CRA vs. ISO 27001: Wie Ihr ISMS die Produkt-Sicherheits-Compliance unterstützt

Viele Hersteller haben bereits eine ISO 27001-Zertifizierung für ihr Informationssicherheits-Managementsystem. Hilft das bei der CRA-Compliance? Die kurze Antwort: Ja, aber es reicht nicht aus. ISO 27001 konzentriert sich auf organisatorische Sicherheit, während sich der CRA auf Produktsicherheit konzentriert. Sie ergänzen sich, ersetzen sich aber nicht gegenseitig.

Dieser Leitfaden erklärt die Beziehung zwischen ISO 27001 und CRA.

Die unterschiedlichen Geltungsbereiche verstehen

Was ISO 27001 abdeckt

ISO 27001 ist ein Standard für Informationssicherheits-Managementsysteme (ISMS), der abdeckt:

Kontrollen auf Organisationsebene:

• Informationssicherheitsrichtlinien
• Asset-Management
• Zugangskontrolle (zu Systemen und Daten)
• Kryptografie-Nutzung
• Physische Sicherheit
• Betriebssicherheit
• Kommunikationssicherheit
• Lieferantenbeziehungen
• Incident-Management
• Business Continuity
• Compliance-Management

Fokus: Schutz der Informationswerte Ihrer Organisation

Was der CRA abdeckt

Der CRA ist eine Produktverordnung, die abdeckt:

Anforderungen auf Produktebene:

• Security-by-Design in Produkten
• Keine bekannten ausnutzbaren Schwachstellen
• Sichere Standardkonfiguration
• Schutz vor unbefugtem Zugriff (im Produkt)
• Datenschutz (durch das Produkt)
• Update-Fähigkeit (des Produkts)
• Schwachstellenbehandlung (für das Produkt)
• SBOM für Produktkomponenten
• CE-Kennzeichnung und Konformitätsbewertung

Fokus: Sicherstellen, dass verkaufte Produkte sicher sind

Der fundamentale Unterschied

ISO 27001 vs. CRA GELTUNGSBEREICH

ISO 27001:
"Wie verwaltet Ihre ORGANISATION Sicherheit?"
┌─────────────────────────────────────────────┐
│ Ihr Unternehmen                             │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ Systeme │ │ Daten   │ │Menschen │        │
│ └─────────┘ └─────────┘ └─────────┘        │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Prozesse │ │Netzwerk │ │Gebäude  │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

CRA:
"Wie sicher sind die PRODUKTE, die Sie verkaufen?"
┌─────────────────────────────────────────────┐
│ Ihre Produkte (an Kunden verkauft)          │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Produkt A│ │Produkt B│ │Produkt C│        │
│ └─────────┘ └─────────┘ └─────────┘        │
│                                             │
│ Jedes Produkt muss CRA-Anforderungen erfüllen│
└─────────────────────────────────────────────┘

Detaillierte Anforderungszuordnung

Wo ISO 27001 dem CRA hilft

Wo ISO 27001 nicht ausreicht

Zusammenfassung der Lückenanalyse

ISO 27001 → CRA LÜCKENANALYSE

STARKE GRUNDLAGE (ISO 27001 hilft erheblich):
✓ Sicherheitskultur und Bewusstsein
✓ Risikomanagement-Methodik
✓ Incident-Response-Fähigkeit
✓ Lieferanten-Sicherheitsmanagement
✓ Richtlinien für sicheren Entwicklungslebenszyklus
✓ Zugangskontroll-Framework
✓ Dokumentationspraktiken

TEILWEISE ABDECKUNG (ISO 27001 hilft, aber nicht ausreichend):
◐ Schwachstellenmanagement (Org.- vs. Produktfokus)
◐ Kryptografie (Richtlinie vs. Implementierung)
◐ Sicherheitstests (Enterprise vs. Produkt)
◐ Änderungsmanagement (IT vs. Produkt)

LÜCKEN (CRA-spezifisch, nicht in ISO 27001):
✗ SBOM-Generierung und -Pflege
✗ Produktkonformitätsbewertung
✗ CE-Kennzeichnungsprozess
✗ ENISA-Schwachstellenmeldung
✗ Produktspezifische Technische Dokumentation
✗ 5-Jahre-Supportzeitraum-Zusage
✗ Verifizierung sicherer Standardkonfiguration
✗ Produkt-Update-Mechanismus-Anforderungen

ISO 27001 für CRA nutzen

Ihr ISMS als Grundlage nutzen

Wenn Sie ISO 27001-zertifiziert sind, haben Sie starke Grundlagen zum Aufbauen:

ISO 27001 FÜR CRA NUTZEN

1. BESTEHENDE PROZESSE ERWEITERN:

   ISO 27001-Prozess           →  CRA-Erweiterung
   ─────────────────────────────────────────────
   Risikobewertung (6.1)       →  Produkt-Risikobewertung
   Schwachst.mgmt (A.8.8)      →  Produkt-Schwachstellenbehandlung
   Lieferantenmgmt (A.5.19-22) →  SBOM von Lieferanten
   Incident-Mgmt (A.5.24-26)   →  ENISA-Meldung
   Sichere Entw. (A.8.25-28)   →  Produkt-Sicherheitstests

2. CRA-SPEZIFISCHE ELEMENTE HINZUFÜGEN:

   Neuer Prozess                   Zweck
   ─────────────────────────────────────────────
   SBOM-Generierung                Komponentenverfolgung
   Konformitätsbewertung           CE-Kennzeichnung
   Produkt-Technische Dokumentation Regulatorische Dokumentation
   Supportzeitraum-Management      5-Jahre-Zusage
   ENISA-Meldung                   Schwachstellen-Benachrichtigung

Praktische Integrationsschritte

ISO 27001 + CRA INTEGRATION

SCHRITT 1: GELTUNGSBEREICHSERWEITERUNG
- "Produktsicherheit" zum ISMS-Geltungsbereich hinzufügen
- Produktentwicklung in Risikobewertung einbeziehen
- Asset-Inventar um Produktkomponenten erweitern

SCHRITT 2: PROZESS-UPDATES
- Schwachstellenverfahren für Produktmeldung aktualisieren
- SBOM zum Änderungsmanagement hinzufügen
- ENISA in Incident Response einbeziehen

SCHRITT 3: DOKUMENTATIONSERGÄNZUNGEN
- Produkt-Technische Dokumentationen
- SBOM-Aufzeichnungen
- Konformitätsbewertungsnachweise
- Supportzeitraum-Dokumentation

SCHRITT 4: ROLLEN UND VERANTWORTLICHKEITEN
- Produkt-Sicherheitsverantwortung zuweisen
- ENISA-Meldeverantwortung definieren
- SBOM-Pflegeverantwortung etablieren

ISO 27001 Anhang A-Kontrollen und CRA

Relevanteste Kontrollen

A.8.25 Sicherer Entwicklungslebenszyklus

• ISO 27001: Richtlinien für sichere Entwicklung
• CRA-Nutzung: Grundlage für Produkt-Sicherheitsanforderungen

A.8.26 Anwendungssicherheitsanforderungen

• ISO 27001: Sicherheitsanforderungen in der Entwicklung
• CRA-Nutzung: Basis für grundlegende Produktanforderungen

A.8.27 Sichere Systemarchitektur

• ISO 27001: Sichere Architekturprinzipien
• CRA-Nutzung: Produkt-Sicherheitsarchitektur

A.8.28 Sicheres Programmieren

• ISO 27001: Sichere Programmierpraktiken
• CRA-Nutzung: Produkt-Code-Sicherheit

A.8.8 Management technischer Schwachstellen

• ISO 27001: Organisatorische Schwachstellenbehandlung
• CRA-Nutzung: Auf Produktschwachstellen + ENISA-Meldung erweitern

A.5.19-22 Lieferantenbeziehungen

• ISO 27001: Lieferanten-Sicherheitsmanagement
• CRA-Nutzung: SBOM-Sammlung von Lieferanten, Lieferkettensicherheit

Kontrollimplementierung für CRA

ISO 27001-KONTROLLEN FÜR CRA ERWEITERN

A.8.8 SCHWACHSTELLENMANAGEMENT-ERWEITERUNG:

ISO 27001-Anforderung:
"Informationen über technische Schwachstellen von
genutzten Informationssystemen sollen beschafft werden..."

CRA-Erweiterung:
- Auf Schwachstellen in IHREN PRODUKTEN überwachen
- Prozess für Kundenbenachrichtigung pflegen
- ENISA-Meldung implementieren (24h/72h)
- Schwachstellenstatus pro Produkt verfolgen
- VEX-Dokumente generieren

A.8.25-28 SICHERE ENTWICKLUNG-ERWEITERUNG:

ISO 27001-Anforderung:
"Regeln für die Entwicklung von Software und Systemen
sollen etabliert und angewendet werden..."

CRA-Erweiterung:
- SBOM-Generierung in Build-Prozess einbeziehen
- "Standardmäßig sicher"-Konfiguration verifizieren
- Produkt-Sicherheitsanforderungen testen
- Für Technische Dokumentation dokumentieren
- Nachweise für Konformitätsbewertung pflegen

Zertifizierungserwägungen

ISO 27001-Zertifizierung ≠ CRA-Compliance

Kritisches Verständnis:

• ISO 27001-Zertifizierung zeigt organisatorische Sicherheitsreife
• CRA-Compliance ist produktbezogene regulatorische Anforderung
• ISO 27001 zu haben befreit Sie NICHT vom CRA
• ISO 27001-Auditoren bewerten keine CRA-Compliance

ISO 27001 im CRA-Kontext verwenden

ISO 27001 IN CRA-DOKUMENTATION REFERENZIEREN

IN DER TECHNISCHEN DOKUMENTATION:
"[Unternehmen] unterhält ein nach ISO/IEC 27001:2022
zertifiziertes Informationssicherheits-Managementsystem
(Zertifikat Nr. XXX, ausgestellt von [Zertifizierungsstelle]).

Das ISMS bietet die organisatorische Grundlage für
Produktsicherheit, einschließlich:
- Sicherer Entwicklungslebenszyklus (A.8.25-28)
- Schwachstellenmanagement-Prozess (A.8.8)
- Lieferanten-Sicherheitsanforderungen (A.5.19-22)

Produktspezifische CRA-Compliance ist in dieser
Technischen Dokumentation dokumentiert und baut auf
diesen ISMS-Kontrollen auf."

WAS DAS ZEIGT:
- Sicherheitsmanagement-Reife
- Prozessgrundlage existiert
- Kein Ersatz für Produktnachweise

Audit-Synergien

ISO 27001 UND CRA AUDIT-ABSTIMMUNG

ISO 27001 ÜBERWACHUNGSAUDIT:
- Jährliche ISMS-Bewertung
- Kann Produktsicherheits-Geltungsbereich einschließen
- Nachweise wiederverwendbar für CRA

CRA-KONFORMITÄTSBEWERTUNG:
- Produktspezifische Evaluierung
- Referenziert ISMS für Prozessnachweise
- Benötigt zusätzliche Produktnachweise

SYNERGIEMÖGLICHKEITEN:
- Audit-Zeitpläne abstimmen
- Nachweise wiederverwenden, wo anwendbar
- Integrierter Managementsystem-Ansatz
- Einzelnes Dokumentationsrepository

Häufige Szenarien

Szenario 1: ISO 27001-zertifiziert, CRA-Neuling

SZENARIO: BESTEHENDES ISO 27001, NEU BEI CRA

VORTEILE:
✓ Risikomethodik existiert
✓ Sicherheitskultur etabliert
✓ Dokumentationspraktiken vorhanden
✓ Lieferantenmanagement existiert
✓ Incident-Response-Fähigkeit

HINZUZUFÜGEN:
[ ] Produktklassifizierung gemäß CRA
[ ] SBOM-Generierungsfähigkeit
[ ] ENISA-Meldeprozess
[ ] Produkt-Technische Dokumentationen
[ ] Konformitätsbewertungsprozess
[ ] Supportzeitraum-Management
[ ] Produktspezifische Tests

ANSATZ:
1. Lückenanalyse gegen CRA-Anforderungen
2. ISMS-Geltungsbereich um Produkte erweitern
3. CRA-spezifische Prozesse hinzufügen
4. Dokumentation aktualisieren
5. Relevante Teams schulen

Szenario 2: Kein ISO 27001, CRA angehen

SZENARIO: KEIN ISO 27001, CRA-COMPLIANCE BENÖTIGT

OPTIONEN:

OPTION A: Nur CRA
- CRA-Anforderungen direkt implementieren
- Produktfokussierter Ansatz
- Kann organisatorische Sicherheitsvorteile verpassen
- Schneller zur CRA-Compliance

OPTION B: ISO 27001 + CRA
- Beide Frameworks implementieren
- Stärkere Gesamtsicherheit
- Mehr Aufwand zu Beginn
- Bessere langfristige Position

EMPFEHLUNG:
Für Produkthersteller erwägen:
- Mit CRA-Anforderungen beginnen (regulatorische Frist)
- ISO 27001 im Laufe der Zeit aufbauen
- Ansätze von Anfang an abstimmen

Szenario 3: Mehrere Produkte, zentrales ISMS

SZENARIO: ISMS UNTERSTÜTZT MEHRERE PRODUKTE

ANSATZ:

ZENTRALISIERT (ISMS):
- Risikomethodik
- Schwachstellenbehandlungsprozess
- Lieferantenmanagement
- Incident Response
- Entwicklungsstandards

PRO PRODUKT (CRA):
- Technische Dokumentation
- SBOM
- Konformitätsbewertung
- Produktdokumentation
- Supportzeitraum

VORTEILE:
- Effiziente Prozesswiederverwendung
- Konsistenter Sicherheitsansatz
- Zentralisierte Expertise
- Produktspezifische Compliance

Integrationsframework

Governance-Modell

INTEGRIERTES GOVERNANCE-MODELL

ORGANISATIONSEBENE (ISO 27001):
┌─────────────────────────────────────────────┐
│ Informationssicherheits-Managementsystem    │
│                                             │
│ - Sicherheitsrichtlinien                    │
│ - Risikomanagement-Framework                │
│ - Sicherheitsorganisation                   │
│ - Bewusstsein und Schulung                  │
└─────────────────────────────────────────────┘
            │
            ▼
PRODUKTEBENE (CRA):
┌─────────────────────────────────────────────┐
│ Produkt-Sicherheits-Compliance              │
│                                             │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Produkt A│ │Produkt B│ │Produkt C│        │
│ │- Tech.  │ │- Tech.  │ │- Tech.  │        │
│ │  Dok.   │ │  Dok.   │ │  Dok.   │        │
│ │- SBOM   │ │- SBOM   │ │- SBOM   │        │
│ │- KE     │ │- KE     │ │- KE     │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

Dokumentationsstruktur

INTEGRIERTE DOKUMENTATION

ISMS-DOKUMENTATION (ISO 27001):
├── Informationssicherheitsrichtlinie
├── Risikobewertungsverfahren
├── Erklärung zur Anwendbarkeit
├── Richtlinie für sichere Entwicklung
├── Schwachstellenmanagement-Verfahren
├── Incident-Response-Verfahren
└── Lieferanten-Sicherheitsrichtlinie

CRA-DOKUMENTATION (Pro Produkt):
├── Produkt-Technische Dokumentation
│   ├── Produktbeschreibung
│   ├── Risikobewertung
│   ├── Sicherheitsarchitektur
│   ├── Testberichte
│   └── SBOM
├── EU-Konformitätserklärung
├── Benutzerdokumentation
└── Supportzeitraum-Erklärung

QUERVERWEISE:
- Technische Dokumentation referenziert ISMS-Verfahren
- ISMS-Verfahren enthalten CRA-Anforderungen
- Einzelne Wahrheitsquelle wo möglich

Checkliste: ISO 27001-Organisation fügt CRA hinzu

ISO 27001 → CRA-COMPLIANCE-CHECKLISTE

BEWERTUNG:
[ ] Aktuellen ISMS-Geltungsbereich überprüfen
[ ] Produkte mit digitalen Elementen identifizieren
[ ] Produkte gemäß CRA-Kategorien klassifizieren
[ ] Lückenanalyse: ISMS vs. CRA-Anforderungen

GELTUNGSBEREICHSERWEITERUNG:
[ ] Produktsicherheit zum ISMS-Geltungsbereich hinzufügen
[ ] Risikobewertung um Produkte aktualisieren
[ ] Erklärung zur Anwendbarkeit erweitern

PROZESSERGÄNZUNGEN:
[ ] SBOM-Generierungsprozess
[ ] ENISA-Meldeverfahren
[ ] Konformitätsbewertungsprozess
[ ] Supportzeitraum-Management
[ ] Verfahren für Produkt-Technische Dokumentation

DOKUMENTATION:
[ ] Vorlagen für Technische Dokumentation
[ ] Vorlage für Produkt-Risikobewertung
[ ] SBOM-Format und -Speicherung
[ ] Vorlage für Konformitätserklärung

KONTROLLERWEITERUNGEN:
[ ] A.8.8 - Produktschwachstellen hinzufügen
[ ] A.8.25-28 - Produkt-Sicherheitstests hinzufügen
[ ] A.5.19-22 - SBOM von Lieferanten hinzufügen

ROLLEN:
[ ] Produkt-Sicherheitsverantwortlichen zuweisen
[ ] ENISA-Meldeverantwortung definieren
[ ] Konformitätsbewertungsrolle etablieren

SCHULUNG:
[ ] CRA-Bewusstsein für Entwicklungsteams
[ ] SBOM-Tools-Schulung
[ ] Konformitätsbewertungs-Schulung

Wichtige Ressourcen

STANDARDS UND LEITFÄDEN

ISO 27001:
ISO/IEC 27001:2022 - Informationssicherheitsmanagement
ISO/IEC 27002:2022 - Informationssicherheitskontrollen

CRA:
Verordnung (EU) 2024/2847 - Cyber Resilience Act

INTEGRATIONSLEITFÄDEN:
ISO 27001 + Produktentwicklung
- ISO/IEC 27034 erwägen (Anwendungssicherheit)
- IEC 62443 erwägen (Industrielle Sicherheit)
- ISO/SAE 21434 erwägen (Automobil-Sicherheit)

ZERTIFIZIERUNGSSTELLEN:
Können ISO 27001 zertifizieren und potenziell
CRA-Abstimmung als Teil des Geltungsbereichs bewerten

Verwandte Leitfäden:

• Die CRA-Technische Dokumentation: Was in jeden Abschnitt gehört (Anhang VII Aufschlüsselung)
• CRA-Konformitätsbewertung: Modul A vs. B+C vs. H Entscheidungsleitfaden

Wie CRA Evidence hilft

CRA Evidence ergänzt Ihr ISO 27001-ISMS:

• Lückenanalyse: Identifizieren, was Ihr ISMS nicht abdeckt
• Produktfokus: Pro-Produkt-CRA-Compliance verwalten
• SBOM-Integration: Komponentenverfolgung, die Ihr ISMS nicht bietet
• Technische Dokumentationen: CRA-spezifische Dokumentation
• Nachweisverknüpfung: ISMS-Kontrollen in CRA-Dokumentation referenzieren

Starten Sie Ihre CRA-Compliance bei app.craevidence.com.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.