at / GovCERT Austria + ENISA | Schwere des Vorfalls, erste Einschätzung Ursache |
| 14 Tage nach Update | Abschlussbericht | cert.at / GovCERT Austria + ENISA | Vollständige Analyse, Maßnahmen, bereitgestellter Fix |
⚠
Altprodukte im Feld: Die Meldepflicht gilt ab 11.9.2026 auch für Schwachstellen in bereits ausgelieferten Geräten. Wer keine Vulnerability Disclosure Policy hat, verstößt ab dem ersten bekannten Vorfall.
IEC 62443: Die OT-Sicherheitsnorm für Ihre Steuerung
OWASP Embedded Top 10 gilt für MCU/SoC-Ebene. Für industrielle Steuerungssysteme (SPS, IPC, Safety Controller) prüfen Kunden und Marktüberwachungsbehörden nach IEC 62443-4-2:2019 (Security Level SL-C 1–4). Solvetronix begleitet Sie bei beiden Normen.
Mehr zu KI-Security & Firmware-Audit →Bußgelder
Bußgelder CRA
€ 15 Mio.
Verstoß gegen Anhang I
oder 2,5 %
€ 10 Mio.
Sonstige Verstöße
oder 2 %
€ 5 Mio.
Falsche Informationen
oder 1 %
Leistungen
Was Solvetronix liefert
- ✅ Firmware Security Audit nach OWASP Embedded Top 10 + IEC 62443-4-2
- ✅ Security-by-Design-Beratung für neue und bestehende Produkte
- ✅ Vulnerability Disclosure Policy erstellen
- ✅ OTA-Update-Architektur (signierte, sichere Firmware-Rollout-Prozesse)
- ✅ Meldeprozess für cert.at / ENISA 24h-Reporting aufbauen
- ✅ SBOM-Erstellung für neue und Legacy-Produkte (inkl. Reverse Engineering)
CRA-Readiness für Ihre Produkte?
Wir prüfen Firmware, SBOM-Status und Meldeprozess — strukturiert und umsetzbar.
CRA Readiness Check anfragen