ISO 27001:2022 als Basis für den Cyber Resilience Act: Was Unternehmen zusätzlich umsetzen müssen

Unternehmen, die bereits ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2022 betreiben, verfügen über eine solide Grundlage für die Umsetzung des Cyber Resilience Act (CRA). Die internationale Norm für Informationssicherheit etabliert systematische Prozesse für Risikomanagement, Dokumentation und kontinuierliche Verbesserung, die sich direkt auf die CRA-Anforderungen übertragen lassen.

Dennoch wäre es ein Trugschluss anzunehmen, dass eine ISO 27001-Zertifizierung automatisch CRA-Konformität bedeutet. Der entscheidende Unterschied liegt im Fokus: Während ISO 27001 die organisatorische Informationssicherheit adressiert, zielt der CRA auf die Produktsicherheit ab. Diese fundamentale Differenz erfordert gezielte Erweiterungen des bestehenden Managementsystems.

Dieser Artikel analysiert systematisch, welche ISO 27001-Controls bereits CRA-Anforderungen erfüllen, wo kritische Lücken bestehen und welche konkreten Zusatzmaßnahmen Hersteller digitaler Produkte bis zum 11. Dezember 2027 implementieren müssen.

Synergien: Was ISO 27001:2022 bereits abdeckt

Die 93 Controls aus Anhang A der ISO 27001:2022 bieten eine strukturierte Grundlage, die etwa 60% der CRA-Anforderungen adressiert. Die folgende Übersicht zeigt die wichtigsten Überschneidungen:

Risikomanagement und Governance

Sichere Entwicklung

Schwachstellenmanagement

Lieferkettenmanagement

Fazit: ISO 27001:2022 liefert eine solide Prozessgrundlage, adressiert jedoch primär die organisatorische Ebene. Die produktspezifischen und regulatorischen CRA-Anforderungen erfordern gezielte Erweiterungen.

Die kritischen Lücken: Was ISO 27001 nicht abdeckt

Der CRA stellt Anforderungen, die über den Geltungsbereich der ISO 27001 hinausgehen. Diese Lücken müssen Hersteller digitaler Produkte systematisch schließen:

1. Produktspezifische Sicherheitsanforderungen (Anhang I Teil I)

Die ISO 27001 fokussiert auf organisatorische Informationssicherheit, nicht auf die technische Sicherheit einzelner Produkte. Der CRA fordert jedoch explizit:

• Schutz vor unbefugtem Zugriff auf Produktebene
• Datenintegrität und Vertraulichkeit der verarbeiteten Daten
• Verfügbarkeit der wesentlichen Produktfunktionen
• Minimierung negativer Auswirkungen auf andere Produkte und Netze
• Angriffsflächen-Minimierung durch Design

2. Software Bill of Materials (SBOM)

Der CRA verlangt in Anhang I Teil II eine maschinenlesbare Dokumentation aller Softwarekomponenten. ISO 27001 enthält keine vergleichbare Anforderung. Hersteller müssen:

• Alle Erst- und Drittanbieterkomponenten erfassen
• Open-Source-Bibliotheken dokumentieren
• Abhängigkeiten transparent darstellen
• Standardformate wie SPDX oder CycloneDX verwenden

3. Regulatorische Meldepflichten (Artikel 14)

Die ISO 27001 kennt Incident-Response-Prozesse (A.5.24–A.5.28), jedoch keine behördlichen Meldefristen. Der CRA schreibt vor:

Diese Fristen gelten ab dem 11. September 2026.

4. Coordinated Vulnerability Disclosure (CVD)

Der CRA fordert einen strukturierten Prozess zur koordinierten Offenlegung von Schwachstellen:

• Öffentlich zugängliche Kontaktstelle für Sicherheitsforscher
• Definierter Prozess zur Schwachstellenbearbeitung
• Zeitrahmen für Patches und Kommunikation
• Zusammenarbeit mit der Sicherheits-Community

5. Verpflichtende Sicherheitsupdates

Hersteller müssen kostenlose Sicherheitsupdates für mindestens 5 Jahre oder die erwartete Produktlebensdauer bereitstellen. Diese langfristige Verpflichtung geht über ISO 27001 hinaus.

6. CE-Kennzeichnung und Konformitätsbewertung

Der CRA verknüpft Cybersicherheit mit dem New Legislative Framework der EU:

• Standardprodukte: Interne Konformitätsbewertung (Modul A)
• Wichtige Produkte Klasse I: Selbstbewertung nach harmonisierter Norm oder Drittprüfung
• Wichtige Produkte Klasse II: Verpflichtende Drittprüfung durch notifizierte Stelle
• Kritische Produkte (Anhang IV): EU-Cybersicherheitszertifizierung nach CSA

7. Technische Dokumentation (Anhang VII)

Der CRA definiert in Anhang VII spezifische Dokumentationsanforderungen:

• Vollständige Produktbeschreibung
• Cybersicherheits-Risikobewertung
• Angewandte harmonisierte Normen
• Ergebnisse von Sicherheitstests
• EU-Konformitätserklärung
• Aufbewahrungspflicht: 10 Jahre

Gap-Analyse: ISO 27001 vs. CRA im Überblick

Die folgende Matrix zeigt den Abdeckungsgrad der wesentlichen CRA-Anforderungen durch ISO 27001:2022:

Legende:

• Vollständig = Vollständig abgedeckt
• Teilweise = Teilweise abgedeckt – Erweiterung erforderlich
• Neu = Nicht abgedeckt – Neuimplementierung erforderlich

Konkrete Zusatzmaßnahmen für CRA-Compliance

Basierend auf der Gap-Analyse müssen ISO 27001-zertifizierte Unternehmen folgende Maßnahmen implementieren:

Maßnahme 1: Product Security Management System (PSMS) etablieren

Erweitern Sie Ihr ISMS um einen produktspezifischen Sicherheitsrahmen:

Aktivitäten:

• Produktsicherheits-Policy erstellen
• Produktspezifische Risikobewertungen durchführen
• Sicherheitsanforderungen pro Produktkategorie definieren
• Verantwortlichkeiten für Produktsicherheit festlegen

Dokumentation:

• Product Security Policy
• Produktspezifische Risikoregister
• Sicherheitsanforderungskataloge

Zeitrahmen: Monate 1–3

Maßnahme 2: Secure Development Lifecycle (SDLC) erweitern

Ergänzen Sie bestehende Entwicklungsprozesse um CRA-spezifische Anforderungen:

Aktivitäten:

• Threat Modeling als Pflichtschritt einführen
• Automatisierte Sicherheitstests (SAST, DAST, SCA) implementieren
• Secure Coding Guidelines produktspezifisch anpassen
• Security Gates in CI/CD-Pipelines integrieren
• Penetrationstests vor Produktfreigabe verpflichtend machen

Standards zur Orientierung:

• OWASP SAMM
• BSI TR-03183 (Cyber-Resilienz-Anforderungen)
• IEC 62443-4-1 für industrielle Produkte

Zeitrahmen: Monate 3–12

Maßnahme 3: SBOM-Management aufbauen

Implementieren Sie einen durchgängigen Prozess zur Software-Stücklisten-Erstellung:

Aktivitäten:

• SBOM-Tool auswählen und integrieren
• Automatische SBOM-Generierung bei jedem Build etablieren
• Drittanbieter-Komponenten inventarisieren
• Open-Source-Lizenzen prüfen und dokumentieren
• Schwachstellen-Monitoring für alle Komponenten einrichten

Empfohlene Formate:

• SPDX (ISO/IEC 5962:2021)
• CycloneDX

Dokumentation:

• SBOM pro Produktversion
• Komponenteninventar
• Lizenzübersicht

Zeitrahmen: Monate 4–8

Maßnahme 4: Vulnerability Disclosure Policy (VDP) einführen

Etablieren Sie einen CVD-Prozess gemäß CRA Artikel 13:

Aktivitäten:

• Öffentliche Sicherheits-Kontaktadresse einrichten (z.B. security@unternehmen.de)
• VDP auf Unternehmenswebsite veröffentlichen
• Internen Bearbeitungsprozess definieren
• Zeitrahmen für Patches festlegen (z.B. 90 Tage)
• Kommunikationsvorlagen für Sicherheitsforscher erstellen
• Bug-Bounty-Programm in Betracht ziehen

Standards zur Orientierung:

• ISO/IEC 29147 – Vulnerability Disclosure
• ISO/IEC 30111 – Vulnerability Handling

Zeitrahmen: Monate 2–4

Maßnahme 5: Meldeprozesse für ENISA etablieren

Implementieren Sie einen 24-Stunden-fähigen Incident-Response-Prozess:

Aktivitäten:

• Meldewege zu ENISA und nationalem CSIRT (in Deutschland: BSI) einrichten
• Meldevorlagen gemäß CRA-Anforderungen erstellen
• Eskalationsprozess mit 24h-Erreichbarkeit definieren
• Verantwortlichkeiten und Vertretungsregelungen festlegen
• Regelmäßige Übungen durchführen

Fristen einplanen:

• Frühwarnung: 24 Stunden
• Detaillierte Meldung: 72 Stunden
• Abschlussbericht: 14 Tage

Zeitrahmen: Monate 6–9 (operative Bereitschaft bis September 2026)

Maßnahme 6: Technische Dokumentation aufbauen

Erstellen Sie CRA-konforme Dokumentation gemäß Anhang VII:

Pflichtinhalte:

• Allgemeine Produktbeschreibung
• Design- und Entwicklungsinformationen
• Cybersicherheits-Risikobewertung
• Liste angewandter harmonisierter Normen
• SBOM
• Testergebnisse und Prüfberichte
• EU-Konformitätserklärung

Aufbewahrung: Mindestens 10 Jahre nach Inverkehrbringen

Zeitrahmen: Monate 9–15

Maßnahme 7: Konformitätsbewertungsverfahren vorbereiten

Bereiten Sie die CE-Kennzeichnung vor:

Für Standardprodukte (Selbstbewertung):

• Interne Konformitätsprüfung nach Modul A durchführen
• EU-Konformitätserklärung erstellen
• CE-Kennzeichnung anbringen

Für wichtige Produkte Klasse I:

• Harmonisierte EN 40000-Normen anwenden (sobald verfügbar)
• Alternativ: Notifizierte Stelle einbinden

Für wichtige Produkte Klasse II und kritische Produkte:

• Notifizierte Stelle auswählen und beauftragen
• Zertifizierungsprozess planen und durchführen

Zeitrahmen: Monate 12–18

Maßnahme 8: Update- und Support-Prozesse implementieren

Etablieren Sie Prozesse für die 5-Jahres-Update-Pflicht:

Aktivitäten:

• Product Lifecycle Management definieren
• Automatische Update-Mechanismen im Produkt vorsehen
• Nutzerinformation über Sicherheitsupdates gewährleisten
• End-of-Life-Prozesse festlegen
• Ressourcenplanung für langfristigen Support

Zeitrahmen: Fortlaufend ab Produktentwicklung

Priorisierter Umsetzungsfahrplan

Integration in das bestehende ISMS

Die CRA-Erweiterungen sollten nahtlos in das bestehende ISO 27001-ISMS integriert werden:

Dokumentenstruktur erweitern

ISMS-Dokumentation (ISO 27001:2022)
├── Informationssicherheitspolitik
├── Risikobewertung und -behandlung
├── Statement of Applicability (SoA)
│
└── CRA-Erweiterung (NEU)
    ├── Product Security Policy
    ├── Produktspezifische Risikobewertungen
    ├── Secure Development Lifecycle
    ├── SBOM-Management-Verfahren
    ├── Vulnerability Disclosure Policy
    ├── ENISA-Meldeprozess
    ├── Technische Dokumentation (Anhang VII)
    └── EU-Konformitätserklärungen

Statement of Applicability (SoA) anpassen

Ergänzen Sie die SoA um CRA-spezifische Maßnahmen und deren Umsetzungsstatus. Dies ermöglicht eine einheitliche Dokumentation und vereinfacht Audits.

Managementbewertung erweitern

Integrieren Sie CRA-Compliance-KPIs in die regelmäßige Managementbewertung:

• SBOM-Abdeckungsgrad
• Schwachstellen-Behebungszeiten
• Meldepflicht-Einhaltung
• Konformitätsbewertungsstatus

Relevante Normen und Standards

Für die CRA-Umsetzung sind neben ISO 27001:2022 folgende Standards relevant:

Häufig gestellte Fragen (FAQ)

Reicht eine ISO 27001-Zertifizierung für CRA-Compliance aus?

Nein. ISO 27001 deckt etwa 60% der CRA-Anforderungen ab, primär im Bereich organisatorischer Prozesse. Die produktspezifischen Anforderungen wie SBOM, CE-Kennzeichnung und behördliche Meldepflichten erfordern zusätzliche Maßnahmen.

Welche ISO 27001-Controls sind besonders relevant für den CRA?

Die wichtigsten Controls sind A.5.7 (Threat Intelligence), A.5.8 (Projektmanagement), A.8.8 (Schwachstellenmanagement), A.8.25–A.8.29 (sichere Entwicklung) und A.5.19–A.5.22 (Lieferkettenmanagement).

Müssen wir unser bestehendes ISMS neu aufbauen?

Nein. Das bestehende ISMS bildet eine wertvolle Grundlage. Sie erweitern es um produktspezifische Elemente und CRA-spezifische Prozesse, ohne die Kernstruktur zu ändern.

Wie hoch ist der zusätzliche Aufwand für ISO 27001-zertifizierte Unternehmen?

Der Zusatzaufwand beträgt je nach Produktportfolio und Reifegrad etwa 30–50% des ursprünglichen ISMS-Implementierungsaufwands. Der Vorteil: Bestehende Prozesse, Dokumentationen und Governance-Strukturen können wiederverwendet werden.

Bis wann müssen die Zusatzmaßnahmen umgesetzt sein?

Die Meldepflichten gelten ab dem 11. September 2026. Die vollständige CRA-Compliance ist bis zum 11. Dezember 2027 erforderlich. Ein Umsetzungsstart bis spätestens Mitte 2025 ist empfehlenswert.

Ist IEC 62443 eine Alternative zu ISO 27001 für die CRA-Umsetzung?

IEC 62443 ist keine Alternative, sondern eine Ergänzung. Während ISO 27001 die organisatorische Sicherheit abdeckt, fokussiert IEC 62443-4-1 auf sichere Produktentwicklung. Für industrielle Produkte ist die Kombination beider Standards optimal.

Welche Rolle spielen die harmonisierten EN 40000-Normen?

Die EN 40000-Normenreihe wird derzeit von CEN/CENELEC und ETSI entwickelt. Sie soll eine direkte Konformitätsvermutung für CRA-Anforderungen ermöglichen. Erste Entwürfe sind seit Oktober 2025 verfügbar; die finale Veröffentlichung wird für 2026 erwartet.

Können wir die CRA-Dokumentation in unser bestehendes ISMS integrieren?

Ja, und dies ist sogar empfehlenswert. Die Integration in bestehende Dokumentenstrukturen, Prozesse und Audit-Zyklen reduziert den Verwaltungsaufwand und gewährleistet Konsistenz.

Was passiert, wenn wir die CRA-Anforderungen nicht erfüllen?

Verstöße können mit Bußgeldern bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes geahndet werden. Zusätzlich drohen Marktzugangsbeschränkungen, Produktrückrufe und erhebliche Reputationsschäden.

Zusammengefasst: ISO 27001 als Sprungbrett zur CRA-Compliance

Ein zertifiziertes ISMS nach ISO 27001:2022 verschafft Unternehmen einen erheblichen Vorsprung bei der CRA-Umsetzung. Die etablierten Prozesse für Risikomanagement, Dokumentation und kontinuierliche Verbesserung bilden ein tragfähiges Fundament, das gezielt um produktspezifische Sicherheitsanforderungen erweitert werden kann.

Der Schlüssel zum Erfolg liegt in der systematischen Gap-Analyse und der priorisierten Implementierung der zusätzlichen Maßnahmen. Unternehmen, die frühzeitig mit der Erweiterung ihres ISMS beginnen, können die CRA-Compliance nicht nur fristgerecht erreichen, sondern auch als Wettbewerbsvorteil nutzen.

Die Verknüpfung von organisatorischer Informationssicherheit (ISO 27001) mit produktspezifischer Cybersicherheit (CRA) schafft einen ganzheitlichen Sicherheitsansatz, der sowohl regulatorische Anforderungen erfüllt als auch das Vertrauen von Kunden und Partnern stärkt.

Unterstützung bei der CRA-Implementierung

Sie benötigen Unterstützung bei der Erweiterung Ihres ISMS um CRA-Anforderungen? Unsere Experten begleiten Sie von der Gap-Analyse bis zur erfolgreichen Konformitätsbewertung.

Unsere Leistungen:

• ISO 27001 Implementierung – Aufbau oder Erweiterung Ihres ISMS
• Externer Informationssicherheitsbeauftragter – Kontinuierliche Betreuung
• Kontakt aufnehmen – Unverbindliche Erstberatung