Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

Einhaltung des EU-Cyberresilienzgesetzes

Das EU-Cyber-Resilience-Gesetz (CRA) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Erfahren Sie, wie ImmuniWeb die Verpflichtungen zu Secure-by-Design und Schwachstellenmanagement unterstützt.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung des EU-Cyberresilienzgesetzes
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
EU Cyber Resilience Act Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung des EU-Cyberresilienzgesetzes

Was ist der EU Cyber Resilience Act?

Die CRA ist die erste horizontale EU-Verordnung zur Produktsicherheit im Cyberspace. Sie gilt für „Produkte mit digitalen Elementen“ – Software und Hardware sowie deren Fern-Datenverarbeitungslösungen –, die in den EU-Markt eingeführt werden, unabhängig vom Sitz des Herstellers.

Manufacturers must meet the essential cybersecurity requirements in Annex I, run a conformity assessment, affix the CE marking, provide a machine-readable Software Bill of Materials (SBOM), operate coordinated vulnerability disclosure, and supply security updates throughout the support period.

See how ImmuniWeb supports CRA secure-by-design and vulnerability handling- testing your products with digital elements for exploitable vulnerabilities. Request a demoor run a free Community Edition test.

Wer muss die EU-CRA einhalten?

Die CRA gilt für:

  • Hersteller von Produkten mit digitalen Elementen (Software und Hardware), die auf dem EU-Markt in Verkehr gebracht werden.
  • Importeure und Händler, die solche Produkte auf den EU-Markt bringen.
  • Nicht-EU-Hersteller, deren Produkte auf den EU-Markt gelangen (extraterritoriale Anwendbarkeit).

Software products and web/mobile components in scope must be developed securely and tested for vulnerabilities.

Wichtige CRA-Anforderungen an die Anwendungssicherheit

The Annex I essential requirements drive application-security work:

  • Keine bekannten ausnutzbaren Schwachstellen: Produkte müssen ohne bekannte ausnutzbare Schwachstellen in Verkehr gebracht werden.
  • Secure by Design: Entwerfen, entwickeln und fertigen Sie Produkte, um ein angemessenes Maß an Cybersicherheit zu gewährleisten.
  • Umgang mit Sicherheitslücken: Sicherheitslücken identifizieren und dokumentieren, unverzüglich beheben sowie regelmäßige Tests und Überprüfungen der Produktsicherheit durchführen.
  • Sicherheitsupdates & Reporting: Bereitstellung von Sicherheitsupdates während der Supportperiode; Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle (ab 11. September 2026).

CRA-Sicherheitsanforderungen im Detail

Keine bekannten ausnutzbaren Schwachstellen & Secure by Design

Products with digital elements must be placed on the market free of known exploitable vulnerabilities and engineered to be secure by design. Penetration testing and vulnerability scanning of the software and its web and mobile components identify the exploitable issues that must be removed before release.

Umgang mit Schwachstellen und regelmäßige Tests

Annex I requires manufacturers to identify and document vulnerabilities and to perform regular tests and reviews of product security. Continuous scanning and periodic penetration testing - with tracked remediation - operationalise this requirement throughout the support period.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Die Schwachstellen, deren Beseitigung die CRA von Ihnen erwartet, entsprechen weitgehend den OWASP Top 10 für Web- und mobile Komponenten:

  • Broken Access Control — Benutzer greifen auf Daten oder Aktionen zu, die ihnen nicht zustehen.
  • Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
  • Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
  • Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
  • Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
  • Server-Side Request Forgery (SSRF) — Der Server wird dazu verleitet, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

So gehen Sie CRA-Konformität mit ImmuniWeb an

  1. Inventarisieren Sie Produkte und Komponenten. Kartieren Sie internetexponierte Produkte, Apps und APIs mit ImmuniWeb Discovery.
  2. Testen Sie auf ausnutzbare Schwachstellen mit On-Demand und Neuron vor der Veröffentlichung.
  3. Testen Sie mobile Komponenten mit MobileSuite und Neuron Mobile.
  4. Schwachstellen behandeln durch regelmäßige Scans und nachverfolgte Behebung.
  5. Sichere Entwicklung mit Continuous in CI/CD während des gesamten Supportzeitraums.
  6. Erneut testen nach Updates und in regelmäßigen Abständen.

Wie ImmuniWeb Ihnen zur EU-CRA-Konformität verhilft

ImmuniWeb unterstützt die CRA-Anforderungen an Secure-by-Design und Schwachstellenmanagement durch Tests, die konformitätsreife Nachweise liefern.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Keine bekannten ausnutzbaren Schwachstellen Beseitigen Sie ausnutzbare Schwachstellen vor dem Release. On-Demand, Neuron
Schwachstellenmanagement Produktsicherheit identifizieren, dokumentieren und regelmäßig testen. Neuron, On-Demand, Discovery
Sichere Entwicklung / Supportzeitraum Secure the SDLC; test across the support period. Continuous, MobileSuite

ImmuniWeb On-Demand und MobileSuite liefern Web- und mobile Penetrationstests; Neuron und Neuron Mobile bieten automatisierte Scans; Continuous integriert Tests in CI/CD; und Discovery kartiert die Angriffsfläche Ihrer Produkte und Komponenten – gemeinsam erbringen sie Nachweise für die CRA-Konformität.

EU-CRA im Vergleich zu internationalen Rahmenwerken

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
EU CRA Secure-by-Design + Schwachstellenmanagement für Produkte Web-/Mobil-Penetrationstests + Scans + ASM
EU NIS 2 Maßnahmen zum organisatorischen Risikomanagement Dieselben Tests decken beide ab
EU AI Act Cybersicherheit hochriskanter KI Securing apps and components around AI
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Erfassung von Produkten mit digitalen Elementen und deren Komponenten
  • Getestete Produkte, frei von bekannten, ausnutzbaren Schwachstellen
  • Dokumentierte Secure-by-Design-Verfahren
  • Etablierter Prozess zur Handhabung von Schwachstellen mit regelmäßigen Tests
  • Sicherheitsupdates bereitgestellt während des gesamten Support-Zeitraums
  • Reporting workflow ready for the 11 September 2026 obligations
  • Konformitätsnachweis und SBOM geführt

Warum die Einhaltung der EU-CRA-Vorschriften wichtig ist

Nach dem 11. Dezember 2027 dürfen Produkte, die die CRA-Konformität nicht erfüllen, nicht mehr auf den EU-Markt gebracht werden, und bei Nichteinhaltung können Geldbußen von bis zu 15 Millionen EUR oder 2,5 % des weltweiten Jahresumsatzes verhängt werden. Ab dem 11. September 2026 müssen Hersteller bereits aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb enger Fristen melden.

Da ausnutzbare Schwachstellen in Software sowie deren Web- und Mobile-Komponenten genau das Ziel der CRA sind, ist ein nachweisbarer Test einer der direktesten Wege, um die wesentlichen Anforderungen zu erfüllen und den Zugang zum EU-Markt zu schützen.

Häufig gestellte Fragen

  • Q
    Was ist der EU Cyber Resilience Act?
    A
    Verordnung (EU) 2024/2847, das horizontale EU-Gesetz zur Produktsicherheit für Produkte mit digitalen Elementen, in Kraft seit dem 10. Dezember 2024.
  • Q
    Ab wann gilt die CRA?
    A
    Die Meldepflichten gelten ab dem 11. September 2026, die Hauptpflichten (secure-by-design, Konformitätsbewertung, CE-Kennzeichnung) ab dem 11. Dezember 2027.
  • Q
    Wer muss die CRA einhalten?
    A
    Manufacturers, importers and distributors placing products with digital elements on the EU market, including non-EU manufacturers.
  • Q
    What does the CRA require for security?
    A
    Produkte ohne bekannte ausnutzbare Schwachstellen, Secure-by-Design-Entwicklung, Schwachstellenmanagement mit regelmäßigen Tests und Sicherheitsupdates während der Supportdauer.
  • Q
    Wie unterstützt ImmuniWeb bei der CRA-Konformität?
    A
    Durch das Testen von Software und deren Web- und Mobile-Komponenten auf ausnutzbare Schwachstellen sowie durch die Unterstützung der laufenden Schwachstellenbehandlung während der gesamten Support-Phase.
  • Q
    Welche Sanktionen sieht das CRA vor?
    A
    Bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes sowie Ausschluss vom EU-Markt für nicht konforme Produkte.
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
EU Cyber Resilience Act Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten