Technische Umsetzung und Programmleitung für die EU Cyberresilienz-Verordnung

Sie brauchen jemanden, der Ihr CRA-Programm verantwortet? Wir führen die technische Arbeit gemeinsam mit Ihrem Team, mit den Werkzeugen, die zu Ihrem Stack passen.

CRA-Meldepflichten beginnen am 11. September 2026. Planen Sie Ihr Programm jetzt.

Kostenloses CRA-Roadmap-Gespräch buchen
Neu beim Cyberresilienz-Verordnung? Lesen Sie unseren kostenlosen CRA-Compliance-Leitfaden
Wie wir zusammenarbeiten

Drei häufige Ausgangspunkte. Jedes Engagement wird auf Sie zugeschnitten.

Das sind die drei Situationen, die wir am häufigsten sehen: die Vorbereitung auf die Meldefrist am 11. September 2026, die Übernahme der abteilungsübergreifenden CRA-Arbeit, für die Ihr Team keine Kapazität hat, oder die Vorbereitung auf die erste meldepflichtige Schwachstelle oder das erste Behördenschreiben. Die meisten Engagements sind eine Mischung, und viele sehen ganz anders aus als diese Liste. Wir richten uns nach der Situation, in der Sie tatsächlich sind.

Der Umfang ist fest und vorab vereinbart. Die Dauer besprechen wir im Roadmap-Gespräch, denn realistische Zeitpläne hängen von der Produktanzahl und der vorhandenen Vorarbeit ab.

Womit Teams meistens starten

CRA-Sprint für technische Bereitschaft

Für wen das passt

Hersteller ohne internen CRA-Verantwortlichen, mit einer bis drei Produktlinien, die ab dem 11. September 2026 für Meldungen nach Artikel 14 bereit sein müssen und zugleich die technische Dokumentation sowie die Kontrollen nach Anhang I für die vollständige CRA-Anwendung am 11. Dezember 2027 aufbauen.

Was Sie erhalten
  • Ein schriftliches CRA-Scope-Memo je Produktlinie, das die Pflichten nach Artikel 13 und Klassifizierungsentscheidungen abdeckt
  • Eine priorisierte Gap-Analyse gegenüber Anhang I, mit einem Umsetzungsplan, den Ihr Engineering Lead ausführen kann
  • CRA-Dokumentation gemäß Anhang VII, abgezeichnet von Ihrem Engineering-Lead
  • Ein operatives Verfahren zur Handhabung von Schwachstellen, das Ihr Team fortlaufend betreibt, nicht ein einmaliger Scan
  • Ein schriftliches Runbook zur Schwachstellenmeldung, abgestimmt auf die Fristen nach Artikel 14

CRA-Programmleitung

Für wen das passt

Unternehmen, in denen niemand die teamübergreifende CRA-Arbeit verantwortet und Gründer oder CTO sie informell mittragen.

Wofür wir Verantwortung übernehmen
  • Verantwortung für das CRA-Programm, wobei CRA Evidence die Arbeit von Produkt, Engineering, Security und Geschäftsleitung koordiniert
  • Umsetzungsunterstützung für technische Kontrollen, Evidenzlücken und Fragen zur Abdeckung, die den Fortschritt blockieren
  • Ein lebender Pflichtenkalender, gekoppelt an CRA-Fristen, Produkt-Releases, Normen und offene Verantwortlichkeiten
  • Eine technische Dokumentation, die wir aktuell halten, während Ihre Produkte ausgeliefert werden, damit Evidenz zwischen Audits nicht veraltet
  • Operative Verantwortung für die Reaktion auf Schwachstellen, mit Prüfungen gegen die Pflichten aus Anhang I und vereinbarten Eskalationspfaden

Behörden- und Incident-Response-Plan

Für wen das passt

Teams, deren eigentliche Sorge die erste meldepflichtige Schwachstelle oder das erste Schreiben von ENISA oder einer nationalen Behörde ist.

Was abgedeckt ist
  • Ein schriftliches Incident-Response-Playbook, das Ihr On-Call-Engineer innerhalb der Meldefristen nach Artikel 14 ausführen kann
  • Frühwarn- und Vorfallsmeldungs-Vorlagen, vorbereitet für jeden nationalen CSIRT, den Sie benachrichtigen müssen
  • Ein On-Call-Reaktionsfenster, das meldepflichtige Vorfälle während der Retainer-Laufzeit abdeckt
  • Ein Runbook zur Erstellung eines vollständigen Nachweispakets, wenn eine Marktüberwachungsbehörde danach fragt
Nicht auf dieser Liste?

Ihre Situation sieht anders aus?

Viele Teams passen nicht sauber in eine der drei Kategorien, und das ist in Ordnung. Die meisten Engagements werden am Ende eine Mischung, und manche sind etwas ganz anderes. Sagen Sie uns, womit Sie es wirklich zu tun haben, und wir schneiden ein Engagement darauf zu. Im Roadmap-Gespräch klären wir die passende Form, oder ob Self-Service die bessere Wahl ist.

Kostenloses CRA-Roadmap-Gespräch buchen →

Preis pro Engagement

Wir veröffentlichen keine Preisspannen. Die Form eines CRA-Engagements hängt von Ihrer Rolle nach der Verordnung ab, von der technischen Komplexität Ihrer Produkte und davon, wie viel Vorarbeit bereits vorliegt. Ein Start-up mit einem komplexen Embedded-Produkt ist ein anderes Engagement als ein Hersteller mit einem Dutzend einfacherer SKUs. Die genaue Summe wird im 30-minütigen Roadmap-Gespräch vereinbart, mit einem schriftlichen, umfangsdefinierten Angebot innerhalb von 48 Stunden.

Wir arbeiten mit Ihren bestehenden Werkzeugen

Jedes Engagement ist werkzeugneutral. Wir führen die technische Arbeit in Ihrem Stack, ob mit Open Source (CycloneDX, SPDX, Grype, Trivy), mit kommerziellen Werkzeugen, für die Sie bereits bezahlen, oder mit internen Systemen, die Ihr Team gebaut hat. Wenn die CRA-Evidence-Plattform passt, bieten wir sie an, sie ist aber nie Voraussetzung und nie das Ergebnis. Das Ergebnis sind die Compliance-Resultate.

Warum das funktioniert

Wir haben CRA Evidence am vollständigen Text der Verordnung (EU) 2024/2847, den Anhängen I bis VIII und den 41 harmonisierten Normen aus dem Normungsauftrag M/606 der Kommission entwickelt. Die Plattform bildet jede Pflicht auf Nachweis, Workflow und Meldung ab. Dieselbe Abbildung trägt jedes Engagement.

CRA Evidence wurde von Ingenieuren entwickelt, die in europäischen Technologieunternehmen Produkte ausgeliefert, Schwachstellenprogramme betrieben und technische Nachweise gepflegt haben. Die Plattform und jedes Engagement spiegeln diesen operativen Hintergrund wider.

Wir nehmen pro Quartal nur eine begrenzte Anzahl neuer CRA-Programme an, um die Liefergüte hoch zu halten. Jedes Engagement wird von denselben Senior-Leuten geführt, die die Plattform bauen.

Was im 30-minütigen Gespräch passiert

Eine Arbeitsbesprechung, kein Verkaufsgespräch. Wir gehen drei Punkte in dieser Reihenfolge durch:

1
Ihre Rolle nach der Verordnung. Hersteller- und Einführerpflichten unterscheiden sich. Reine Händlerfälle sind meist besser durch Self-Service-Leitfäden abgedeckt, und diese Einordnung bestimmt, welches Engagement passt.
2
Welches Engagement passt, oder ob nur die Plattform das Richtige ist. Nicht jedes Unternehmen braucht Umsetzungsunterstützung. Wenn die Plattform allein besser passt, sagen wir das.
3
Ein umfangsdefiniertes Angebot innerhalb von 48 Stunden. Nach dem Gespräch erhalten Sie ein schriftliches Angebot mit Umfang, Leistungen und Preis für Ihre konkrete Situation.

Umfang und Grenzen

CRA Evidence bietet eine Compliance-Plattform und technische Umsetzungsleistungen. Wir sagen klar, was wir sind und was nicht.

Wir sind keine notifizierte Stelle. Wir führen keine Konformitätsbewertung nach Artikel 32 der Verordnung (EU) 2024/2847 durch, und unsere Leistungen stellen keine Konformitätsbewertung und keine Zertifizierung Ihrer Produkte dar. Wenn Ihr Produkt eine Konformitätsbewertung durch Dritte erfordert, müssen Sie eine akkreditierte notifizierte Stelle beauftragen.

Wir sind keine Anwaltskanzlei. Wir erbringen keine Rechtsberatung. Für regulatorische Auslegung, Rechtsmeinungen zur Produktklassifizierung oder vertragliche Compliance-Fragen arbeiten wir mit Ihrer Rechtsberatung zusammen.

Wir sind ein kommerzieller Anbieter der CRA-Evidence-Plattform. Unsere Umsetzungsleistungen sind unabhängig von der Plattform: Wir arbeiten mit den Werkzeugen, die zu Ihrer Situation passen, einschließlich Open Source, kommerzieller Drittanbieter-Software, für die Sie bereits bezahlen, und unserer eigenen Plattform, wenn das am besten passt. Wenn Ihre Anforderungen besser durch Werkzeuge oder Leistungen außerhalb unseres Produkts abgedeckt wären, sagen wir das.

Häufig gestellte Fragen

Beides, und die beiden Angebote sind unabhängig voneinander. CRA Evidence ist eine SaaS-Plattform für die Konformität mit der EU Cyberresilienz-Verordnung, die Sie im Self-Service nutzen können. Zusätzlich liefern wir praktische Umsetzungsleistungen, geführt von Infrastruktur-Ingenieuren. Die Leistungen sind werkzeugneutral: Wir arbeiten in Ihrem bestehenden Stack, mit Open Source, mit kommerziellen Werkzeugen, für die Sie bereits bezahlen, oder mit unserer Plattform, wenn das am besten passt. Drei Engagements decken die häufigsten Situationen ab: ein Sprint für technische Bereitschaft für Hersteller, die sich auf die Meldefrist am 11. September 2026 vorbereiten, ein Programmleitungs-Retainer für die laufende technische Verantwortung Ihres CRA-Programms und ein Behörden- und Incident-Response-Plan für Schwachstellenmeldungen und Schreiben der Marktüberwachung. Die meisten Engagements sind eine Mischung daraus, und wenn Ihre Situation zu keinem passt, schneiden wir ein individuelles Engagement darauf zu.

Wir veröffentlichen keine Preisspannen, denn der Umfang hängt von zu vielen realen Variablen ab: Ihre Rolle nach der Verordnung, die technische Komplexität jedes Produkts, die Anzahl Ihrer Produkte, wie viel interne Vorarbeit bereits vorliegt, und welche Werkzeuge Sie bereits betreiben. Ein Start-up mit einem komplexen Embedded-Produkt ist ein anderes Engagement als ein Hersteller mit einem Dutzend einfacherer SKUs. Die genaue Summe wird in einem 30-minütigen Roadmap-Gespräch vereinbart, mit einem schriftlichen, umfangsdefinierten Angebot in Ihrem Postfach innerhalb von 48 Stunden.

In beiden Fällen nein. CRA Evidence ist keine notifizierte Stelle. Wir führen keine Konformitätsbewertung nach Artikel 32 der Verordnung (EU) 2024/2847 durch, und unsere Leistungen stellen keine Zertifizierung Ihrer Produkte dar. Wenn Ihr Produkt eine Konformitätsbewertung durch Dritte erfordert, müssen Sie eine akkreditierte notifizierte Stelle beauftragen. CRA Evidence ist auch keine Anwaltskanzlei. Für regulatorische Auslegung und Rechtsmeinungen arbeiten wir mit Ihrer eigenen Rechtsberatung zusammen.

Big-Four-Firmen liefern strategische und rechtliche Beratung, bauen oder betreiben aber selten die technischen Systeme, die CRA-Compliance dauerhaft machen. CRA-Evidence-Engagements werden von Ingenieuren geleitet, die mit Ihrem Team zusammenarbeiten, um die technische Dokumentation zu schreiben, einen Schwachstellenmanagement-Prozess aufzubauen und die Evidenz-Erzeugung in Ihre bestehenden Pipelines zu integrieren. Die Ergebnisse sind operativ, laufen in Ihrem Stack, keine Folienpräsentation.

CTOs, VPs of Engineering, Product-Security-Verantwortliche und Compliance-Verantwortliche bei Herstellern oder Einführern, die Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringen. Das Gespräch ist am nützlichsten, wenn Sie bereits wissen, dass CRA-Pflichten auf Sie zukommen, aber niemand in Ihrem Team die Kapazität hat, die teamübergreifende Arbeit zu verantworten. Wenn Sie noch klären, ob der CRA für Sie gilt, starten Sie mit dem kostenlosen CRA Applicability Check.

Jede Branche, jede Größe. Der CRA gilt durchgängig, ob Sie ein 15-Personen-Startup sind, das sein erstes vernetztes Produkt versendet, oder ein Hersteller mit Dutzenden Produktlinien. Engagements sind am sinnvollsten, wenn CRA-Pflichten real sind, aber intern noch kein Team die abteilungsübergreifende Arbeit verantwortet.

Ja. Plattform und Leistungen sind unabhängig voneinander. Sie können die CRA-Evidence-Plattform im Self-Service mit einer 14-tägigen kostenlosen Testphase und rollenbasierter Preisgestaltung nutzen, ohne uns jemals für eine Beratung zu beauftragen. Die Leistungen sind für Unternehmen gedacht, in denen intern niemand die teamübergreifende CRA-Arbeit verantwortet oder bei denen die erste meldepflichtige Schwachstelle oder das erste Behördenschreiben eine konkrete Sorge ist. Und die Leistungen setzen unsere Plattform nicht voraus: Das Engagement funktioniert mit den Werkzeugen, die zu Ihrem Stack passen. Siehe Preise für Self-Service-Tarife.

Ja. Die Cyberresilienz-Verordnung gilt für jedes Unternehmen, das Produkte mit digitalen Elementen auf dem EU-Markt platziert, unabhängig vom Sitz des Unternehmens. Wenn Sie Produkte in die EU liefern, fallen Sie in den Anwendungsbereich und wir können Ihnen helfen. Engagements werden auf Englisch durchgeführt.

Der 11. September 2026 ist das Datum, ab dem die Meldepflichten für Schwachstellen und Sicherheitsvorfälle nach Artikel 14 der Verordnung (EU) 2024/2847 gelten. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle binnen 24 Stunden an ENISA und den zuständigen nationalen CSIRT melden können, mit einer Folgemeldung nach 72 Stunden und einem Abschlussbericht nach 14 Tagen für Schwachstellen oder innerhalb eines Monats bei schwerwiegenden Sicherheitsvorfällen. Der vollständige CRA gilt ab dem 11. Dezember 2027. Siehe unseren CRA-Compliance-Leitfaden für den vollständigen Zeitplan.
Nächster Schritt

Wenn eines dieser Engagements passt, sagen Sie uns welches. Wenn Ihr CRA-Umsetzungsbedarf anders gelagert ist, sagen Sie uns, wobei Sie Hilfe brauchen.

Sie erhalten ein detailliertes schriftliches Angebot per E-Mail, ohne Druck fortzufahren.

Kontakt aufnehmen

Möchten Sie lieber direkt einen Termin buchen? Buchen Sie ein 30-minütiges Roadmap-Gespräch.