Regulatory Landscape

Cyber Resilience Act – Produktsicherheit für die digitale Wirtschaft

CRA aus Sicht von Finanzdienstleistern und deren Produkt-/Software-/Dienstleisterlandschaft einordnen.

Management-Zusammenfassung

Der CRA betrifft Produkte mit digitalen Elementen, deren Hersteller, Händler und Betreiber.
Finanzdienstleister sind primär Betreiber und Beschaffer von IKT-Produkten.
Schwachstellenmanagement, Security-Updates und Konformitätsbewertung sind zentrale CRA-Anforderungen.
CRA-Anforderungen sollten in Beschaffungs- und Vertragsprozesse integriert werden.

Produkte mit digitalen Elementen

Der CRA definiert Produkte mit digitalen Elementen als Software- und Hardwareprodukte sowie deren Fernverarbeitungslösungen. Finanzdienstleister nutzen eine Vielzahl solcher Produkte und sollten deren CRA-Relevanz prüfen.

Betreiberperspektive

Eingesetzte Software und Hardware auf CRA-Konformität prüfen, Schwachstellenmanagement betreiben.

Beschaffungsperspektive

CRA-Anforderungen in Ausschreibungen, Verträge und Lieferantenbewertung integrieren.

Herstellerperspektive

Eigenentwickelte Software oder Hardware fällt unter Herstellerpflichten des CRA.

Händlerperspektive

Vertrieb von IKT-Produkten mit digitalen Elementen unterliegt Händlerpflichten.

Vertreiberperspektive

Wiederverkäufer und Distributoren müssen sicherstellen, dass Produkte die CRA-Konformität erfüllen und ordnungsgemäss gekennzeichnet sind.

CRA-Control-Karten

CRA-CTRL-001

Produktklassifikation nach CRA

Klassifikation von IKT-Produkten mit digitalen Elementen hinsichtlich ihrer CRA-Relevanz.

CRA-CTRL-002

Hersteller-/Lieferantenpflichten verstehen

Einordnung der Pflichten von Herstellern, Händlern und Betreibern nach CRA.

CRA-CTRL-003

Schwachstellenmanagement verankern

Etablierung eines Schwachstellenmanagements, das CRA-Anforderungen an Meldefristen und Behebungsprozesse erfüllt.

CRA-CTRL-004

Security Updates und Supportzeitraum bewerten

Bewertung von Security-Update-Prozessen und Supportzeiträumen für IKT-Produkte.

CRA-CTRL-005

Technische Dokumentation prüfen

Prüfung der technischen Dokumentation von IKT-Produkten auf CRA-Konformität.

CRA-CTRL-006

Software-Supply-Chain-Risiken einordnen

Identifikation und Bewertung von Software-Lieferkettenrisiken im Kontext des CRA.

CRA-CTRL-007

Beschaffungsanforderungen ergänzen

Ergänzung von Beschaffungsanforderungen um CRA-spezifische Kriterien.

CRA-CTRL-008

DORA-Drittparteienrisiko verbinden

Verknüpfung von CRA-Anforderungen mit dem DORA-Drittparteienrisikomanagement.

Nachweise CRA

EVD-CRA-001 CRA-Produktinventar IT-Beschaffung / Informationssicherheit · Jährlich

EVD-CRA-002 Schwachstellenmanagement-Prozess IT-Sicherheit · Kontinuierlich

EVD-CRA-003 Konformitätserklärungen Einkauf / Rechtsabteilung · Bei Beschaffung

EVD-CRA-004 Beschaffungsanforderungen CRA Einkauf · Jährlich

EVD-CRA-005 Supply-Chain-Risikoanalyse Informationssicherheit · Jährlich

Disclaimer

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

EUR-Lex: CRA (EU) 2024/2847 Stand: Abruf 2026-05-07
ENISA: Cyber Resilience Act Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.