Umsetzung und Programmleitung

Technische Umsetzung und Programmleitung für den EU Cyber Resilience Act.

Sie brauchen jemanden, der Ihr CRA-Programm verantwortet? Wir führen die technische Arbeit gemeinsam mit Ihrem Team, mit den Werkzeugen, die zu Ihrem Stack passen.

Kostenloses CRA-Roadmap-Gespräch buchen
Neu beim Cyber Resilience Act? Lesen Sie unseren kostenlosen CRA-Compliance-Leitfaden
Wie wir zusammenarbeiten

Drei Situationen, drei Engagements.

Jedes Engagement ist auf eine konkrete Situation zugeschnitten: die Vorbereitung auf die Meldefrist am 11. September 2026, die laufende teamübergreifende CRA-Arbeit, die Ihr Team nicht selbst verantworten kann, oder die Vorbereitung auf die erste meldepflichtige Schwachstelle oder das erste Behördenschreiben.

Der Umfang ist fest und vorab vereinbart. Die Dauer besprechen wir im Roadmap-Gespräch, denn realistische Zeitpläne hängen von der Produktanzahl und der vorhandenen Vorarbeit ab.

Wählen Sie das passende Engagement

CRA Technical Readiness Sprint

Engagement mit festem Umfang
Für wen das passt

Hersteller ohne internen CRA-Verantwortlichen, mit einer bis drei Produktlinien, in Vorbereitung auf die Meldefrist am 11. September 2026.

Was Sie am Ende in der Hand haben
  • Ein schriftliches CRA-Scope-Memo je Produktlinie, das die Pflichten nach Artikel 13 und Klassifizierungsentscheidungen abdeckt
  • Eine priorisierte Gap-Analyse gegenüber Anhang I, mit einem Umsetzungsplan, den Ihr Engineering Lead ausführen kann
  • Eine technische Dokumentation gemäß Anhang VII, abgenommen durch Ihren Engineering Lead
  • Ein operatives Verfahren zur Handhabung von Schwachstellen, das Ihr Team fortlaufend betreibt, nicht ein einmaliger Scan
  • Ein schriftliches Runbook zur Schwachstellenmeldung, abgestimmt auf die Fristen nach Artikel 14
Umfang und Preis werden im Roadmap-Gespräch festgelegt.

CRA Programme Lead

Laufender Retainer, Taktung mit Ihrem Team vereinbart
Für wen das passt

Unternehmen, in denen niemand die teamübergreifende CRA-Arbeit verantwortet und Gründer oder CTO sie informell mittragen.

Was Sie am Ende in der Hand haben
  • Technische Verantwortung für Ihr CRA-Programm, mit einem Arbeitsrhythmus, der mit Ihren Produkt-, Engineering- und Security-Teams abgestimmt ist
  • Ein lebender Pflichtenkalender, an die CRA-Fristen gekoppelt, der mit Pflichten und Normen mitwächst
  • Eine technische Dokumentation, die mit jedem Produkt-Release aktuell bleibt, kein Dokument, das zwischen Audits verstaubt
  • Ein operatives Verfahren zur Reaktion auf Schwachstellen, das Ihr On-Call-Engineer ohne Spielraum für Interpretation ausführen kann
  • Regelmäßige Compliance-Prüfungen gegen die Pflichten aus Anhang I, mit vorab vereinbarten Eskalationspfaden
Umfang und Preis werden im Roadmap-Gespräch festgelegt.

Authority and Incident Response Plan

Setup-Engagement plus On-Call-Retainer
Für wen das passt

Teams, deren eigentliche Sorge die erste meldepflichtige Schwachstelle oder das erste Schreiben von ENISA oder einer nationalen Behörde ist.

Was Sie am Ende in der Hand haben
  • Ein schriftliches Incident-Response-Playbook, das Ihr On-Call-Engineer innerhalb der Meldefristen nach Artikel 14 ausführen kann
  • Frühwarn- und Vorfallsmeldungs-Vorlagen, vorbereitet für jeden nationalen CSIRT, den Sie benachrichtigen müssen
  • Ein On-Call-Reaktionsfenster, das meldepflichtige Vorfälle während der Retainer-Laufzeit abdeckt
  • Ein Runbook zur Erstellung eines vollständigen Nachweispakets, wenn eine Marktüberwachungsbehörde danach fragt
Umfang und Preis werden im Roadmap-Gespräch festgelegt.

Preis pro Engagement

Wir veröffentlichen keine Preisspannen. Die Form eines CRA-Engagements hängt von Ihrer Rolle nach der Verordnung ab, von der technischen Komplexität Ihrer Produkte und davon, wie viel Vorarbeit bereits vorliegt. Ein Start-up mit einem komplexen Embedded-Produkt ist ein anderes Engagement als ein Hersteller mit einem Dutzend einfacherer SKUs. Die genaue Summe wird im 30-minütigen Roadmap-Gespräch vereinbart, mit einem schriftlichen, umfangsdefinierten Angebot innerhalb von 48 Stunden.

Wir arbeiten mit Ihren bestehenden Werkzeugen

Jedes Engagement ist werkzeugneutral. Wir führen die technische Arbeit in Ihrem Stack, ob mit Open Source (CycloneDX, SPDX, Grype, Trivy), mit kommerziellen Werkzeugen, für die Sie bereits bezahlen, oder mit internen Systemen, die Ihr Team gebaut hat. Wenn die CRA-Evidence-Plattform passt, bieten wir sie an, sie ist aber nie Voraussetzung und nie das Ergebnis. Das Ergebnis sind die Compliance-Resultate.

Warum das funktioniert

Wir haben CRA Evidence am vollständigen Text der Verordnung (EU) 2024/2847, den Anhängen I bis VIII und den 41 harmonisierten Normen aus dem Normungsauftrag M/606 der Kommission entwickelt. Die Plattform bildet jede Pflicht auf Nachweis, Workflow und Meldung ab. Dieselbe Abbildung trägt jedes Engagement.

CRA Evidence wurde von Ingenieuren mit Hintergrund in Infrastruktur und Cloud Security bei europäischen Technologieunternehmen gebaut. Die Plattform und jedes Engagement spiegeln diesen operativen Hintergrund wider.

Wir nehmen pro Quartal nur eine begrenzte Anzahl neuer CRA-Programme an, um die Liefergüte hoch zu halten. Jedes Engagement wird von denselben Senior-Leuten geführt, die die Plattform bauen.

Was im 30-minütigen Gespräch passiert

Eine Arbeitsbesprechung, kein Verkaufsgespräch. Wir gehen drei Punkte in dieser Reihenfolge durch:

1
Ihre Rolle nach der Verordnung. Hersteller, Einführer und Händler haben unterschiedliche Pflichten. Das richtig zu klären, bestimmt, welches Engagement passt.
2
Welches Engagement passt, oder ob nur die Plattform das Richtige ist. Nicht jedes Unternehmen braucht Umsetzungsunterstützung. Wenn die Plattform allein besser passt, sagen wir das.
3
Ein umfangsdefiniertes Angebot innerhalb von 48 Stunden. Nach dem Gespräch erhalten Sie ein schriftliches Angebot mit Umfang, Leistungen und Preis für Ihre konkrete Situation.

Umfang und Grenzen

CRA Evidence bietet eine Compliance-Plattform und technische Umsetzungsleistungen. Wir sagen klar, was wir sind und was nicht.

Wir sind keine notifizierte Stelle. Wir führen keine Konformitätsbewertung nach Artikel 32 der Verordnung (EU) 2024/2847 durch, und unsere Leistungen stellen keine Konformitätsbewertung und keine Zertifizierung Ihrer Produkte dar. Wenn Ihr Produkt eine Konformitätsbewertung durch Dritte erfordert, müssen Sie eine akkreditierte notifizierte Stelle beauftragen.

Wir sind keine Anwaltskanzlei. Wir erbringen keine Rechtsberatung. Für regulatorische Auslegung, Rechtsmeinungen zur Produktklassifizierung oder vertragliche Compliance-Fragen arbeiten wir mit Ihrer Rechtsberatung zusammen.

Wir sind ein kommerzieller Anbieter der CRA-Evidence-Plattform. Unsere Umsetzungsleistungen sind unabhängig von der Plattform: Wir arbeiten mit den Werkzeugen, die zu Ihrer Situation passen, einschließlich Open Source, kommerzieller Drittanbieter-Software, für die Sie bereits bezahlen, und unserer eigenen Plattform, wenn das am besten passt. Wenn Ihre Anforderungen besser durch Werkzeuge oder Leistungen außerhalb unseres Produkts abgedeckt wären, sagen wir das.

Häufig gestellte Fragen

Beides, und die beiden Angebote sind unabhängig voneinander. CRA Evidence ist eine SaaS-Plattform für die Konformität mit dem EU Cyber Resilience Act, die Sie im Self-Service nutzen können. Zusätzlich liefern wir praktische Umsetzungsleistungen, geführt von Infrastruktur-Ingenieuren. Die Leistungen sind werkzeugneutral: Wir arbeiten in Ihrem bestehenden Stack, mit Open Source, mit kommerziellen Werkzeugen, für die Sie bereits bezahlen, oder mit unserer Plattform, wenn das am besten passt. Es gibt drei Engagements mit festem Umfang: einen Technical Readiness Sprint für Hersteller, die sich auf die Meldefrist am 11. September 2026 vorbereiten, ein Programme-Lead-Retainer für die laufende technische Verantwortung Ihres CRA-Programms und einen Authority and Incident Response Plan für Schwachstellenmeldungen und Schreiben der Marktüberwachung.

Wir veröffentlichen keine Preisspannen, denn der Umfang hängt von zu vielen realen Variablen ab: Ihre Rolle nach der Verordnung, die technische Komplexität jedes Produkts, die Anzahl Ihrer Produkte, wie viel interne Vorarbeit bereits vorliegt, und welche Werkzeuge Sie bereits betreiben. Ein Start-up mit einem komplexen Embedded-Produkt ist ein anderes Engagement als ein Hersteller mit einem Dutzend einfacherer SKUs. Die genaue Summe wird in einem 30-minütigen Roadmap-Gespräch vereinbart, mit einem schriftlichen, umfangsdefinierten Angebot in Ihrem Postfach innerhalb von 48 Stunden.

In beiden Fällen nein. CRA Evidence ist keine notifizierte Stelle. Wir führen keine Konformitätsbewertung nach Artikel 32 der Verordnung (EU) 2024/2847 durch, und unsere Leistungen stellen keine Zertifizierung Ihrer Produkte dar. Wenn Ihr Produkt eine Konformitätsbewertung durch Dritte erfordert, müssen Sie eine akkreditierte notifizierte Stelle beauftragen. CRA Evidence ist auch keine Anwaltskanzlei. Für regulatorische Auslegung und Rechtsmeinungen arbeiten wir mit Ihrer eigenen Rechtsberatung zusammen.

Big-Four-Firmen liefern strategische und juristische Beratung, bauen oder betreiben aber selten die technischen Systeme, die CRA-Compliance dauerhaft tragen. Engagements von CRA Evidence werden von Infrastruktur- und Cloud-Security-Ingenieuren geführt, die gemeinsam mit Ihrem Engineering-Team die technische Dokumentation erstellen, ein Verfahren zur Handhabung von Schwachstellen aufbauen und die Nachweiserzeugung in Ihre bestehenden Pipelines integrieren. Die Ergebnisse sind operativ, laufen in Ihrem Stack, nicht als Foliensatz.

CTOs, VPs of Engineering, Product-Security-Verantwortliche und Compliance-Verantwortliche bei EU-Herstellern, Einführern oder Händlern von Produkten mit digitalen Elementen. Das Gespräch ist am nützlichsten, wenn Sie bereits wissen, dass CRA-Pflichten auf Sie zukommen, aber niemand in Ihrem Team die Kapazität hat, die teamübergreifende Arbeit zu verantworten. Wenn Sie noch klären, ob der CRA für Sie gilt, starten Sie mit dem kostenlosen CRA Applicability Check.

Der Cyber Resilience Act gilt für jeden Hersteller, Einführer oder Händler, der Produkte mit digitalen Elementen auf dem EU-Markt bereitstellt, branchen- und größenunabhängig. Unsere Engagements sind am nützlichsten, wenn CRA-Pflichten real sind, aber intern noch kein Team die teamübergreifende Arbeit verantwortet, ob es sich nun um ein 15-köpfiges Start-up mit dem ersten vernetzten Produkt handelt oder um einen größeren Hersteller mit Dutzenden Produktlinien. Wenn Sie unsicher sind, ob Ihre Situation passt, buchen Sie das Roadmap-Gespräch, und wir sagen Ihnen ehrlich, was wir sehen.

Ja. Plattform und Leistungen sind unabhängig voneinander. Sie können die CRA-Evidence-Plattform im Self-Service mit einer 14-tägigen kostenlosen Testphase und rollenbasierter Preisgestaltung nutzen, ohne uns jemals für eine Beratung zu beauftragen. Die Leistungen sind für Unternehmen gedacht, in denen intern niemand die teamübergreifende CRA-Arbeit verantwortet oder bei denen die erste meldepflichtige Schwachstelle oder das erste Behördenschreiben eine konkrete Sorge ist. Und die Leistungen setzen unsere Plattform nicht voraus: Das Engagement funktioniert mit den Werkzeugen, die zu Ihrem Stack passen. Siehe Preise für Self-Service-Tarife.

Der Cyber Resilience Act gilt für jedes Unternehmen, das Produkte mit digitalen Elementen auf dem EU-Markt bereitstellt, unabhängig vom Firmensitz. Leistungs-Engagements werden aktuell in englischer Sprache an Unternehmen in der Europäischen Union geliefert. Hersteller, Einführer und Händler außerhalb der EU mit Marktpräsenz in der EU sind eingeladen, ein Roadmap-Gespräch zu buchen, um die Passung zu besprechen.

Der 11. September 2026 ist das Datum, ab dem die Meldepflichten für Schwachstellen und Sicherheitsvorfälle nach Artikel 14 der Verordnung (EU) 2024/2847 gelten. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle binnen 24 Stunden an ENISA und den zuständigen nationalen CSIRT melden können, mit einer Folgemeldung nach 72 Stunden und einem Abschlussbericht nach 14 Tagen. Der vollständige CRA gilt ab dem 11. Dezember 2027. Siehe unseren CRA-Compliance-Leitfaden für den vollständigen Zeitplan.
Nächster Schritt

Wenn Ihre Situation zu einem der drei Engagements passt oder Sie noch nicht sicher sind, wo sie passt, schreiben Sie uns und wir melden uns innerhalb von 48 Stunden zurück.

Sie erhalten ein detailliertes schriftliches Angebot per E-Mail, ohne Druck fortzufahren.

Kontaktieren Sie uns

Möchten Sie lieber direkt einen Termin buchen? Buchen Sie ein 30-minütiges Roadmap-Gespräch.