Alle Vergleiche

Cyber Resilience Act (CRA)

VS

ISO/IEC 27001

Cyber Resilience Act vs. ISO 27001

Gesetzliche Pflicht und internationaler Standard im Zusammenspiel

Verbindliche EU-Produktverordnung

Gesetzliche Pflicht: Definiert Cybersicherheitsanforderungen an Produkte — unabhangig davon, ob der Hersteller ein ISMS betreibt

Freiwilliger Managementsystem-Standard

Zertifizierbare Norm: Definiert, wie eine Organisation Informationssicherheit systematisch managt — sagt nichts über Produktsicherheit aus

ISO 27001 ist kein Ersatz für den CRA. Ein zertifiziertes ISMS zeigt organisatorische Reife, erfüllt aber keine einzige CRA-Produktanforderung aus Anhang I.

0 Abgedeckt3 Teilweise6 Nicht abgedeckt

Sie haben ISO 27001 — was fehlt noch für den CRA?

Eine ISO-27001-Zertifizierung gibt Ihnen eine starke methodische Basis. Doch der CRA stellt produktspezifische Anforderungen, die über ein ISMS hinausgehen. Diese Gap-Analyse zeigt, wo Ihre bestehende Zertifizierung hilft — und wo Sie nacharbeiten müssen.

036
CRA-AnforderungAbdeckung durch ISO/IEC 27001
Sicherheitsbewusstsein & Schulungen
Teilweise

ISO 27001 Abschnitt 7.2/7.3 und A.7.2.2 etablieren Schulungsprogramme. Der CRA fordert jedoch spezifisches Wissen über Produktsicherheit, sichere Entwicklung und Schwachstellenbehandlung — nicht nur organisatorische Awareness.

Risikobewertungsmethodik
Teilweise

ISO 27001 Abschnitt 6.1 bietet eine erprobte Risikomethodik. Der CRA fordert eine produktspezifische Cyberrisikobewertung (Art. 13 Abs. 2) — Ihre bestehende Methodik muss um Produktbedrohungsszenarien erweitert werden.

Dokumentationsdisziplin
Teilweise

ISO 27001 Abschnitt 7.5 etabliert systematische Dokumentation. Der CRA fordert umfangreiche technische Produktdokumentation (Anhang VII) — Ihre Dokumentationskultur ist ein Vorteil, aber der Inhalt muss produktspezifisch erweitert werden.

Produktsicherheitsanforderungen (vs. organisatorisch)
Nicht abgedeckt

ISO 27001 sichert die Organisation. Der CRA Anhang I fordert konkrete technische Sicherheitseigenschaften im Produkt selbst: Schutz vor unbefugtem Zugriff, Datenintegrität, sichere Standardkonfiguration.

SBOM-Pflicht
Nicht abgedeckt

ISO 27001 enthält keine Anforderung an Software Bills of Materials. Der CRA verlangt eine maschinenlesbare SBOM für jedes Produkt (Anhang I Teil II i.V.m. Art. 13).

ENISA-Schwachstellenmeldung (24h/72h)
Nicht abgedeckt

ISO 27001 A.16 regelt internes Incident Management. Der CRA fordert die Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24/72 Stunden — ein völlig neuer externer Meldeprozess.

CE-Kennzeichnung & EU-Konformitätserklärung
Nicht abgedeckt

ISO 27001 kennt kein Äquivalent zur CE-Kennzeichnung. Der CRA verlangt eine formale Konformitätsbewertung (Anhang VIII) und eine EU-Konformitätserklärung als Marktzugangsvoraussetzung.

Produkt-Supportzeitraum
Nicht abgedeckt

ISO 27001 kennt keine Produktsupportpflicht. Der CRA verpflichtet Hersteller, einen Supportzeitraum festzulegen (mindestens 5 Jahre) und kostenlose Sicherheitsupdates bereitzustellen.

Produktspezifische Schwachstellenbehandlung
Nicht abgedeckt

ISO 27001 A.12.6 regelt Patchmanagement für eigene Systeme. Der CRA fordert Schwachstellenbehandlung für vertriebene Produkte über deren gesamten Lebenszyklus.

01

Produktsicherheit vs. Managementsystem

Der CRA fragt: Was tut das Produkt? ISO 27001 fragt: Wie managt die Organisation Informationssicherheit? Ein ISMS kann exzellent sein, ohne dass ein einziges Produkt sicher ist.

  • CRA (Anhang I): Technisch messbar — Zugriffskontrolle, Datenintegrität, Verfügbarkeit, sichere Standardkonfiguration, Angriffsflächen-Minimierung
  • ISO 27001: Organisatorisch — Richtlinien, Rollen, Risikobewertung, PDCA-Verbesserungsprozess
  • CRA schließt die Lücke: Sicherheit muss im Produkt selbst verankert sein, nicht nur in Managementprozessen
02

ISO 27001 als Basis für harmonisierte CRA-Standards

CEN, CENELEC und ETSI entwickeln harmonisierte CRA-Normen, die voraussichtlich auf der ISO-27000-Familie aufbauen. ISO-27001-zertifizierte Unternehmen haben eine günstige Ausgangsposition — die bestehenden Prozesse reichen aber allein nicht aus.

  • Grundlage: ISO 27001 (ISMS), ISO 27002 (Maßnahmen), ISO 27036 (Lieferkette) als Basis für CRA-hEN
  • Wiederverwendbar: Risikomanagement, Zugriffskontrolle, Incident Management als Ausgangspunkt
  • Zusätzlich nötig: SBOM-Erstellung, Schwachstellenbehandlung über den Produktlebenszyklus, Sicherheitsupdates
Risikomanagement (ISO 27001 A.8 → CRA Art. 13 Abs. 2)Die ISO-27001-Risikomethodik kann als Grundlage für die CRA-Cyberrisikobewertung dienen. Die Bewertung muss jedoch produktspezifisch erweitert werden.
Zugriffskontrolle (ISO 27001 A.9 → CRA Anhang I Nr. 3)ISO-27001-Zugriffskontrollen adressieren organisatorische Systeme. Der CRA fordert Zugriffskontrollmechanismen im Produkt selbst — einschließlich Schutz vor unbefugtem Zugriff ab Werk.
Incident Management (ISO 27001 A.16 → CRA Art. 14)ISO 27001 fordert Prozesse für Sicherheitsvorfälle. Der CRA geht weiter und verlangt die Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden.
03

Gap-Analyse: Was ISO 27001 nicht abdeckt

Der CRA fordert konkrete technische Produkteigenschaften, die über Managementprozesse hinausgehen. Mehrere CRA-Pflichten haben keine Entsprechung in ISO 27001.

  • SBOM (Anhang I Teil II): Maschinenlesbare Software Bill of Materials für jedes Produkt — nicht Teil eines ISMS
  • Schwachstellenbehandlung (Art. 13 Abs. 6): Dokumentierte Politik und Sicherheitsupdates über den gesamten Supportzeitraum
  • Konformitätsbewertung (Anhang VIII): Module A, B+C und H — CRA-spezifisches Verfahren ohne ISO-27001-Äquivalent
  • CE-Kennzeichnung und Anhang-II-Informationen: Regulatorische Produktkennzeichnung weit über den ISMS-Rahmen hinaus
Software Bill of Materials (SBOM)Der CRA verlangt eine maschinenlesbare SBOM, die alle Abhängigkeiten bis auf die Paketebene auflistet. ISO 27001 enthält keine vergleichbare Anforderung an Softwaretransparenz.
Sicherheitsupdates über den LebenszyklusHersteller müssen Sicherheitsupdates 'ohne unnötige Verzögerung' bereitstellen und dies kostenlos für den gesamten Unterstützungszeitraum (mindestens 5 Jahre). ISO 27001 regelt das Patchmanagement der eigenen Systeme, nicht der vertriebenen Produkte.
Konformitätsbewertung und CE-KennzeichnungDie CRA-Konformitätsbewertung (Anhang VIII) und die resultierende CE-Kennzeichnung sind regulatorische Verfahren ohne Entsprechung in ISO 27001.
04

Strategische Positionierung: ISO 27001 + CRA

ISO-27001-Zertifizierung ist ein wertvoller Baustein, aber kein Ersatz für CRA-Compliance. Die optimale Strategie: ISMS gezielt um CRA-spezifische Prozesse erweitern.

  • SBOM-Management in den Software-Entwicklungszyklus integrieren
  • Risikomanagement um produktbezogene Cyberrisiken erweitern
  • Schwachstellenbehandlung CRA-konform aufbauen (Art. 13 Abs. 6)
  • ENISA-Meldepflichten in den Incident-Response-Prozess integrieren

Synergien zwischen CRA und ISO 27001

Unternehmen mit bestehender ISO-27001-Zertifizierung können zahlreiche Prozesse und Strukturen für die CRA-Compliance wiederverwenden.

Risikomanagement-Methodik

Die risikobasierte Methodik nach ISO 27001 Abschnitt 6.1 bietet einen erprobten Rahmen für die CRA-Cyberrisikobewertung gemäß Art. 13 Abs. 2. Die Bewertung muss lediglich um produktspezifische Bedrohungsszenarien erweitert werden.

Dokumentationskultur

ISO 27001 etabliert eine systematische Dokumentationskultur (Abschnitt 7.5). Der CRA erfordert umfangreiche technische Dokumentation (Art. 31, Anhang VII). Bestehende Dokumentationsprozesse beschleunigen die CRA-Compliance erheblich.

Interne Audits und Management Review

Die ISO-27001-Audit-Strukturen (Abschnitt 9.2/9.3) können erweitert werden, um CRA-Konformitätsprüfungen zu integrieren. Dies schafft ein einheitliches Assurance-Framework.

Lieferantenbewertung

ISO 27001 Annex A.15 adressiert die Informationssicherheit in Lieferantenbeziehungen. Dies ergänzt die CRA-Anforderung an die Sorgfaltspflicht bezüglich Drittkomponenten (Art. 13 Abs. 5) und kann als Prozessbasis dienen.

Ihre nächsten Schritte

1Hohe Priorität

Fokus von Organisation auf Produkt verlagern

Erweitern Sie Ihr ISMS gezielt um produktspezifische Sicherheitsanforderungen. Definieren Sie für jedes Produkt die CRA-Anhang-I-Anforderungen und integrieren Sie diese in Ihren Entwicklungsprozess.

2Hohe Priorität

SBOM-Prozesse implementieren

Integrieren Sie automatisierte SBOM-Generierung in Ihre CI/CD-Pipeline. Nutzen Sie CycloneDX oder SPDX und etablieren Sie ein kontinuierliches Abhängigkeitsmonitoring.

3Hohe Priorität

ENISA-Meldeprozess aufbauen

Erweitern Sie Ihren bestehenden Incident-Response-Prozess um den CRA-spezifischen Meldeweg an ENISA. Definieren Sie Auslösekriterien, Verantwortlichkeiten und Fristen.

4Mittlere Priorität

Konformitätsbewertung vorbereiten

Nutzen Sie Ihre bestehende Audit-Erfahrung und Dokumentationskultur, um die CRA-Konformitätsbewertung gemäß Anhang VIII vorzubereiten.

Häufig gestellte Fragen

Ersetzt eine ISO-27001-Zertifizierung die CRA-Compliance?
Nein. ISO 27001 ist ein freiwilliger internationaler Standard für das Managementsystem der Informationssicherheit. Der CRA ist eine verbindliche EU-Verordnung mit konkreten technischen Anforderungen an Produkte. Eine ISO-27001-Zertifizierung bestätigt, dass die Organisation Informationssicherheit systematisch managt — sie sagt jedoch nichts darüber aus, ob die Produkte die CRA-Anforderungen aus Anhang I erfüllen. Ein ISMS kann auf dem Papier hervorragend funktionieren, ohne dass ein einziges Produkt die CRA-Sicherheitsanforderungen erfüllt.
Kann ISO 27001 die CRA-Compliance erleichtern?
Ja, erheblich. Unternehmen mit ISO-27001-Zertifizierung verfügen bereits über etablierte Prozesse für Risikomanagement, Zugriffskontrolle, Vorfallbehandlung und Dokumentation. Diese Prozesse bilden eine solide Grundlage, auf der CRA-spezifische Anforderungen aufgebaut werden können. Insbesondere die Risikomanagement-Methodik, die Dokumentationskultur und die Audit-Strukturen lassen sich direkt für die CRA-Compliance nutzen. Es bleiben jedoch signifikante Lücken — insbesondere SBOM-Management, Schwachstellenbehandlung über den Produktlebenszyklus und die Konformitätsbewertung.
Wird ISO 27001 in harmonisierten CRA-Standards referenziert werden?
Es wird erwartet, dass die harmonisierten Normen für den CRA, die derzeit von CEN, CENELEC und ETSI entwickelt werden, auf der ISO-27000-Normenfamilie aufbauen. Insbesondere ISO 27002 (Maßnahmenkatalog), ISO 27034 (Anwendungssicherheit) und ISO 27036 (Lieferkettensicherheit) werden als relevante Grundlagen diskutiert. Die Einhaltung harmonisierter Normen wird eine Konformitätsvermutung mit den entsprechenden CRA-Anforderungen begründen. Für ISO-27001-zertifizierte Unternehmen könnte dies den Nachweis der CRA-Konformität erleichtern, sofern die harmonisierten Normen tatsächlich auf ISO-Standards basieren.
Was sind die größten Lücken zwischen ISO 27001 und dem CRA?
Die wesentlichen Lücken liegen in drei Bereichen: Erstens, die SBOM-Pflicht — ISO 27001 kennt keine Anforderung an Software Bills of Materials, der CRA verlangt jedoch eine maschinenlesbare SBOM für jedes Produkt (Anhang I Teil II i.V.m. Art. 13). Zweitens, die produktbezogene Schwachstellenbehandlung — ISO 27001 regelt das Patch-Management der eigenen IT-Systeme, der CRA fordert Schwachstellenbehandlung für vertriebene Produkte über den gesamten Unterstützungszeitraum. Drittens, die Konformitätsbewertung und CE-Kennzeichnung — dies sind EU-spezifische regulatorische Verfahren ohne Entsprechung in der ISO-Normenwelt.
Wie sollten ISO-27001-zertifizierte Unternehmen die CRA-Compliance angehen?
Die empfohlene Strategie ist eine gezielte Erweiterung des bestehenden ISMS um CRA-spezifische Prozesse: 1) Gap-Analyse durchführen, die bestehende ISO-27001-Maßnahmen den CRA-Anforderungen gegenüberstellt. 2) SBOM-Management in den Software-Entwicklungsprozess integrieren. 3) Schwachstellenbehandlung von der Organisation auf das Produkt ausweiten. 4) CRA-spezifische Meldepflichten in den Incident-Response-Prozess integrieren. 5) Konformitätsbewertungsverfahren planen und umsetzen. Kunnus unterstützt bei jedem dieser Schritte mit automatisierter Anforderungserfassung und Handlungsempfehlungen.
Ist ISO 27001 für nicht-CRA-pflichtige Unternehmen die bessere Wahl?
Das ist keine Entweder-oder-Frage. ISO 27001 adressiert die organisatorische Informationssicherheit und ist für jedes Unternehmen wertvoll, das sensible Daten verarbeitet oder in regulierten Branchen operiert. Der CRA ist hingegen nur für Unternehmen relevant, die Produkte mit digitalen Elementen in der EU in Verkehr bringen. Ein reiner Dienstleister ohne eigene Softwareprodukte braucht keine CRA-Compliance, profitiert aber von ISO 27001. Ein Hersteller hingegen braucht CRA-Compliance zwingend — und ISO 27001 als ergänzendes Managementsystem.
Wie ist der aktuelle Stand der harmonisierten Normen für den CRA?
Stand März 2026 sind die harmonisierten europäischen Normen für den CRA noch in Entwicklung. CEN/CENELEC und ETSI wurden mit der Erarbeitung beauftragt. Bis zur Veröffentlichung im Amtsblatt der EU können bestehende Normen wie ISO/IEC 27001 die Konformität unterstützen, begründen jedoch keine Konformitätsvermutung.
Welche Produkte sind vom CRA ausgenommen?
Nicht alle Produkte mit digitalen Elementen fallen unter den CRA. Explizit ausgenommen sind: Medizinprodukte und In-vitro-Diagnostika (MDR/IVDR), Kraftfahrzeuge und deren Typgenehmigung (UN ECE R155/R156), Luftfahrtprodukte, Produkte für die nationale Sicherheit oder Verteidigung sowie bestimmte Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Falls Ihr Produkt unter eine dieser Ausnahmen fällt, gelten die jeweiligen sektorspezifischen Cybersicherheitsanforderungen statt des CRA.

Weiterführende Links

Offizielle Quellen

CRA-Volltext (EUR-Lex)

Verordnung (EU) 2024/2847 — Cyber Resilience Act im Amtsblatt der Europäischen Union

ISO/IEC 27001:2022

Offizielle ISO-Seite zum Standard für Informationssicherheits-Managementsysteme

Mehr auf Kunnus

CRA Knowledge Base

Vollständiger Gesetzestext mit Erklärungen, Artikeln und Anhängen des Cyber Resilience Act

CRA einfach erklärt

Verständliche Einführung in den Cyber Resilience Act für Entscheider und Produktverantwortliche

Kunnus Funktionen

SBOM-Management, Schwachstellenmonitoring und Compliance-Dokumentation in einer Plattform

CRA-Compliance-Assessment

Kostenfreie Erstbewertung: Ermitteln Sie Ihren CRA-Reifegrad und identifizieren Sie Handlungsbedarfe

CRA vs. IEC 62443 — Industriestandard

Vergleich zwischen CRA und IEC 62443 für Hersteller industrieller Automatisierungssysteme

CRA vs. NIS-2 — EU-Cybersicherheitsstrategie

Produktsicherheit vs. organisatorische Sicherheit: Die zwei Säulen der EU-Cybersicherheit im Vergleich

Von ISO 27001 zur CRA-Compliance — systematisch und effizient

Kunnus hilft Ihnen, die Lücke zwischen Ihrem bestehenden ISMS und den CRA-Anforderungen zu schließen. Starten Sie mit einer kostenlosen Gap-Analyse.

Funktionen entdecken