CRA-Reifegrad-Selbstbewertung
Bewerten Sie 25 Praktiken in fünf Bereichen, um zu erfahren, wie ausgereift Ihre Produktsicherheitsaufstellung im Rahmen des Cyber Resilience Act ist, und erhalten Sie eine maßgeschneiderte Checkliste mit den nächsten Verbesserungsschritten. Alles läuft in Ihrem Browser und wird lokal gespeichert.
Basierend auf ENISAs SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, Juli 2026), mit Angabe der Quelle wiedergegeben. Diese Website ist unabhängig und weder mit ENISA noch mit der EU verbunden.
Governance & Dokumentation
1.1Verfügen Sie über schriftliche und genehmigte Produktsicherheitsrichtlinien?
1.2Sind Rollen und Verantwortlichkeiten für produktsicherheitsbezogene Tätigkeiten (z. B. Entwicklung, Schwachstellenmanagement, Updates) klar definiert?
1.3Pflegen Sie produktbezogene technische Dokumentation, die implementierte Sicherheitsfunktionen, Risikobewertungen, Designentscheidungen und Update-Verfahren beschreibt?
1.4Gibt es einen Prozess zur regelmäßigen Überprüfung der Produktsicherheit und der Qualität der zugehörigen Dokumentation?
1.5Sind Ihnen die für die Durchsetzung des CRA zuständige Marktüberwachungsbehörde, das für Ihre Produkte geltende Konformitätsbewertungsverfahren sowie der Umgang mit den zuständigen Behörden bei Bedarf bekannt?
Risikomanagement & Security by Design
2.1Führen Sie Cybersicherheits-Risikobewertungen durch und nutzen Sie deren Ergebnisse zur Steuerung von Entscheidungen bezüglich Produktdesign, Entwicklung, Konfiguration und Komponentenmanagement?
2.2Werden Produkte von Anfang an nach den Prinzipien von Security-by-Design entwickelt?
2.3Werden Produkte mit sicheren Standardkonfigurationen und -einstellungen ausgeliefert?
2.4Führen Sie vor der Veröffentlichung oder Aktualisierung eines Produkts Sicherheitsprüfungen und Tests durch, und in welchem Umfang werden dabei automatisierte Tools eingesetzt?
2.5Werden Risikobewertungen, Konfigurationen und Drittkomponenten überprüft und aktualisiert, wenn sich Risiken ändern oder neue Bedrohungen auftreten?
Schwachstellen- & Patch-Management
3.1Verfügen Sie über einen Prozess zur Entgegennahme, Bestätigung, Erfassung und Nachverfolgung von Schwachstellen, die von Kunden, Forschenden oder internen Mitarbeitenden gemeldet werden?
3.2Verfügen Sie über einen definierten Prozess zur Erstellung, Prüfung, Bereitstellung und Kommunikation von Sicherheitsupdates für unterstützte Produkte gegenüber Kunden?
3.3Pflegen und nutzen Sie eine SBOM zur Unterstützung des Schwachstellen- und Abhängigkeitsmanagements?
3.4Werden Schwachstellen und Updates auf Grundlage von Risiko und potenzieller Auswirkung priorisiert?
3.5Überprüfen Sie, ob Sicherheitsupdates gemeldete Schwachstellen wirksam beheben, und dokumentieren Sie diesen Nachweis?
Produktlebenszyklusmanagement
4.1Gibt es einen definierten Ansatz für das Management der Produktsicherheit während der Betriebsphase?
4.2Wird das Produktlebenszyklusmanagement aktiv gesteuert, einschließlich festgelegter Unterstützungszeiträume, Update-Verantwortlichkeiten, Regelungen zum End-of-Life und Kommunikation mit Kunden?
4.3Werden Erkenntnisse aus dem Produktbetrieb, Nachbereitungen von Vorfällen und Kundenrückmeldungen genutzt, um Produkte im Laufe der Zeit zu verbessern?
4.4Gibt es ein strukturiertes und erprobtes Verfahren zur Behebung festgestellter Produktsicherheitsprobleme?
4.5Werden Produkte während des Betriebs überwacht, um Sicherheitsrisiken, Schwachstellen und neu entstehende Bedrohungen zu erkennen?
Bewusstsein, Kompetenz & Fähigkeiten
5.1Stehen ausreichende Kompetenzen zur Verfügung, um Produkte sicher zu entwerfen, zu entwickeln und zu warten, gegebenenfalls auch durch externe Expertise, wenn interne Kapazitäten begrenzt sind?
5.2Erhalten die betroffenen Mitarbeitenden angemessene Schulungen zu den für ihre Rolle relevanten Cybersicherheitspraktiken, einschließlich Produktrisikomanagement, Schwachstellenmanagement und Security-by-Design?
5.3Fördert die Organisation eine Kultur verantwortungsvoller Produktentwicklung, offener Meldungen und des Bewusstseins für Produktrisiken?
5.4Verfolgen Sie relevante externe Informationen zur Produktsicherheit (z. B. Advisories, Warnmeldungen)?
5.5Bewerten und überprüfen Sie, ob Ihr Team über die erforderlichen Kompetenzen verfügt, um sichere Produkte zu warten?
Angepasst nach ENISAs SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, Juli 2026), mit Angabe der Quelle gemäß dem Rechtshinweis von ENISA wiedergegeben. Diese interaktive Version dient ausschließlich der Information und stellt keine fachliche oder rechtliche Beratung dar; sie ersetzt keine förmliche Konformitätsbewertung. cyberresilienceact.eu ist unabhängig und weder mit ENISA noch mit der Europäischen Union verbunden oder von diesen unterstützt.
