Blackfort Technology
CRA Gap-Analyse
Cyber Resilience Act

CRA-Compliance

CRA Gap-Analyse

Strukturierte Bestandsaufnahme über alle sieben Anforderungsbereiche des Cyber Resilience Act. Priorisierte Lücken, realistische Roadmap – als Grundlage für eine belastbare Umsetzungsplanung.

Gap-Analyse anfragen

Was ist eine CRA Gap-Analyse?

Eine CRA Gap-Analyse ist eine strukturierte Bestandsaufnahme: Sie vergleicht die aktuellen Prozesse, Werkzeuge und Dokumentationen eines Unternehmens systematisch mit den Anforderungen des Cyber Resilience Act – und benennt konkret, wo Lücken bestehen und welche davon regulatorisch kritisch sind.

Dabei geht es nicht nur darum, was fehlt. Eine sorgfältige Gap-Analyse bringt auch ans Licht, was bereits vorhanden ist und anrechenbar ist: Eine bestehende ISO 27001-Zertifizierung deckt Teile des Schwachstellenmanagements ab. Bestehende SDLC-Prozesse enthalten häufig bereits Security-Reviews. Vulnerability-Scanning-Tools sind oft schon im Einsatz – nur nicht in einen CRA-Konformitätspfad eingebettet und dokumentiert.

Das Ergebnis ist keine Mängeliste, sondern eine priorisierte Roadmap: Welche Lücken müssen bis September 2026 geschlossen sein? Welche bis Dezember 2027? Wo liegt das größte regulatorische Risiko, und wo ist der Umsetzungsaufwand am höchsten?

Wer braucht jetzt eine CRA Gap-Analyse?

Der CRA gilt für alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden – vom vernetzten Industrieprodukt über Medizingeräte mit Softwarekomponenten bis hin zu SaaS-Lösungen, die unter bestimmten Bedingungen als Produkte eingestuft werden. Ausgenommen sind Open-Source-Produkte, die nicht kommerziell vertrieben werden.

Der Zeitdruck ist real. Die Meldepflichten gegenüber ENISA werden ab September 2026 verbindlich. Die vollständige Konformitätspflicht – inklusive CE-Kennzeichnung und technischer Dokumentation – greift ab Dezember 2027. Security-by-Design-Prozesse, SBOM-Infrastruktur und Vulnerability Disclosure-Prozesse brauchen Monate bis Jahre Vorlauf.

Eine Gap-Analyse jetzt durchzuführen bedeutet: ausreichend Zeit für die Umsetzung, keine reaktive Compliance auf den letzten Metern, und eine belastbare Grundlage für interne Budgetplanung und Stakeholder-Kommunikation.

Was wird analysiert?

Die Gap-Analyse deckt sieben Anforderungsbereiche des CRA ab. Für jeden Bereich wird der aktuelle Stand bewertet, der Abstand zum CRA-Zielzustand gemessen und das regulatorische Risiko eingestuft.

01

Produktklassifizierung

Einordnung nach Anhang III und IV der CRA-Verordnung: Standard-Produkt, Klasse I oder Klasse II. Falsche Einstufungen sind ein Haftungsrisiko – insbesondere die Unterbewertung von Klasse-II-Produkten.

02

Secure Development Lifecycle

Threat Modeling, sichere Coding-Standards, automatisierte Sicherheitstests (SAST, SCA, DAST) in der CI/CD-Pipeline. Bewertet werden Reife, Dokumentation und Nachweisgüte.

03

SBOM & Abhängigkeitsmanagement

Vollständigkeit, Maschinenlesbarkeit und Formatkonformität (SPDX / CycloneDX) der Software Bill of Materials sowie die Prozessintegration für kontinuierliche Aktualisierung.

04

Schwachstellenmanagement

CVE-Monitoring für eingesetzte Komponenten, definierter Patching-Prozess, Nachverfolgung von Findings bis zur Remediation und Dokumentation von Ausnahmen.

05

Meldeprozesse & Koordinierter Disclosure

ENISA-Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle (ab September 2026). Existenz und Erreichbarkeit eines koordinierten Disclosure-Kanals.

06

Technische Dokumentation & CE-Konformität

Vollständigkeit der technischen Unterlagen nach Anhang VII CRA, Prüfprotokolle, Risikoanalyse und Konformitätserklärung. Grundlage für die CE-Kennzeichnung.

07

Lieferkette & Drittkomponenten

Umgang mit Open-Source-Komponenten und kommerziellen Drittprodukten: Herstellererklärungen, Lieferantenbewertung, vertragliche Regelungen für Sicherheitsinformationen.

Aus der Praxis

Typische Befunde einer CRA Gap-Analyse

Kein Unternehmen startet bei null. Aber diese Lücken begegnen uns regelmäßig – unabhängig von Branche und Unternehmensgröße:

  • 1Kein formales Threat Modeling im Entwicklungsprozess verankert
  • 2SBOM existiert nicht oder ist nicht maschinenlesbar (Excel statt SPDX/CycloneDX)
  • 3Kein definierter Vulnerability Disclosure-Kanal für Produktschwachstellen
  • 4Sicherheitsreviews finden statt, sind aber nicht dokumentiert und nicht nachweisbar
  • 5CVE-Monitoring deckt nur eigenen Code ab, nicht eingebettete Drittkomponenten
  • 6ISO 27001-Zertifizierung deckt Schwachstellenmanagement organisationsweit ab – aber nicht produktspezifisch
  • 7Keine definierten Timelines für die ENISA-Erstmeldung bei aktiv ausgenutzten Schwachstellen

Was Sie erhalten

Die Ergebnisse der Gap-Analyse sind auditfähig aufbereitet und direkt als Grundlage für interne Entscheidungsprozesse verwendbar:

Gap-Report

Bewertung aller sieben Anforderungsbereiche mit Ist-Zustand, Soll-Zustand und Risikoeinstufung pro Lücke.

Priorisierungsliste

Lücken sortiert nach regulatorischem Risiko und Umsetzungsaufwand – als Grundlage für Budgetplanung und Ressourcenpriorisierung.

Roadmap

Realistische Timelines zur September-2026-Frist (ENISA-Meldepflichten) und zur Dezember-2027-Frist (vollständige Konformität).

Handlungsempfehlungen

Konkrete nächste Schritte pro Bereich, mit Hinweisen auf sinnvolle Reihenfolge und Abhängigkeiten zwischen den Maßnahmen.

Nächster Schritt

Von der Gap-Analyse zur CRA-Konformität

Die Gap-Analyse ist Phase 1 eines strukturierten Umsetzungsmodells. Auf ihrer Grundlage entwickeln wir Zielarchitektur, Maßnahmendesign und begleiten die Implementierung bis zur auditfähigen Konformität.

Das 4-Phasen-Modell ansehen

CRA-Fristen im Überblick

September 2026

Meldepflichten gegenüber ENISA werden verbindlich (aktiv ausgenutzte Schwachstellen, schwerwiegende Vorfälle)

Dezember 2027

Vollständige Konformitätspflicht: CE-Kennzeichnung, technische Dokumentation, Security-by-Design-Nachweis

Analyse-Scope

  • Produktklassifizierung (Anhang III/IV)
  • Secure Development Lifecycle
  • SBOM & Abhängigkeitsmanagement
  • Schwachstellenmanagement
  • Meldeprozesse & Disclosure
  • Technische Dokumentation
  • Lieferkette & Drittkomponenten

Eckdaten

Laufzeit4–6 Wochen
Analysebereiche7
ErgebnisGap-Report + Roadmap
FormatAuditfähig

Verwandte Themen

Gap-Analyse anfragen

In 4–6 Wochen erhalten Sie eine vollständige Bestandsaufnahme, klare Priorisierung und eine belastbare Roadmap.

Jetzt anfragen

Häufige Fragen zur CRA Gap-Analyse

Wie lange dauert eine CRA Gap-Analyse?

In der Regel 4 bis 6 Wochen. Die Dauer hängt von der Anzahl der zu bewertenden Produkte, der Komplexität der Entwicklungsumgebung und der Verfügbarkeit vorhandener Dokumentation ab. Für ein einzelnes Produkt mit bestehender SDLC-Dokumentation ist auch ein kompakteres Format in 3 Wochen möglich.

Was erhalte ich als Ergebnis?

Eine priorisierte Liste aller identifizierten Lücken über die sieben Anforderungsbereiche, eine Bewertung des regulatorischen Risikos pro Lücke und eine Roadmap mit realistischen Timelines zur September-2026- und Dezember-2027-Frist. Die Ergebnisse sind auditfähig aufbereitet.

Welche Unterlagen werden für die Gap-Analyse benötigt?

Produktbeschreibungen und Architekturdokumentation, vorhandene Prozessdokumentationen zum Entwicklungsablauf, bestehende Sicherheitskonzepte oder ISO 27001-Dokumentation sowie Informationen zu eingesetzten Drittkomponenten und Lieferanten. Fehlende Unterlagen sind selbst ein Befund der Gap-Analyse.

Was ist der Unterschied zwischen einer Gap-Analyse und einem Audit?

Eine Gap-Analyse ist ein kooperativer Beratungsprozess: Ziel ist die ehrliche Bestandsaufnahme, nicht die formale Prüfung gegen eine Zertifizierungsgrundlage. Befunde bleiben intern und werden zur Grundlage der Umsetzungsplanung. Ein formales Audit durch eine notifizierte Stelle ist erst für Klasse-II-Produkte erforderlich – und setzt eine abgeschlossene Gap-Analyse sinnvollerweise voraus.

Was passiert nach der Gap-Analyse?

Die Ergebnisse bilden die Grundlage für Phase 2 der CRA-Umsetzung: Zielarchitektur und Maßnahmendesign. Wir begleiten optional die gesamte Umsetzung bis zur auditfähigen Konformität – oder übergeben strukturiert an Ihr internes Team, wenn Sie die Umsetzung selbst führen möchten.

Kontakt aufnehmen

Bereit für den nächsten Schritt?

Sprechen Sie mit uns über Ihre Sicherheitsanforderungen – konkret, ohne Verpflichtung und auf Augenhöhe.

Beratungsgespräch anfragen