CRA vs. ISO 27001: Die Compliance-Lücken, die Ihr ISMS nicht abdeckt

ISO 27001 deckt nicht den CRA ab. Dieser Leitfaden zeigt genau, wo Ihr ISMS hilft, wo es fehlt, und was Sie vor der Frist 2027 noch brauchen.

CRA Evidence Team Veröffentlicht 12. Januar 2026 Aktualisiert 30. Mai 2026
Titelbild zum Leitfaden CRA vs. ISO 27001: Lücken zwischen ISMS und Produkt-Compliance
In diesem Artikel

Wenn Ihr Unternehmen ISO 27001 zertifiziert ist, könnten Sie annehmen, dass Sie für den Cyberresilienz-Verordnung (CRA) gut aufgestellt sind. Das sind Sie nicht. Zumindest nicht ohne erhebliche zusätzliche Arbeit.

ISO 27001 schützt die Informationswerte Ihrer Organisation. Der Cyberresilienz-Verordnung (Verordnung (EU) 2024/2847) verlangt, dass jedes Produkt mit digitalen Elementen, das Sie auf dem EU-Markt in Verkehr bringen, von Grund auf sicher ist, mit einem Software Bill of Materials (SBOM) ausgeliefert wird und für seine erwartete Lebensdauer mit Sicherheitsupdates versorgt wird. Das sind produktbezogene Pflichten, keine organisatorischen. Bei Nichteinhaltung drohen Bußgelder von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes (Art. 64). Siehe den Leitfaden zu CRA-Strafen und Durchsetzung.

Die Meldepflichten nach Art. 14 beginnen am 11. September 2026. Die vollständige Compliance ist bis zum 11. Dezember 2027 erforderlich. Siehe den vollständigen CRA-Implementierungszeitplan.

Dieser Leitfaden zu ISO 27001 vs. CRA zeigt genau, wo Ihr ISMS hilft, wo es nicht ausreicht, und was Sie ergänzen müssen.

Zusammenfassung

  • ISO 27001 = organisatorisches Sicherheitsmanagement
  • CRA = Produktanforderungen an die Cybersicherheit (Anhang I, Verordnung (EU) 2024/2847)
  • ISO 27001 entspricht NICHT der CRA-Compliance
  • ISO 27001 bildet eine Grundlage für sichere Entwicklungsprozesse
  • CRA verlangt produktspezifische Nachweise: SBOM, Schwachstellenbehandlung, CE-Kennzeichnung
  • Beide zusammen = starke Gesamtsicherheitslage
15 Mio. EUR
Höchstbußgeld
oder 2,5 % des weltweiten Jahresumsatzes
11. Sep. 2026
Meldung nach Art. 14
Schwachstellenpflichten beginnen
11. Dez. 2027
Volle CRA-Anwendung
Konformitätsbewertung erforderlich
5 Jahre
Mindest-Supportzeitraum
oder erwartete Produktlebensdauer (Art. 13(8))

Quelle: Verordnung (EU) 2024/2847, Artikel 13, 14 und 64.

Was deckt ISO 27001 ab und was verlangt der CRA?

Was ISO 27001 abdeckt

ISO 27001 ist ein Standard für Informationssicherheits-Managementsysteme (ISMS) mit Kontrollen auf Organisationsebene.

Kontrollen auf Organisationsebene
  • Informationssicherheitsrichtlinien
  • Asset-Management
  • Zugangskontrolle zu Systemen und Daten
  • Kryptografieeinsatz
  • Physische, Betriebs- und Kommunikationssicherheit
  • Lieferantenbeziehungen
  • Vorfallsmanagement
  • Geschäftskontinuität
  • Compliance-Management

Fokus: Schutz der Informationswerte Ihrer Organisation.

Was der CRA abdeckt

Der CRA ist eine Produktverordnung mit Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Anhang I).

Anforderungen auf Produktebene
  • Security-by-Design bei Produkten
  • Keine bekannten ausnutzbaren Schwachstellen
  • Sichere Standardkonfiguration
  • Schutz vor unbefugtem Zugriff im Produkt
  • Produktbezogener Datenschutz und Update-Fähigkeit
  • Schwachstellenbehandlung und ENISA-Meldung
  • SBOM für Produktkomponenten (Anhang I, Teil II(1))
  • Richtlinie zur koordinierten Offenlegung von Schwachstellen (Anhang I, Teil II(5))
  • Öffentlicher Kontakt für Schwachstellen (Anhang I, Teil II(6))
  • CE-Kennzeichnung und Konformitätsbewertung

Fokus: Sicherstellen, dass die von Ihnen verkauften Produkte sicher sind.

Der CRA klassifiziert Produkte in Kategorien: Standard, Wichtige Klasse I, Wichtige Klasse II und Kritisch (Anhang III und IV). Jede Kategorie hat unterschiedliche Anforderungen an die Konformitätsbewertung. Ein Produkt der Wichtigen Klasse II erfordert eine obligatorische Drittparteiprüfung durch eine notifizierte Stelle, unabhängig von Ihrem ISO 27001-Zertifizierungsstatus. Siehe den Leitfaden zur CRA-Produktklassifizierung.

Der grundlegende Unterschied

ISO 27001 vs. CRA: Diagramm der Sicherheitsabdeckungsschichten mit drei gestapelten Ebenen, organisatorische Sicherheit abgedeckt durch ISO 27001, gemeinsame Entwicklungsprozesse und Produktsicherheit gefordert durch CRA

ISO 27001 vs. CRA GELTUNGSBEREICH

ISO 27001:
"Wie verwaltet Ihre ORGANISATION die Sicherheit?"
+---------------------------------------------+
| Ihr Unternehmen                             |
| +---------+ +---------+ +---------+         |
| | Systeme | |  Daten  | | Personal|         |
| \---------+ \---------+ \---------+         |
| +---------+ +---------+ +---------+         |
| |Prozesse | | Netzwerk| | Gebäude |         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

CRA:
"Wie sicher sind die PRODUKTE, die Sie verkaufen?"
+---------------------------------------------+
| Ihre Produkte (an Kunden verkauft)          |
| +---------+ +---------+ +---------+         |
| |Produkt A| |Produkt B| |Produkt C|         |
| \---------+ \---------+ \---------+         |
|                                             |
| Jedes Produkt muss die CRA-Anforderungen    |
| erfüllen                                    |
\---------------------------------------------+

Wo ISO 27001 beim CRA hilft und wo es nicht ausreicht

Wo ISO 27001 beim CRA hilft

CRA-Anforderung ISO 27001-Unterstützung Wie es hilft
Sichere Entwicklung A.8.25-28 (Sichere Entwicklung) Prozessgrundlage
Schwachstellenbehandlung A.8.8 (Technische Schwachstellen) Organisatorischer Prozess
Vorfallsreaktion A.5.24-26 (Vorfallsmanagement) Reaktionsfähigkeit
Lieferantenmanagement A.5.19-22 (Lieferantenbeziehungen) Lieferkettensicherheit
Zugangskontrolle A.5.15-18, A.8.2-5 Sicherheit der Entwicklungsumgebung
Kryptografie A.8.24 (Kryptografie) Grundlage der Kryptografierichtlinie
Dokumentation A.5.1 (Richtlinien), 7.5 (Dokumentierte Informationen) Dokumentationskultur
Risikobewertung 6.1 (Risikobewertung) Risikomethodik

Wo ISO 27001 nicht ausreicht

CRA-Anforderung ISO 27001-Lücke Was fehlt
SBOM Teilweise: A.8.26/A.8.28 decken Komponentenbewusstsein ab, nicht das maschinenlesbare SBOM-Format Maschinenlesbares SBOM, mind. Abhängigkeiten der obersten Ebene (Anhang I, Teil II(1); kein Format vorgeschrieben; CycloneDX/SPDX praktisch; Art. 13(24) zukünftige Befugnis)
CE-Kennzeichnung Nicht abgedeckt Konformitätsbewertungsprozess
Produktsicherheitstests Begrenzt Produktspezifische Testnachweise für technische Unterlagen
Secure by Default Kein Produktfokus Produktkonfigurationsanforderungen
Supportzeitraum Nicht abgedeckt Mindestens 5 Jahre oder erwartete Produktlebensdauer, falls kürzer (Art. 13(8))
ENISA-Meldung Nicht abgedeckt 24h/72h-Benachrichtigung und Abschlussbericht an nationales CSIRT über Single Reporting Platform (Art. 14)
CVD-Richtlinie Nicht abgedeckt Dokumentierte Richtlinie zur koordinierten Offenlegung von Schwachstellen (Anhang I, Teil II(5))
Öffentlicher Schwachstellenkontakt Nicht abgedeckt Einzige Anlaufstelle für Schwachstellenmeldungen, z. B. security.txt (Anhang I, Teil II(6))
Benutzerdokumentation Begrenzt Sicherheitsanweisungen für das Produkt
Technische Unterlagen Nicht abgedeckt CRA-Dokumentationsformat gemäß Anhang VII

Zusammenfassung der Lückenanalyse

Starke Grundlage (ISO 27001 hilft erheblich):

  • Sicherheitskultur und Sicherheitsbewusstsein
  • Risikomanagementsystematik
  • Vorfallsreaktionsfähigkeit
  • Lieferantensicherheitsmanagement
  • Richtlinien für den sicheren Entwicklungszyklus
  • Zugangskontrollrahmen
  • Dokumentationspraktiken

Teilweise Abdeckung (ISO 27001 hilft, reicht aber nicht aus):

  • Schwachstellenmanagement (Organisationsbereich vs. Produktbereich)
  • Kryptografie (Richtlinie vs. Produktimplementierung)
  • Sicherheitstests (Unternehmenssysteme vs. Produkttests)
  • Änderungsmanagement (IT-Änderung vs. Produktmodifikation)
  • SBOM (Komponentenbewusstsein in A.8.26/A.8.28 vs. maschinenlesbares SBOM-Format)

Lücken (CRA-spezifisch, nicht durch ISO 27001 abgedeckt):

  • SBOM-Generierung und SBOM-Pflege in einem standardisierten Format
  • Produktkonformitätsbewertung
  • CE-Kennzeichnungsprozess
  • Schwachstellenmeldung an nationales CSIRT über Single Reporting Platform (Art. 14)
  • Produktspezifische technische Unterlagen (Anhang VII)
  • Supportzeitraum-Zusage (Art. 13(8))
  • Überprüfung der sicheren Standardkonfiguration
  • Anforderungen an den Produktaktualisierungsmechanismus
  • Richtlinie zur koordinierten Offenlegung von Schwachstellen (Anhang I, Teil II(5))
  • Öffentlicher Kontakt für Schwachstellenmeldungen (Anhang I, Teil II(6))

Wie Sie ISO 27001 für den CRA nutzen

Ihr ISMS als Grundlage verwenden

Wenn Sie ISO 27001 zertifiziert sind, haben Sie eine starke Basis, auf der Sie aufbauen können. Der Schlüssel liegt darin, bestehende Prozesse auf Produktpflichten auszuweiten, statt von vorne anzufangen.

Bestehende Prozesse erweitern:

ISO 27001-Prozess CRA-Erweiterung
Risikobewertung (6.1) Produktrisikobewertung
Schwachstellenmgmt. (A.8.8) Produktschwachstellenbehandlung und CSIRT-Meldung
Lieferantenmgmt. (A.5.19-22) SBOM-Erfassung von Lieferanten
Vorfallsmgmt. (A.5.24-26) CSIRT-Meldung gemäß Art. 14
Sichere Entwicklung (A.8.25-28) Produktsicherheitstests und technische Unterlagen

Neue Prozesse hinzufügen:

Neuer Prozess Zweck
SBOM-Generierung Komponentenverfolgung gemäß Anhang I, Teil II(1)
Konformitätsbewertung CE-Kennzeichnung
Produkttechnische Unterlagen Regulatorische Dokumentation gemäß Anhang VII
Supportzeitraum-Management Zusage gemäß Art. 13(8)
ENISA-Meldeverfahren Schwachstellenbenachrichtigung über nationales CSIRT
CVD-Richtlinie Koordinierte Offenlegung gemäß Anhang I, Teil II(5)

Praktische Integrationsschritte

Schritt 1: Bereichserweiterung

  • Produktsicherheit zum ISMS-Geltungsbereich hinzufügen
  • Produktentwicklung in die Risikobewertung einbeziehen
  • Asset-Inventar auf Produktkomponenten ausweiten

Schritt 2: Prozessaktualisierungen

  • Schwachstellenverfahren für die Produktmeldung an das nationale CSIRT über die Single Reporting Platform aktualisieren
  • SBOM in das Änderungsmanagement aufnehmen
  • Den Rhythmus aus 24h-Frühwarnung, 72h-Erstmeldung und Abschlussbericht in den Vorfallsreaktionsprozess einbinden

Schritt 3: Dokumentationsergänzungen

  • Produkttechnische Unterlagen
  • SBOM-Nachweise
  • Konformitätsbewertungsnachweise
  • Dokumentation zum Supportzeitraum

Schritt 4: Rollen und Verantwortlichkeiten

  • Produktsicherheitsverantwortung zuweisen
  • CSIRT-Meldeverantwortung definieren
  • SBOM-Pflegeverantwortung festlegen
  • CVD-Richtlinienverantwortung zuweisen

ISO 27001 Anhang A-Kontrollen und CRA

Relevanteste Kontrollen

Kontrolle Rolle in ISO 27001 CRA-Verwendung
A.8.25 Sicherer Entwicklungszyklus

Rolle in ISO 27001Richtlinien für die sichere Entwicklung.

CRA-VerwendungGrundlage für Produktsicherheitsanforderungen (Anhang I, Teil I).

A.8.26 Anwendungssicherheitsanforderungen

Rolle in ISO 27001Sicherheitsanforderungen in der Entwicklung.

CRA-VerwendungBasis für grundlegende Produktanforderungen; teilweise Grundlage für das SBOM-Komponenteninventar.

A.8.27 Sichere Systemarchitektur

Rolle in ISO 27001Prinzipien sicherer Architektur.

CRA-VerwendungProduktsicherheitsarchitektur.

A.8.28 Sicheres Coden

Rolle in ISO 27001Sichere Programmierpraktiken einschließlich Abhängigkeitsverfolgung.

CRA-VerwendungProduktcodesicherheit; teilweise Grundlage für SBOM-Komponentenbewusstsein.

A.8.8 Management technischer Schwachstellen

Rolle in ISO 27001Organisatorische Schwachstellenbehandlung.

CRA-VerwendungAuf Produktschwachstellen und Meldung an nationales CSIRT über die Single Reporting Platform ausweiten (Art. 14).

A.5.19-22 Lieferantenbeziehungen

Rolle in ISO 27001Lieferantensicherheitsmanagement.

CRA-VerwendungSBOM-Erfassung von Lieferanten und Lieferkettensicherheit.

Kontrollimplementierung für CRA

ERWEITERUNG DER ISO 27001-KONTROLLEN FÜR CRA

A.8.8 ERWEITERUNG DES SCHWACHSTELLENMANAGEMENTS:

ISO 27001-Anforderung:
"Informationen über technische Schwachstellen der
verwendeten Informationssysteme sollen eingeholt werden..."

CRA-Erweiterung (Art. 14):
- Schwachstellen in IHREN PRODUKTEN überwachen
- Prozess für Kundenbenachrichtigung pflegen
- An nationales CSIRT über Single Reporting Platform melden:
  24h Frühwarnung, 72h Erstmeldung,
  14-tägiger Abschlussbericht (aktiver Exploit) oder
  1-monatiger Abschlussbericht (schwerwiegender Vorfall)
- Schwachstellenstatus pro Produkt verfolgen
- Optional: VEX-Dokument oder gleichwertigen Anwendbarkeitsnachweis erstellen

A.8.25-28 ERWEITERUNG DER SICHEREN ENTWICKLUNG:

ISO 27001-Anforderung:
"Regeln für die Entwicklung von Software und Systemen
sollen festgelegt und angewendet werden..."

CRA-Erweiterung:
- SBOM-Generierung in den Build-Prozess einbinden (Anhang I, Teil II(1))
- "Secure by Default"-Konfiguration überprüfen
- Produktsicherheitsanforderungen testen
- Für technische Unterlagen dokumentieren (Anhang VII)
- Nachweise für die Konformitätsbewertung pflegen

Gilt die ISO 27001-Zertifizierung als CRA-Konformitätsbewertung?

Deckt die ISO 27001-Zertifizierung die CRA-Compliance ab?

Wichtiges Verständnis:

  • ISO 27001-Zertifizierung zeigt organisatorische Sicherheitsreife
  • CRA-Compliance ist eine produktbezogene regulatorische Anforderung
  • Eine ISO 27001-Zertifizierung befreit nicht vom CRA
  • ISO 27001-Auditoren beurteilen keine CRA-Compliance

Die Meldepflichten nach Art. 14 beginnen am 11. September 2026. Die vollständige Compliance ist bis zum 11. Dezember 2027 erforderlich. Bei Nichteinhaltung drohen Bußgelder von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes (Art. 64).

ISO 27001 im CRA-Kontext verwenden

WIE MAN ISO 27001 IN DER CRA-DOKUMENTATION REFERENZIERT

IN TECHNISCHEN UNTERLAGEN:
"[Unternehmen] unterhält ein nach ISO/IEC 27001:2022
zertifiziertes Informationssicherheits-Managementsystem
(Zertifikat Nr. XXX, ausgestellt von [Zertifizierungsstelle]).

Das ISMS bildet die organisatorische Grundlage für
die Produktsicherheit, einschließlich:
- Sicherer Entwicklungszyklus (A.8.25-28)
- Schwachstellenmanagementprozess (A.8.8)
- Lieferantensicherheitsanforderungen (A.5.19-22)

Die produktspezifische CRA-Compliance ist in diesen
technischen Unterlagen dokumentiert und baut auf
diesen ISMS-Kontrollen auf."

WAS DAS ZEIGT:
- Reife des Sicherheitsmanagements
- Prozessgrundlage vorhanden
- Kein Ersatz für Produktnachweise

Audit-Synergien

ISO 27001-Überwachungsaudit:

  • Jährliche Bewertung des ISMS
  • Kann den Produktsicherheitsbereich einschließen
  • Nachweise für CRA wiederverwendbar

CRA-Konformitätsbewertung:

  • Produktspezifische Bewertung
  • Verweist auf ISMS für Prozessnachweise
  • Benötigt zusätzliche Produktnachweise

Synergiemöglichkeiten:

  • Audit-Zeitpläne abstimmen
  • Nachweise wo möglich wiederverwenden
  • Integrierter Managementsystemansatz
  • Einziges Dokumentationsrepository

Drei typische ISO 27001 + CRA-Szenarien

Szenario 1 ISO 27001 zertifiziert, CRA-Einstieg

Nutzen Sie das ISMS als Prozessnachweis. Behandeln Sie das Zertifikat nicht als Produktkonformitätsnachweis.

Aus ISO 27001 nutzen

Risikomethodik, Lieferantenmanagement, Vorfallsreaktion und Governance sicherer Entwicklung.

CRA-spezifische Nachweise

Produktklassifizierung, SBOM-Generierung, Meldung nach Art. 14 und technische Unterlagen nach Anhang VII.

Entscheidungsregel: ISMS-Kontrollen nur dort wiederverwenden, wo sie Nachweise auf Produktebene erzeugen.

Szenario 2 Kein ISO 27001, CRA-Annäherung

Priorisieren Sie die Verordnung mit fester Frist. Bauen Sie ISO-27001-Disziplin darum herum auf, statt Produktarbeit zu verzögern.

Fristdaten

Die Meldung nach Art. 14 beginnt am 11. September 2026. Die volle CRA-Anwendung beginnt am 11. Dezember 2027.

CRA zuerst

Klassifizierung, SBOM, technische Unterlagen, CVD-Richtlinie, öffentlicher Kontakt und Meldeworkflow.

Entscheidungsregel: mit den regulatorischen Produktpflichten beginnen und das Betriebsmodell danach Richtung ISO 27001 reifen lassen. Siehe den CRA-Leitfaden für Startups.

Szenario 3 Mehrere Produkte, zentrales ISMS

Zentralisieren Sie gemeinsame Kontrollen, halten Sie Konformitätsnachweise aber je Produktfamilie getrennt.

Zentralisieren

Risikomethode, Schwachstellenbehandlung, Lieferantenanforderungen und Entwicklungsstandards.

Pro Produkt halten

Technische Unterlagen, SBOM, Konformitätsroute, Supportzeitraum und Release-Nachweise.

Entscheidungsregel: ein gemeinsames Produktsicherheitsverfahren, ein Nachweisregister pro Produktfamilie.

So integrieren Sie den CRA in Ihr bestehendes ISMS

Governance-Modell

INTEGRIERTES GOVERNANCE-MODELL

ORGANISATIONSEBENE (ISO 27001):
+---------------------------------------------+
| Informationssicherheits-Managementsystem    |
|                                             |
| - Sicherheitsrichtlinien                    |
| - Risikomanagementrahmen                    |
| - Sicherheitsorganisation                   |
| - Bewusstsein und Schulung                  |
\---------------------------------------------+
            |
            v
PRODUKTEBENE (CRA):
+---------------------------------------------+
| Produktsicherheits-Compliance               |
|                                             |
| +---------+ +---------+ +---------+         |
| |Produkt A| |Produkt B| |Produkt C|         |
| |- Techn. | |- Techn. | |- Techn. |         |
| |  Unter- | |  Unter- | |  Unter- |         |
| |  lagen  | |  lagen  | |  lagen  |         |
| |- SBOM   | |- SBOM   | |- SBOM   |         |
| |- DoC    | |- DoC    | |- DoC    |         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

Dokumentationsstruktur

INTEGRIERTE DOKUMENTATION

ISMS-DOKUMENTATION (ISO 27001):
+-- Informationssicherheitsrichtlinie
+-- Risikobewertungsverfahren
+-- Anwendbarkeitserklärung
+-- Richtlinie für sichere Entwicklung
+-- Schwachstellenmanagementverfahren
+-- Vorfallsreaktionsverfahren
\-- Lieferantensicherheitsrichtlinie

CRA-DOKUMENTATION (Pro Produkt):
+-- Produkttechnische Unterlagen (Anhang VII)
|   +-- Produktbeschreibung
|   +-- Risikobewertung
|   +-- Sicherheitsarchitektur
|   +-- Testberichte
|   \-- SBOM
+-- EU-Konformitätserklärung
+-- Benutzerdokumentation
\-- Supportzeitraum-Erklärung

QUERVERWEISE:
- Technische Unterlagen verweisen auf ISMS-Verfahren
- ISMS-Verfahren beinhalten CRA-Anforderungen
- Aufzeichnungen werden 10 Jahre oder den Supportzeitraum
  aufbewahrt, je nachdem was länger ist (Art. 23(2))

ISO 27001 zu CRA Integrations-Workstreams

Produktumfang und Klassifizierung

Ziel

Entscheiden, welche Produkte im CRA-Geltungsbereich liegen und welche Stufe gilt.

Ergebnis

Klassifizierungsdatensatz pro Produktfamilie.

Nachweis

Begründung nach Anhang III/IV und Konformitätsroute.

Produktsicherheits-Risikomodell

Ziel

Die ISMS-Risikomethode auf Missbrauchsfälle und Lebenszyklusrisiken von Produkten ausweiten.

Ergebnis

Produktrisikobewertung.

Nachweis

Zuordnung zu Anforderungen aus CRA Anhang I.

SBOM und Lieferantennachweise

Ziel

Komponententransparenz für jedes Produktrelease wiederholbar machen.

Ergebnis

SBOM-Prozess und Anforderungen an Lieferanten-Intake.

Nachweis

Anhang I, Teil II(1), Art. 13(5), A.5.19-22 und releasebezogene SBOM-Datensätze.

Schwachstellenbehandlung und Meldung

Ziel

ISO-Schwachstellenmanagement mit CRA-Produktmeldungen verbinden.

Ergebnis

CVD-Richtlinie, öffentlicher Kontakt und CSIRT-Melde-Runbook.

Nachweis

Anhang I, Teil II(5) und (6), Zuständigkeit für Art. 14 und Meldefristen.

Technische Unterlagen und Konformitätsroute

Ziel

Prozessreife in produktspezifische Konformitätsnachweise übersetzen.

Ergebnis

Technische Unterlagen nach Anhang VII, EU-Konformitätserklärung und Modulentscheidung.

Nachweis

Sicherheitsarchitektur, Testberichte, Supportzeitraum und Konformitätsbewertungsdatensatz.

Verantwortung und Schulung

Ziel

Produktkonformität operativ verankern, nicht als einmaliges Projekt behandeln.

Ergebnis

Benannte Verantwortliche und Teamschulung.

Nachweis

Verantwortungstabelle, Schulungsnachweise und interne Auditkadenz.

Häufig gestellte Fragen

Befreit eine ISO 27001-Zertifizierung ein Unternehmen von der CRA-Konformitätsbewertung?

Nein. Die ISO 27001-Zertifizierung belegt die organisatorische Reife im Bereich Informationssicherheit, sie ersetzt jedoch nicht die CRA-Konformitätsbewertung. Der CRA verlangt produktbezogene Nachweise: SBOM, technische Unterlagen, Konformitätserklärung und, wo anwendbar, eine Bewertung durch eine notifizierte Stelle. Ein Zertifizierer, der Ihr ISMS prüft, beurteilt keine CRA-Konformität. Siehe CRA-Konformitätsbewertungsrouten.

Welche ISO 27001 Anhang-A-Kontrollen sind am direktesten für CRA Anhang I relevant?

Die Kontrollen mit den meisten Überschneidungen sind A.8.25-28 (sicherer Entwicklungszyklus), A.8.8 (Management technischer Schwachstellen) und A.5.19-22 (Lieferantenbeziehungen). Diese decken die CRA-Anforderungen zu Secure-by-Design, Schwachstellenbehandlung und SBOM-Lieferkettenvorgaben ab. A.8.8 muss erweitert werden, um die Meldepflicht für Produktschwachstellen an das nationale CSIRT über die ENISA Single Reporting Platform abzudecken (Art. 14).

Können ISO 27001-Auditnachweise in CRA-technischen Unterlagen wiederverwendet werden?

Ja, selektiv. Nachweise aus Ihrem ISMS zu sicherer Entwicklung (A.8.25-28), Schwachstellenmanagement (A.8.8) und Lieferantenkontrollen (A.5.19-22) können in den technischen Unterlagen referenziert werden. Die technischen Unterlagen erfordern jedoch auch produktspezifische Nachweise, einschließlich Sicherheitsarchitektur, Testberichte, SBOM und Supportzeitraum-Dokumentation, die ISO 27001-Audits nicht erzeugen.

Ist ISO 27001:2022 besser auf den CRA abgestimmt als ISO 27001:2013?

Ja. ISO 27001:2022 hat Kontrollen hinzugefügt, die für den CRA relevanter sind, insbesondere A.8.25-28 (sicherer Entwicklungszyklus, Anwendungssicherheitsanforderungen, sichere Architektur, sicheres Coden). Die 2013er Version wies in diesen Bereichen eine schwächere Abdeckung auf. Wer noch die 2013er Version verwendet, sollte speziell für CRA-Zwecke eine Lückenanalyse gegenüber den 2022er Kontrollen durchführen.

Deckt ISO 27001 die CRA-SBOM-Anforderung ab?

Teilweise. A.8.26 (Anwendungssicherheitsanforderungen) und A.8.28 (sicheres Coden) enthalten Konzepte zur Komponentenbewusstheit und Abhängigkeitsverfolgung. ISO 27001 verlangt jedoch kein maschinenlesbares SBOM, das mindestens die Abhängigkeiten der obersten Ebene abdeckt, wie es der CRA vorschreibt (Anhang I, Teil II(1)). Der CRA benennt kein Pflichtformat; CycloneDX und SPDX sind gängige, praktische Optionen; Art. 13(24) erlaubt der Kommission, Format und Elemente künftig zu spezifizieren. Das organisatorische Bewusstsein ist eine Grundlage, kein Ersatz.

Lässt sich die CRA-Compliance-Arbeit in ein laufendes ISO 27001-Programm integrieren?

Ja, und das ist der empfohlene Ansatz für bereits zertifizierte Unternehmen. Erweitern Sie den ISMS-Geltungsbereich um Produktsicherheit, fügen Sie produktspezifische Verfahren für SBOM und CSIRT-Meldungen hinzu und referenzieren Sie ISMS-Nachweise in Ihren CRA-technischen Unterlagen. Der Schlüssel liegt im Ergänzen statt Duplizieren: CRA-Nachweise gehören in die technischen Unterlagen, nicht in die Anwendbarkeitserklärung des ISMS.

Nächste Schritte

Was im nächsten Quartal zu tun ist

  1. Führen Sie eine Lückenanalyse Ihrer ISMS-Anhang-A-Kontrollen gegenüber CRA Anhang I durch. Beginnen Sie mit A.8.8, A.8.25-28 und A.5.19-22. Diese tragen den Großteil der Last.
  2. Klassifizieren Sie jedes Produkt nach Anhang III und IV. Der Konformitätsbewertungspfad hängt davon ab, nicht von Ihrem ISO 27001-Zertifizierungsstatus.
  3. Erweitern Sie die Geltungsbereichserklärung Ihres ISMS um die Produktsicherheit. Aktualisieren Sie die Anwendbarkeitserklärung, damit Produktpflichten für Auditoren sichtbar sind.
  4. Nehmen Sie die SBOM-Generierung (Anhang I, Teil II(1)) in Ihr Änderungsmanagement auf. CycloneDX oder SPDX, maschinenlesbar, an jeden Release gekoppelt.
  5. Erstellen oder aktualisieren Sie das CSIRT-Meldeverfahren für Art. 14: 24h-Frühwarnung, 72h-Erstmeldung, Abschlussbericht innerhalb von 14 Tagen oder 1 Monat je nach Vorfallstyp. Siehe den Leitfaden zur Single Reporting Platform.
  6. Benennen Sie eine verantwortliche Person für Produktsicherheit und eine für die CVD-Richtlinie (Anhang I, Teil II(5) und (6)). Das darf nicht im diffusen „Security-Team" hängen bleiben.
  7. Planen Sie ein kombiniertes internes Audit, das sowohl die ISO 27001-Überwachung als auch die Bereitschaft der technischen Unterlagen nach CRA abdeckt. Nutzen Sie Nachweise dort, wo sie passen, mehrfach.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich bitte an qualifizierte Rechtsexperten.

CRA Sicherheitsstandards Compliance
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
View full CRA compliance guide