CRA ready

Ihr Produkt CRA-konform

Wir machen Ihr digitales Produkt bereit für den EU Cyber Resilience Act

Ob Frequenzumrichter, Desktop-Anwendung, Mobile oder Business App als Software-as-a-Service, der Cyber Resilience Act der EU (CRA) betrifft alle Produkte mit digitalen Elementen. Wir prüfen Ihre etablierten Prozesse und führen eine Gap-Analyse durch, unterstützen Sie bei der Umsetzung oder analysieren Ihre gelebte Cybersicherheit in der Software Entwicklung. Wir helfen Ihnen bei Best Practices und auditieren nachträglich mit externen Auditoren für Ihre Zukunftssicherheit. Damit Sie Ihre Produkte auch noch nach dem 11. Dezember 2027 Inverkehrbringen können, machen wir Sie, Ihr Produkt und Ihre Organisation schon heute reif für den Cyber Resilience Act der EU (CRA)!

Kontakt herstellen

Schritt Eins

Die Gap-Analyse

Wir analysieren Ihre Softwareentwicklungs-Prozesse im Detail. Wir beginnen bei Ihrer Anforderungsanalyse und Ihrem etablierten und gelebten Vorgehensmodell.

Bestandsaufnahme der in der Organisation gelebten Software-Design-Phase

Von diesem gehen wir über zum Entwicklungsteil. Dabei werfen wir einen vertieften Blick auf die bei Ihnen in der Organisation gelebten Designphase zur Softwareentwicklung, passieren dabei Ihre Quellcodes & Implementierungen, Ihre Teststruktur sowie Testinfrastruktur sowie Ihre bereits eingesetzten und etablierten Sicherungsmaßnahmen bezüglich der Validierung und deren Verfikation der Software, ihrer Abhängigkeiten und eingesetzten Services nebst Bibliotheken.

Bestandsaufnahme der Prozesse und bisheriger Dokumentation

Dem schließt sich ein umfassender Blick auf Ihre etablierten Prozesse, Vorlagen und in der Vergangenheit erlebten sowie dokumentierten Sicherheitsvorfälle an. Wir analysieren den Umgang damit, das Management dieser, Ihre Kommunikationsprozesse dazu und Ihr Sicherheitsupdate-Management.

Das Ergebnis der Gap-Analyse

Unter Berücksichtigung Ihrer Risikoanalyse wissen Sie (und wir) am Ende dieser Phase um Ihre Baustellen, die einer CRA-Konformität Ihres (digitalen) Produktes im Wege stehen.

Schritt Zwei

Die Umsetzung

Wir adressieren die identifizierten Baustellen und machen Ihr Produkt CRA-konform. Sie entscheiden: Selbst umsetzen mit Coaching oder das Rundum-Sorglos-Paket.

Wir coachen Ihr Team.

Dazu können wir mit unserem Coaching-Programm Sie, Ihr Team und Ihre Organisation bei der Etablierung von Best-Practices unterstützen und den Finger immer wieder in die Wunde legen, bis es keine mehr gibt (Hilfe zur Selbsthilfe).

Wir machen's einfach.

Alternativ wirken wir aktiv mit unseren Experten bei Ihnen mit, um CRA-Konformität für Ihre vorhandenen Produkte durch erprobte, validierte und etablierte Prozesse zu erreichen.

So machen wir Ihr Produkt CRA-konform.

Kapselung & Absicherung

Manchmal lässt sich alte Software nicht mehr aktualisieren. Alte Bibliotheken, fehlender Support, alte Protokolle und andere Gründe können die Ursache sein. Wenn sich eine Neuentwicklung nicht lohnt, eruieren wir die Kapselung. Wir nehmen Ihr Altsystem und packen es in eine sichere Umgebung (z.B. virtuelle Maschine, Container, …). Diese sichern wir ab, gewährleisten nur den einen expliziten Zugriff, sichern – sofern nötig – bekannte Schwachstellen des Altsystems in der Kapselung ab und stellen das gesicherte Neu- mit dem verpackten Altsystem bereit.

Absicherung des Produkts

Wir etablieren einen sicheren Softwareentwicklungs-Zyklus (SSDLC) in Ihrer Organisation und für Ihre digitalen Produkte. Dabei gehen wir die Sicherheitsanforderungen für Ihre Produkte durch und dokumentieren diese. Im Software Design werden diese adressiert und implementiert. Vorhandene Abhängigkeiten werden erstmal geprüft und durch Automatismen fortwährend sichergestellt. Wir etablieren oder – falls bereits vorhanden – erweitern Ihre CI/CD Pipeline, um allen CRA-Konformitätsanforderungen zu genügen. Wir diskutieren Ihre Teststrategie und erweitern diese zielorientiert. Ebenso stellen wir Ihnen pragmatische Prozesse, Vorlagen und Systeme zur Verfügung. Diese orientieren sich an Ihren Entwicklungsprozessen, um die Adaptionshürden für Ihr Team so niedrig zu möglich zu setzen. Dazu leben unsere Experten Best Practices für Ihre Teams vor und etablieren sie geeignet, damit Ihr Softwareentwicklungs-Prozess von der Idee bis zur Umsetzung den CRA-Anforderungen genügt.

Neuimplementierung des Produkts

Der zukunftssicherste Weg: Nachhaltige Softwarearchitektur, durchdachtes Software-Design einschließlich Security-by-Design, saubere Testsuiten zur Qualtiätssicherung, Verknüpfung von Anforderungen, Implementierung, Verfikation und Validation sowie etablierte Prozesse für das Management von sicherheitsrelevanten Vorfällen nebst automatisierter Überwachung und Nachverfolgung von Sicherheitsanforderungen. Durch automatisierte Abhängigkeitsprüfungen und miteinander verschalteter Systeme erfolgt die CRA-konforme Dokumentation automatisiert. Um eine hohe Adaption Ihres Entwicklungsteams zu gewährleisten, setzen wir – soweit technisch möglich – auf die Ihrerseits bereits existierenden Tools und Systeme und integrieren diese, um eine hohe Prozessadaption innerhalb Ihrer Organisation sicherzustellen.

Schritt Drei

Der Audit

Genauso wie bei einem Informations-, Umwelt- oder Risikomanagementsystem sichern wir den CRA-konformen Softwareentwicklungsprozesses Ihres Produktes durch einen externen Audit (nach IEC 62443-4-1 sowie IEC 62443-4-2) ab. Dazu arbeiten wir mit renommierten Partnern und Auditoren.

Im Ergebnis haben Sie am Ende einen auditierten Prozess bezogen auf den Lebenszyklus Ihres digitalen Produktes, sodass Sie nachweislich ein CRA-konformes, digitales Produkt haben. Wichtig: Sie leben den Prozess , damit im Falle von neuen, bis dato unbekannten Schwachstellen diese auch zügig adressiert, geschlossen und nachweislich dokumentiert sind.