Von ISO 27001:2022 zur CRA-Compliance: Systematische Gap-Analyse und Implementierungsroadmap
Von ISO 27001:2022 zur CRA-Compliance (Cbyer Reseliance Act): Vollständige Gap-Analyse, Mapping-Tabelle aller 93 Controls und 24-Monats-Implementierungs-Roadmap.
Executive Summary
Organisationen mit bestehender ISO 27001:2022-Zertifizierung verfügen bereits über ein solides Fundament für die CRA-Compliance. Diese Analyse quantifiziert die bestehende Coverage, identifiziert systematisch alle Gaps und definiert konkrete Maßnahmen zur CRA-Erfüllung.
Kurz: ISO 27001:2022 deckt circa 67%/48% (je nach Sektion) der CRA-Anforderungen ab. Die verbleibenden 33%/52% erfordern gezielte produktspezifische Ergänzungen in den Bereichen SBOM, CVD-Programme, automatische Updates und erweiterte Incident-Reporting-Prozesse.
1. Ausgangssituation: ISO 27001:2022 als Fundament
1.1 Was Sie bereits haben
Mit einer ISO 27001:2022-Zertifizierung haben Sie bereits implementiert:
Governance & Management:
- Strukturiertes ISMS mit definierten Rollen und Verantwortlichkeiten
- Dokumentiertes Risikomanagement-Framework
- Management-Reviews und kontinuierliche Verbesserungsprozesse
- Internal Audit-Programme
Sicherheitskontrollen:
- 93 Annex A Controls (vollständig oder selektiv basierend auf Statement of Applicability)
- Incident Management-Prozesse
- Vulnerability Management
- Zugriffskontroll-Mechanismen
- Kryptographie-Standards
- Security Awareness Training
Dokumentation:
- ISMS-Policies und Procedures
- Risk Assessment und Treatment Plan
- Statement of Applicability (SoA)
- Audit-Nachweise und Records
1.2 Was der CRA zusätzlich verlangt
Der CRA (Verordnung (EU) 2024/2847, in Kraft seit 10. Dezember 2024) adressiert produktspezifische Cybersicherheit und verlangt:
Produktfokus statt Organisationsfokus:
- Einzelne Produkte mit digitalen Elementen (PDEs) müssen CRA-konform sein
- CE-Kennzeichnung als Konformitätsnachweis
- Produktlebenszyklus-Verantwortung
Spezifische technische Anforderungen:
- Software Bill of Materials (SBOM) für jedes Produkt
- Automatische Sicherheitsupdates (standardmäßig aktiviert)
- Coordinated Vulnerability Disclosure (CVD) Programme
- 24-Stunden-Meldefrist bei aktiv ausgenutzten Schwachstellen
Rechtliche Verbindlichkeit:
- Obligatorisch für EU-Marktzugang
- Sanktionen bis €15 Millionen oder 2,5% des Jahresumsatzes
- Nicht freiwillig wie ISO 27001
2. Vollständige Mapping-Tabelle: ISO 27001:2022 → CRA Essential Requirements
Die folgende Tabelle mappt alle CRA Essential Requirements (Annex I) auf ISO 27001:2022 Controls und identifiziert Gaps.
2.1 Annex I, Section 1: Produktsicherheitsanforderungen
| CRA Requirement | ISO 27001:2022 Control(s) | Coverage | Gap / Zusätzliche Maßnahme |
|---|---|---|---|
| 1.1 Secure by Design & Default | A.8.25 (SDLC) A.8.27 (Architecture) A.5.10 (Acceptable Use) A.8.9 (Configuration Management) |
70% | Gap: Produktspezifische Secure Configuration Guides, Default-Hardening-Anforderungen |
| 1.2 Datenminimierung | A.5.34 (Privacy & PII Protection) A.8.10 (Information Deletion) A.8.11 (Data Masking) |
85% | Gap: Produktspezifische Data Minimization Documentation |
| 1.3 Schutz vor Schwachstellen | A.8.8 (Vulnerability Management) A.8.29 (Security Testing) A.5.7 (Threat Intelligence) |
60% | Gap: Pre-release Vulnerability Scanning, SBOM-basierte Component Tracking |
| 1.4 Exploitation-Schutz | A.8.7 (Malware Protection) A.8.20 (Network Security) A.8.21 (Network Services Security) |
50% | Gap: Spezifische Exploit-Mitigation-Techniken (ASLR, DEP, Stack Canaries), Memory-Safety-Requirements |
| 1.5 Sicherheitsupdates | A.8.19 (Software Installation) A.8.8 (Vulnerability Management) |
40% | Gap: Automatische Update-Mechanismen (Opt-out), Separate Security- vs. Feature-Updates, Signed Updates |
| 1.6 Keine bekannten Schwachstellen bei Markteinführung | A.8.8 (Vulnerability Management) A.8.29 (Security Testing) |
65% | Gap: Release-Criteria mit Zero-Known-Exploitable-Vulnerabilities, SBOM-Scanning |
| 1.7 Sichere Auslieferung | A.5.37 (Documented Operating Procedures) A.8.31 (Separation in Dev/Test/Prod) |
55% | Gap: Supply Chain Security, Code Signing, Artifact Integrity Verification |
| 2.1 Zugriffskontrollen | A.5.15-5.18 (Access Control) A.8.3 (Privileged Access) A.8.5 (Authentication) |
90% | Minimal Gap: Product-specific Access Control Documentation |
| 2.2 Schutz gespeicherter Daten | A.8.24 (Cryptographic Keys) A.8.11 (Data Masking) A.8.1 (User Endpoint Devices) |
75% | Gap: Product-specific Encryption Standards, Key Management pro Produkt |
| 2.3 Schutz übertragener Daten | A.8.20 (Network Security) A.8.24 (Cryptography) A.5.14 (Information Transfer) |
85% | Minimal Gap: TLS-Version-Requirements, Certificate Management |
| 2.4 Minimale Angriffsfläche | A.8.9 (Configuration Management) A.8.18 (Privileged Utilities) |
50% | Gap: Attack Surface Mapping pro Produkt, Unused Services Disabled by Default |
| 2.5 Input-Validierung | A.8.28 (Secure Coding) | 60% | Gap: Spezifische Input-Validation-Standards, Fuzzing-Requirements |
| 2.6 Logging & Monitoring | A.8.15 (Logging) A.8.16 (Monitoring Activities) A.5.26 (Response to Incidents) |
75% | Gap: Product-specific Security Event Logging, Tamper-Proof Logs |
| 2.7 Fehlerbehandlung | A.8.28 (Secure Coding) | 50% | Gap: Secure Error Handling Standards (keine sensiblen Infos in Errors) |
| 2.8 Session Management | A.8.5 (Secure Authentication) A.5.17 (Authentication Information) |
70% | Gap: Session Timeout Policies, Secure Session Token Handling |
Zusammenfassung Section 1:
- Durchschnittliche Coverage: 67%
- Kritischste Gaps: Automatische Updates (1.5), Exploitation-Schutz (1.4), Attack Surface (2.4)
2.2 Annex I, Section 2: Schwachstellenmanagement-Prozesse
| CRA Requirement | ISO 27001:2022 Control(s) | Coverage | Gap / Zusätzliche Maßnahme |
|---|---|---|---|
| 2.1 Schwachstellen-Identifikation & Dokumentation | A.8.8 (Vulnerability Management) A.5.7 (Threat Intelligence) |
70% | Gap: SBOM-basierte Component-Tracking, Structured Vulnerability Documentation |
| 2.2 Schwachstellen-Adressierung | A.8.8 (Vulnerability Management) A.5.26 (Incident Response) |
75% | Gap: Defined Remediation Timelines basierend auf Severity, Patch Development Process |
| 2.3 Vulnerability Disclosure Policy | A.5.6 (Contact with Authorities) A.5.26 (Incident Response) |
30% | Gap: Formales CVD-Programm gemäß ISO/IEC 29147, Public Disclosure Policy, Security Contact |
| 2.4 Information über Schwachstellen | A.5.5 (Contact with Special Interest Groups) A.8.8 (Vulnerability Management) |
50% | Gap: Proaktive Nutzerinformation, Security Advisories, Standardisiertes Format |
| 2.5 Exploitierte Schwachstellen melden | A.5.6 (Contact with Authorities) A.5.27 (Learning from Incidents) |
20% | GAP: 24h-Meldefrist an CSIRT/CERT, Integration mit Single Reporting Platform (SRP) |
| 2.6 Schwere Incidents melden | A.5.24-5.26 (Incident Management) A.5.28 (Evidence Collection) |
40% | Gap: CRA-spezifische Incident Classification, 24h-Reporting-Workflows |
| 2.7 Korrektive Maßnahmen | A.6.8 (Disciplinary Process) A.5.27 (Learning from Incidents) |
80% | Minimal Gap: Product Recalls, Market Withdrawal Procedures |
| 2.8 Support-Zeitraum | A.5.1 (Information Security Policy) | 10% | Gap: Definierter und kommunizierter Support Period pro Produkt, End-of-Life-Policy |
| 2.9 Technische Dokumentation | A.5.1 (Documented Information) A.5.37 (Operating Procedures) |
60% | Gap: CRA-spezifisches Documentation Package (10 Jahre Retention), EU Declaration of Conformity |
Zusammenfassung Section 2:
- Durchschnittliche Coverage: 48%
- Kritischste Gaps: CVD-Programm (2.3), 24h-Meldepflicht (2.5, 2.6), Support Period (2.8)
3. Die 10 kritischen Gaps und wie Sie sie schließen
Basierend auf der Mapping-Analyse sind dies die 10 kritischsten Gaps, die ISO 27001-zertifizierte Organisationen schließen müssen:
Gap 1: Software Bill of Materials (SBOM)
CRA-Anforderung: Jedes Produkt muss eine maschinenlesbare SBOM enthalten, die alle Komponenten und Abhängigkeiten dokumentiert.
ISO 27001 Status: Keine direkte Anforderung für SBOM.
Was Sie tun müssen:
- Tool-Auswahl & Integration:
- Implementierung von SBOM-Generierungs-Tools (CycloneDX, SPDX, Syft)
- Integration in CI/CD-Pipeline für automatische SBOM-Generierung
- Format: Bevorzugt CycloneDX 1.5+ oder SPDX 2.3+
- SBOM-Inhalt:
- Alle direkten und transitiven Abhängigkeiten
- Versionsnummern
- Lizenzen
- Known Vulnerabilities (CVEs)
- Component Hashes
- Governance:
- SBOM-Review als Release-Kriterium
- Quarterly SBOM-Audits
- SBOM-Archivierung (10 Jahre)
Prozess-Etablierung:
Code Commit → Build → SBOM Generation → SBOM Signing →
SBOM Storage → SBOM Distribution (mit Produkt)
Zeitrahmen: 2-3 Monate
Gap 2: Coordinated Vulnerability Disclosure (CVD) Programm
CRA-Anforderung: Etablierung eines CVD-Programms gemäß ISO/IEC 29147 mit öffentlichem Disclosure-Prozess.
ISO 27001 Status: Incident Management vorhanden, aber kein formales CVD.
Was Sie tun müssen:
- Vulnerability Disclosure Policy (VDP) erstellen:Beispiel-Struktur:
- Scope: Welche Produkte/Systeme sind im Scope?
- Reporting Channel: security@ihreorganisation.com
- Response Times: Acknowledgment <72h, Triage <7 days
- Disclosure Timeline: 90 days coordinated disclosure
- Safe Harbor: Legal protection für Researcher
- Recognition: Hall of Fame, Bug Bounty (optional)
- Security Contact etablieren:
- Registrierung von security.txt gemäß RFC 9116
- Veröffentlichung auf Website und in Produktdokumentation
- CSAF-Provider-Metadaten (für strukturierte Advisories)
- Tooling:
- Ticketsystem mit Security-Triage (Jira Security, HackerOne)
- Schwachstellen-Datenbank intern
- Advisory-Management (CSAF Format)
CVD-Workflow implementieren:
Report Received → Triage (Severity Scoring) →
Validation (Reproduktion) → Fix Development →
Researcher Notification → Coordinated Disclosure (90d) →
Public Advisory → CVE Assignment
Zeitrahmen: 2-4 Monate
Gap 3: Automatische Sicherheitsupdates
CRA-Anforderung: Automatische Updates standardmäßig aktiviert (Opt-out für Nutzer), getrennt von Feature-Updates.
ISO 27001 Status: Update-Management vorhanden, aber keine Automatic-Update-Requirement.
Was Sie tun müssen:
- Update-Architektur:
- Secure Update Server Infrastruktur
- Code Signing (Signatur aller Updates)
- Update Verification (Client-seitige Signature-Checks)
- Rollback-Mechanismus bei fehlgeschlagenen Updates
- Update-Delivery:
- Delta-Updates (Bandbreiten-Optimierung)
- Staged Rollouts (Canary → Beta → Production)
- Update-Priorisierung basierend auf Severity
- User Experience:
- Clear UI für Update-Status
- Update-Historie
- Opt-out-Option mit Warnhinweis
- Emergency Update Notifications
Update-Typen trennen:
| Update-Typ | Verhalten | Opt-out |
|---|---|---|
| Security Updates | Auto-install | Möglich |
| Feature Updates | User-triggered oder separate Channel | Standard |
| Critical Security | Force-Update | Nicht möglich |
Zeitrahmen: 3-6 Monate
Gap 4: 24-Stunden-Incident-Reporting
CRA-Anforderung: Aktiv ausgenutzte Schwachstellen und schwere Incidents binnen 24 Stunden an CSIRT melden.
ISO 27001 Status: Incident Response vorhanden, aber keine 24h-Meldefrist.
Was Sie tun müssen:
- Incident-Classification verschärfen:CRA-Reportable Incidents:Classification: Critical → 24h Reporting
- Aktiv ausgenutzte Schwachstellen (confirmed exploitation)
- Schwere Cybersecurity-Incidents (data breach, DoS, etc.)
- Incidents mit signifikanter Nutzerauswirkung
- Single Reporting Platform (SRP) Integration:
- EU entwickelt zentrale Meldeplattform
- API-Integration vorbereiten
- Automatisierte Meldung wo möglich
- 24/7 On-Call:
- Security On-Call Rotation
- Eskalations-Matrix
- Runbooks für CRA-Reporting
Reporting-Workflow:
Incident Detection → Severity Assessment (<2h) →
[IF CRITICAL] → CSIRT Notification (<24h) →
Follow-up Reports (Updates every 72h) →
Final Report (nach Remediation)
Zeitrahmen: 1-2 Monate
Gap 5: Produktspezifische Risikobewertung
CRA-Anforderung: Cybersecurity-Risikobewertung für jedes einzelne Produkt vor Markteinführung.
ISO 27001 Status: Organisatorisches Risk Assessment vorhanden, aber nicht produktspezifisch.
Was Sie tun müssen:
- Produkt Risk Assessment Template:Für jedes Produkt dokumentieren:
- Threat Model (STRIDE, PASTA)
- Attack Vectors und Attack Surface
- Datenflüsse (DFDs)
- Trust Boundaries
- Risiko-Register mit Mitigations
- Residual Risks
- Threat Modeling Integration:
- Threat Modeling in Design Phase
- Tool-Support (Microsoft Threat Modeling Tool, OWASP Threat Dragon)
- Peer-Review von Threat Models
- Update bei Major Product Changes
- Risk Treatment Plan pro Produkt:
- Linked zu organisatorischem ISMS Risk Treatment
- Produkt-spezifische Security Controls
- Acceptance Criteria für Release
- Documentation:
- Risk Assessment Report (10 Jahre Aufbewahrung)
- Security Architecture Documents
- Design Security Review Sign-offs
Zeitrahmen: 2-3 Monate (Framework), dann ongoing
Gap 6: Support Period Definition & Communication
CRA-Anforderung: Klare Kommunikation des Support-Zeitraums, während dem Sicherheitsupdates bereitgestellt werden.
ISO 27001 Status: Keine Anforderung für Support-Period-Definition.
Was Sie tun müssen:
- Support Policy definieren:Beispiel-Policy:
- Standard Products: 5 Jahre ab Markteinführung
- Critical Products: 10 Jahre + Extended Support Option
- End-of-Life: 12 Monate Notice vor Support-Ende
- Extended Support: Kostenpflichtige Option verfügbar
- Kommunikationskanäle:
- Support Period in Produktdokumentation
- Auf Website veröffentlicht
- In SBOM enthalten (versionedExternalReference)
- End-of-Life-Notifications an registrierte Nutzer
- Post-Support-Handling:
- Migration Guides zu neueren Versionen
- Critical Security-Only Updates (optional, kostenpflichtig)
- Deaktivierung von Update-Servern nach EOL + Grace Period
Support-Matrix:
| Produkt | Release Date | Support bis | EOL Announcement | Status |
|---|---|---|---|---|
| Product A v2.0 | 01/2023 | 01/2028 | - | Supported |
| Product B v1.5 | 06/2020 | 06/2025 | 06/2024 | End-of-Life approaching |
Zeitrahmen: 1-2 Monate
Gap 7: Pre-Release Vulnerability Scanning
CRA-Anforderung: Keine bekannten exploitbaren Schwachstellen bei Markteinführung.
ISO 27001 Status: Security Testing vorhanden (A.8.29), aber keine explizite "Zero Known Vulnerabilities"-Anforderung.
Was Sie tun müssen:
- Vulnerability Remediation SLAs:
- Critical: Fix within 7 days
- High: Fix within 30 days
- Medium: Fix within 90 days
- Low: Fix within 180 days or next major release
- Continuous Monitoring:
- Subscribe zu Security Advisories aller Dependencies
- Automated Alerts bei neuen CVEs in verwendeten Komponenten
- Rapid Response Process für Zero-Days
Release Gates:
| Severity | Release Policy |
|---|---|
| CRITICAL | 0 allowed |
| HIGH | 0 unmitigated (must have compensating controls) |
| MEDIUM | <5 with documented risk acceptance |
| LOW | Tracked but not release-blocking |
Multi-Layer Scanning:
| Layer | Tool-Kategorie | Tools (Beispiele) | Frequency |
|---|---|---|---|
| Layer 1 | Static Application Security Testing (SAST) | SonarQube, Checkmarx, Veracode | Every Commit |
| Layer 2 | Software Composition Analysis (SCA) | Snyk, Black Duck, OWASP Dependency-Check | Daily |
| Layer 3 | Dynamic Application Security Testing (DAST) | OWASP ZAP, Burp Suite, Acunetix | Weekly + Pre-Release |
| Layer 4 | Penetration Testing | Internal + External Pentest | Pre-Major-Release + Annual |
Zeitrahmen: 3-4 Monate (Tool Integration + Process)
Gap 8: Secure Coding Standards & Training
CRA-Anforderung: Sichere Programmierpraktiken während des gesamten Entwicklungszyklus.
ISO 27001 Status: A.8.28 (Secure Coding) vorhanden, aber oft nicht detailliert genug für CRA.
Was Sie tun müssen:
- Secure Coding Guidelines entwickeln:Basis: OWASP Secure Coding PracticesPlus: Language-specific Guidelines (Java, C++, Python, etc.)Plus: Framework-specific (React, Angular, Spring, etc.)Mandatory Topics:
- Input Validation & Sanitization
- Output Encoding
- Authentication & Session Management
- Cryptography (welche Algorithmen, Key Lengths)
- Error Handling & Logging
- Memory Safety (für C/C++)
- SQL Injection Prevention
- XSS Prevention
- CSRF Protection
- Developer Training:
- Mandatory Secure Coding Training (16h) für alle Developer
- Annual Refresher (4h)
- Specialized Training (Web Security, Mobile Security, IoT Security)
- Hands-on Labs (WebGoat, Juice Shop, etc.)
- Secure Code Review Process:
- Peer Code Reviews mit Security Checklist
- Automated Code Review (SAST Integration in PR-Process)
- Security Champion Program (trained Security-minded Developers)
- Knowledge Base:
- Internal Secure Coding Wiki
- Code Snippets & Patterns
- Common Vulnerability Examples & Fixes
- Post-Incident Learnings
Zeitrahmen: 3-6 Monate (rollout across teams)
Gap 9: CE-Kennzeichnung & Technical Documentation
CRA-Anforderung: CE-Kennzeichnung als Konformitätsnachweis, umfassende technische Dokumentation (10 Jahre).
ISO 27001 Status: ISMS-Dokumentation vorhanden, aber nicht CRA-spezifisch.
Was Sie tun müssen:
- Technical Documentation Package erstellen:Required Documents pro Produkt:
- ✓ EU Declaration of Conformity
- ✓ Cybersecurity Risk Assessment
- ✓ Security Architecture Description
- ✓ SBOM (alle Versionen)
- ✓ Vulnerability Handling Documentation
- ✓ Test Reports (Security Testing Results)
- ✓ User Security Documentation
- ✓ Support Period Declaration
- ✓ Change History (alle Security-relevanten Changes)
- Dokumenten-Management:
- Zentrales Repository für Technical Documentation
- Versionskontrolle
- Zugriffskontrollen (nur autorisiertes Personal)
- 10-Jahres-Archivierung (von Markteinführung oder Support-Ende)
- CE-Kennzeichnung:
- CE-Mark auf Produkt anbringen (Verpackung oder digital)
- Format gemäß Regulation (EU) 765/2008
- Notified Body Number (falls relevant)
Konformitätsbewertung durchführen:
| Produktklasse | Konformitätsbewertung | Module |
|---|---|---|
| Standard Products (Class I) | Self-Assessment | Interne Dokumentation EU Declaration of Conformity CE-Marking |
| Important Products (Class II - Annex III) | Third-Party Assessment | EU Type Examination (Module B) + Production QA (Module C) |
| Critical Products (Class III - Annex IV) | Full Assessment | Full Quality Assurance (Module H) oder EU Type Examination + Product Verification (Module F) |
Zeitrahmen: 2-4 Monate/Produkt
Gap 10: Supply Chain Security & Component Tracking
CRA-Anforderung: Verantwortung für gesamte Supply Chain, einschließlich Drittkomponenten.
ISO 27001 Status: A.5.19-5.22 (Supplier Relationships) vorhanden, aber nicht produktspezifisch.
Was Sie tun müssen:
- Supplier Security Assessment erweitern:Für Software-/Hardware-Suppliers zusätzlich prüfen:
- ✓ Haben sie eigenes SBOM-Management?
- ✓ CVD-Programm vorhanden?
- ✓ Security Patch SLAs?
- ✓ End-of-Life-Policy?
- ✓ Werden sie CRA-compliant sein?
- Dependency Management:
- Dependency-Tracking-Tool (Dependency-Track, Sonatype Nexus)
- Automatisierte Vulnerability Scanning aller Dependencies
- License Compliance Checking
- Policy: Nur approved Dependencies verwenden
- Software Supply Chain Security:
- SLSA (Supply-chain Levels for Software Artifacts) Level implementieren
- Build Provenance (Sigstore, in-toto)
- Artifact Verification (Checksum, Signatures)
- Reproducible Builds wo möglich
- Contractual Requirements:Update Supplier Contracts mit CRA-relevanten Klauseln:
- Vulnerability Notification Obligations
- Patch Delivery SLAs
- SBOM Provision
- Right to Audit
Zeitrahmen: 4-6 Monate
4. Priorisierte Implementierungs-Roadmap
Zeitrahmen: November 2025 - November 2027 (764 Tage)
Phase 1: Foundation (November 2025 - März 2026, 4 Monate)
Ziel: Kritischste Gaps schließen, Quick Wins realisieren
| Monat | Aktivitäten | Deliverables |
|---|---|---|
| Nov 2025 | • Gap-Assessment abschließen • Budget und Ressourcen sichern • Projektteam etablieren |
• Gap Analysis Report • Approved Budget • Project Charter |
| Dez 2025 | • SBOM-Tools evaluieren & kaufen • CVD-Policy-Entwurf • Support Period Policy definieren |
• SBOM Tool Selection • Draft CVD Policy • Support Matrix |
| Jan 2026 | • SBOM-Integration in CI/CD starten • CVD-Programm Launch (Public VDP) • Security Contact (security.txt) etablieren |
• SBOM für 1-2 Pilot-Produkte • Live CVD Program • security.txt published |
| Feb 2026 | • Produktspezifische Risk Assessments (Piloten) • 24h-Incident-Reporting-Workflow • Secure Coding Training (Wave 1) |
• 2-3 Product Risk Assessments • Updated Incident Response Playbook • Training für 30% der Devs |
| Mär 2026 | • Pre-Release Scanning Tools evaluieren • Technical Documentation Templates • Phase 1 Review |
• SAST/SCA Tool Selection • Doc Templates • Phase 1 Completion Report |
Phase 2: Scale (April - September 2026, 6 Monate)
Ziel: Alle Produkte erfassen, Prozesse standardisieren, Reporting-Fähigkeit aufbauen
| Monat | Aktivitäten | Deliverables |
|---|---|---|
| Apr 2026 | • SBOM für alle Produkte (Rollout) • Automated Update Infrastructure (Design) |
• SBOM Coverage: 50% Produkte • Update Architecture Document |
| Mai 2026 | • SAST/DAST/SCA Integration • Secure Coding Training (Wave 2) • Supply Chain Security Assessment |
• Scanning in CI/CD live • Training für 70% der Devs • Supplier Risk Report |
| Jun 2026 | • Vor Reporting-Pflicht (11. Sep 2026): • 24h-Reporting vollständig testen • SRP-Integration vorbereiten |
• Tested Reporting Process • SRP API Integration |
| Jul 2026 | • Automated Update Development • Product Risk Assessments (Batch 2) |
• Update Prototype • 50% Produkte risk-assessed |
| Aug 2026 | • Technical Documentation (Batch Production) • CE-Kennzeichnung vorbereiten |
• 30% Produkte dokumentiert • CE-Mark Design |
| Sep 2026 | • Reporting-Pflicht aktiv • Internal Audit (CRA-fokussiert) |
• Reporting Capability Live • Audit Report |
Phase 3: Finalization (Oktober 2026 - September 2027, 12 Monate)
Ziel: 100% Compliance, Zertifizierungen, Kontinuierliche Verbesserung
| Quartal | Aktivitäten | Deliverables |
|---|---|---|
| Q4 2026 | • Automated Updates (Rollout) • SBOM 100% Coverage • Remaining Product Risk Assessments |
• Auto-Update in 50% Produkte • Full SBOM Coverage • All Products Risk-Assessed |
| Q1 2027 | • Technical Documentation Completion • Notified Body Assessments (Class II/III) • Penetration Testing Campaign |
• 80% Produkte dokumentiert • NB Assessments gestartet • Pentest Reports |
| Q2 2027 | • CE-Kennzeichnung (Rollout) • EU Declarations of Conformity • Security Awareness (User Documentation) |
• CE-Mark auf 70% Produkte • DoCs ausgefertigt • User Security Guides |
| Q3 2027 | • Final Compliance Verification • External Audit/Assessment • 11. Dezember 2027: CRA Deadline |
• 100% CRA-Compliant • External Audit Report • Ready for Market |
5. Quick-Check: Ist Ihre Organisation bereit?
5.1 CRA Readiness Assessment
Bewerten Sie Ihre Organisation (je 0-5 Punkte):
Governance & Prozesse:
- [ ] Etablierte ISMS-Governance mit Management-Commitment (ISO 27001) (0-5)
- [ ] Produkt-Security ist in Produktentwicklung integriert (0-5)
- [ ] Incident Response mit <24h-Capability vorhanden (0-5)
- [ ] Supply Chain Management mit Security-Fokus (0-5)
Technische Fähigkeiten:
- [ ] CI/CD-Pipeline etabliert und sicher (0-5)
- [ ] Vulnerability Scanning (SAST/DAST) im Einsatz (0-5)
- [ ] Secure Coding Practices dokumentiert und trainiert (0-5)
- [ ] Update-Mechanismen in Produkten vorhanden (0-5)
Dokumentation & Compliance:
- [ ] Technische Dokumentation systematisch gepflegt (0-5)
- [ ] Risikomanagement-Prozesse dokumentiert (0-5)
- [ ] Audit-Readiness (Internal Audits regelmäßig) (0-5)
- [ ] Regulatorische Anforderungen werden getrackt (0-5)
Produkt-spezifisch:
- [ ] SBOM-Fähigkeit vorhanden oder einfach implementierbar (0-5)
- [ ] Produktarchitektur erlaubt automatische Updates (0-5)
- [ ] Security by Design in Produktdesign-Prozessen (0-5)
- [ ] Support Lifecycle für Produkte definiert (0-5)
Scoring:
| Punktzahl | Assessment | Empfehlung |
|---|---|---|
| 60-80 | Excellent | Sie sind gut vorbereitet, fokussieren Sie auf die identifizierten Gaps |
| 40-59 | Good | Solides Fundament, aber erhebliche Arbeit erforderlich (12-18 Monate) |
| 20-39 | Fair | Signifikante Lücken, aggressiver Plan erforderlich (18-24 Monate) |
| <20 | Critical | Sofortiger Handlungsbedarf, erwägen Sie externe Unterstützung |
6. Zusammenfassung und nächste Schritte
6.1 Key Takeaways
- ISO 27001:2022 ist ein exzellentes Fundament für CRA-Compliance, deckt aber nur einen Teil der Anforderungen ab.
- Die 10 kritischen Gaps müssen systematisch geschlossen werden:
- SBOM (Priorität 1)
- CVD-Programm (Priorität 1)
- Automatische Updates (Priorität 2)
- 24h-Reporting (Priorität 1)
- Produktspezifische Risk Assessments (Priorität 2)
- Support Period Definition (Priorität 3)
- Pre-Release Vulnerability Scanning (Priorität 2)
- Secure Coding Standards (Priorität 2)
- CE-Kennzeichnung & Dokumentation (Priorität 3)
- Supply Chain Security (Priorität 2)
- Zeitrahmen: 18-24 Monate für vollständige Compliance
- Priorisierung: Die Gaps müssen nach Kritikalität und Abhängigkeiten angegangen werden (siehe Roadmap in Abschnitt 4)
6.2 Ihre nächsten Schritte (nächste 4 Wochen)
Woche 1: Assessment & Planning
- [ ] Führen Sie das CRA Readiness Assessment durch (Abschnitt 5.1)
- [ ] Erstellen Sie vollständiges Produktinventar mit CRA-Klassifizierung
- [ ] Identifizieren Sie interne Stakeholder und etablieren Sie Steering Committee
Woche 2: Gap-Analyse
- [ ] Nutzen Sie die Mapping-Tabelle (Abschnitt 2) für detaillierte Gap-Analyse
- [ ] Priorisieren Sie Gaps nach Kritikalität und Aufwand
- [ ] Erstellen Sie groben Projektplan
Woche 3: Ressourcen-Planung
- [ ] Definieren Sie Team (intern + externe Unterstützung falls benötigt)
- [ ] Identifizieren Sie notwendige Tools und Budget
- [ ] Erstellen Sie erste Roadmap-Version
Woche 4: Projektstart
- [ ] Erstellen Sie detaillierte Implementierungs-Roadmap basierend auf Abschnitt 4
- [ ] Starten Sie Quick Wins (z.B. CVD-Policy-Draft, security.txt)
- [ ] Beginnen Sie Tool-Evaluierung (SBOM, Scanning)
6.3 Empfohlene Ressourcen
Offizielle EU-Ressourcen:
- CRA Full Text: https://eur-lex.europa.eu/eli/reg/2024/2847
- ENISA CRA Hub: https://www.enisa.europa.eu/topics/cyber-resilience-act
Standards & Guidelines:
- ISO/IEC 29147:2018 (Vulnerability Disclosure)
- ISO/IEC 30111:2019 (Vulnerability Handling)
- NIST SP 800-218 (Secure Software Development Framework)
- OWASP SAMM (Software Assurance Maturity Model)
Community & Support:
- Linux Foundation: CRA Guidance for Open Source
- DIGITAL Europe: Industry Working Groups
- National Cybersecurity Agencies: BSI (DE), ANSSI (FR), NCSC (NL, UK)
Anhang: Checkliste für ISO 27001-zertifizierte Organisationen
Monatliche CRA-Compliance-Checkliste
Organisatorisch:
- [ ] Steering Committee Meeting durchgeführt
- [ ] Progress gegen Roadmap getrackt
- [ ] Risiken und Blockers identifiziert
- [ ] Budget-Status überprüft
SBOM:
- [ ] SBOM für alle neuen/geänderten Produkte generiert
- [ ] SBOM-Qualitätschecks (Vollständigkeit) durchgeführt
- [ ] Neue Komponenten auf Vulnerabilities gescannt
Vulnerability Management:
- [ ] Alle neuen CVEs in verwendeten Komponenten überprüft
- [ ] Kritische Vulnerabilities binnen SLA gefixt
- [ ] CVD-Reports bearbeitet und beantwortet (wenn vorhanden)
Incident Response:
- [ ] Incidents auf CRA-Reportierungspflicht geprüft
- [ ] 24h-Reporting-SLA eingehalten (falls relevant)
- [ ] Post-Incident Reviews durchgeführt
Security Testing:
- [ ] SAST/DAST/SCA Scans durchgeführt
- [ ] Scan-Ergebnisse triaged
- [ ] Release Gates enforced
Dokumentation:
- [ ] Technical Documentation für neue Releases aktualisiert
- [ ] Änderungen in Support Periods kommuniziert
- [ ] Audit-Trail gepflegt
Training:
- [ ] Neue Mitarbeiter in Secure Coding trainiert
- [ ] Security Awareness Kampagne durchgeführt
Disclaimer: Dieses Dokument dient Informationszwecken und stellt keine Rechtsberatung dar.
