Einhaltung des EU-Cyberresilienzgesetzes
Das EU-Cyber-Resilience-Gesetz (CRA) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Erfahren Sie, wie ImmuniWeb die Verpflichtungen zu Secure-by-Design und Schwachstellenmanagement unterstützt.
Einhaltung des EU-Cyberresilienzgesetzes
Was ist der EU Cyber Resilience Act?
Die CRA ist die erste horizontale EU-Verordnung zur Produktsicherheit im Cyberspace. Sie gilt für „Produkte mit digitalen Elementen“ – Software und Hardware sowie deren Fern-Datenverarbeitungslösungen –, die in den EU-Markt eingeführt werden, unabhängig vom Sitz des Herstellers.
Manufacturers must meet the essential cybersecurity requirements in Annex I, run a conformity assessment, affix the CE marking, provide a machine-readable Software Bill of Materials (SBOM), operate coordinated vulnerability disclosure, and supply security updates throughout the support period.
See how ImmuniWeb supports CRA secure-by-design and vulnerability handling- testing your products with digital elements for exploitable vulnerabilities. Request a demoor run a free Community Edition test.
Wer muss die EU-CRA einhalten?
Die CRA gilt für:
- Hersteller von Produkten mit digitalen Elementen (Software und Hardware), die auf dem EU-Markt in Verkehr gebracht werden.
- Importeure und Händler, die solche Produkte auf den EU-Markt bringen.
- Nicht-EU-Hersteller, deren Produkte auf den EU-Markt gelangen (extraterritoriale Anwendbarkeit).
Software products and web/mobile components in scope must be developed securely and tested for vulnerabilities.
Wichtige CRA-Anforderungen an die Anwendungssicherheit
The Annex I essential requirements drive application-security work:
- Keine bekannten ausnutzbaren Schwachstellen: Produkte müssen ohne bekannte ausnutzbare Schwachstellen in Verkehr gebracht werden.
- Secure by Design: Entwerfen, entwickeln und fertigen Sie Produkte, um ein angemessenes Maß an Cybersicherheit zu gewährleisten.
- Umgang mit Sicherheitslücken: Sicherheitslücken identifizieren und dokumentieren, unverzüglich beheben sowie regelmäßige Tests und Überprüfungen der Produktsicherheit durchführen.
- Sicherheitsupdates & Reporting: Bereitstellung von Sicherheitsupdates während der Supportperiode; Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle (ab 11. September 2026).
CRA-Sicherheitsanforderungen im Detail
Keine bekannten ausnutzbaren Schwachstellen & Secure by Design
Products with digital elements must be placed on the market free of known exploitable vulnerabilities and engineered to be secure by design. Penetration testing and vulnerability scanning of the software and its web and mobile components identify the exploitable issues that must be removed before release.
Umgang mit Schwachstellen und regelmäßige Tests
Annex I requires manufacturers to identify and document vulnerabilities and to perform regular tests and reviews of product security. Continuous scanning and periodic penetration testing - with tracked remediation - operationalise this requirement throughout the support period.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Die Schwachstellen, deren Beseitigung die CRA von Ihnen erwartet, entsprechen weitgehend den OWASP Top 10 für Web- und mobile Komponenten:
- Broken Access Control — Benutzer greifen auf Daten oder Aktionen zu, die ihnen nicht zustehen.
- Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
- Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
- Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
- Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — Der Server wird dazu verleitet, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
So gehen Sie CRA-Konformität mit ImmuniWeb an
- Inventarisieren Sie Produkte und Komponenten. Kartieren Sie internetexponierte Produkte, Apps und APIs mit ImmuniWeb Discovery.
- Testen Sie auf ausnutzbare Schwachstellen mit On-Demand und Neuron vor der Veröffentlichung.
- Testen Sie mobile Komponenten mit MobileSuite und Neuron Mobile.
- Schwachstellen behandeln durch regelmäßige Scans und nachverfolgte Behebung.
- Sichere Entwicklung mit Continuous in CI/CD während des gesamten Supportzeitraums.
- Erneut testen nach Updates und in regelmäßigen Abständen.
Wie ImmuniWeb Ihnen zur EU-CRA-Konformität verhilft
ImmuniWeb unterstützt die CRA-Anforderungen an Secure-by-Design und Schwachstellenmanagement durch Tests, die konformitätsreife Nachweise liefern.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Keine bekannten ausnutzbaren Schwachstellen | Beseitigen Sie ausnutzbare Schwachstellen vor dem Release. | On-Demand, Neuron |
| Schwachstellenmanagement | Produktsicherheit identifizieren, dokumentieren und regelmäßig testen. | Neuron, On-Demand, Discovery |
| Sichere Entwicklung / Supportzeitraum | Secure the SDLC; test across the support period. | Continuous, MobileSuite |
ImmuniWeb On-Demand und MobileSuite liefern Web- und mobile Penetrationstests; Neuron und Neuron Mobile bieten automatisierte Scans; Continuous integriert Tests in CI/CD; und Discovery kartiert die Angriffsfläche Ihrer Produkte und Komponenten – gemeinsam erbringen sie Nachweise für die CRA-Konformität.
EU-CRA im Vergleich zu internationalen Rahmenwerken
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| EU CRA | Secure-by-Design + Schwachstellenmanagement für Produkte | Web-/Mobil-Penetrationstests + Scans + ASM |
| EU NIS 2 | Maßnahmen zum organisatorischen Risikomanagement | Dieselben Tests decken beide ab |
| EU AI Act | Cybersicherheit hochriskanter KI | Securing apps and components around AI |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Erfassung von Produkten mit digitalen Elementen und deren Komponenten
- Getestete Produkte, frei von bekannten, ausnutzbaren Schwachstellen
- Dokumentierte Secure-by-Design-Verfahren
- Etablierter Prozess zur Handhabung von Schwachstellen mit regelmäßigen Tests
- Sicherheitsupdates bereitgestellt während des gesamten Support-Zeitraums
- Reporting workflow ready for the 11 September 2026 obligations
- Konformitätsnachweis und SBOM geführt
Warum die Einhaltung der EU-CRA-Vorschriften wichtig ist
Nach dem 11. Dezember 2027 dürfen Produkte, die die CRA-Konformität nicht erfüllen, nicht mehr auf den EU-Markt gebracht werden, und bei Nichteinhaltung können Geldbußen von bis zu 15 Millionen EUR oder 2,5 % des weltweiten Jahresumsatzes verhängt werden. Ab dem 11. September 2026 müssen Hersteller bereits aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb enger Fristen melden.
Da ausnutzbare Schwachstellen in Software sowie deren Web- und Mobile-Komponenten genau das Ziel der CRA sind, ist ein nachweisbarer Test einer der direktesten Wege, um die wesentlichen Anforderungen zu erfüllen und den Zugang zum EU-Markt zu schützen.