Patrick Helmholz / stock.adobe.com

27.04.2026

Sicherheitsanalysen nach CRA, RED und relevanten Normen

Sicherheitsanalysen sind ein zentraler Bestandteil der Entwicklung vernetzter Produkte, weil sie systematisch aufdecken, welche Schwachstellen ein Gerät aufweist und welchen Risiken es im realen Einsatz ausgesetzt ist. Ohne eine gründliche Analyse bleibt oft unentdeckt, wo Angreifer ansetzen könnten – etwa über unsichere Funkverbindungen, ungeschützte Schnittstellen, fehlerhafte Firmware oder unzureichende Update‑Mechanismen. Solche Schwachstellen können nicht nur zu Datenverlust oder Manipulation führen, sondern auch zu Ausfällen, Fehlfunktionen oder sogar Gefährdungen für Nutzer und Infrastruktur.

Warum sind Sicherheitsanalysen so wichtig?

VDE

Moderne Regulierungen wie der Cyber Resilience Act (CRA) verlangen ausdrücklich, dass Hersteller Risiken identifizieren, bewerten und geeignete Schutzmaßnahmen nachweisen. Diese gesetzlichen Vorgaben sind nicht optional, sondern verpflichtend, weil sie ein Mindestniveau an Sicherheit für alle vernetzten Produkte gewährleisten sollen.

Ein Produkt darf in der EU nur dann in Verkehr gebracht werden, wenn es die Cyber‑Security‑Anforderungen erfüllt und der Hersteller dies durch technische Unterlagen und Prüfberichte belegen kann. Die CE‑Kennzeichnung wird damit unmittelbar an die Cyber Security gekoppelt.

VDE bietet passende Prüfungen und eine umfassende technische und regulatorische Begleitung

Wir unterstützen Hersteller dabei, die obligatorischen Anforderungen effizient und normkonform umzusetzen. Mit uns wird Cyber Security nicht zur Hürde, sondern zu einem integralen Bestandteil eines erfolgreichen und sicheren Produktdesigns.

1. Durchführung normkonformer Sicherheitsanalysen

VDE bewertet Produkte nach CRA, RED, IEC/EN 62443 und weiteren relevanten Standards – unabhängig, objektiv und nachvollziehbar.

2. Penetrationstests und technische Sicherheitsprüfungen

Durch gezielte Angriffe und Testmethoden werden reale Schwachstellen sichtbar, bevor das Produkt auf den Markt kommt.

3. Unterstützung bei Risikoanalysen und Dokumentation

Hersteller erhalten strukturierte Risikoanalysen, technische Berichte und alle Nachweise, die für die CE‑Konformität erforderlich sind.

4. Beratung während der Entwicklung

VDE begleitet den gesamten Entwicklungsprozess, gibt Empfehlungen zur Sicherheitsarchitektur und hilft, Anforderungen effizient umzusetzen.

5. Vorbereitung auf Audits und Marktüberwachung

Mit klaren Leitlinien, Gap‑Analysen und Compliance‑Checks stellen wir sicher, dass Produkte regulatorisch auf der sicheren Seite sind.

Jetzt Angebot anfordern

Cyber Resilience Act (CRA): Technische Anforderungen und Auswirkungen

Der Cyber Resilience Act (CRA) ist eine EU‑Verordnung, die erstmals verbindliche Cyber‑Security‑Anforderungen für nahezu alle vernetzten Produkte und Softwarekomponenten festlegt. Er gilt für Geräte und Systeme, die Daten übertragen oder mit einem Netzwerk verbunden sind – darunter IoT‑Produkte, vernetzte Elektrogeräte, Embedded‑Systeme, industrielle Steuerungen sowie softwarebasierte Funktionen. Ausgenommen sind nur wenige Bereiche mit eigenen Spezialregelungen, etwa Medizinprodukte oder Fahrzeuge.

Mit der Einführung des CRA ist Cyber Security künftig ein prüfbarer Bestandteil der CE‑Konformität. Hersteller müssen Risikoanalysen durchführen, ihre Sicherheitsarchitektur dokumentieren, sichere Update‑Mechanismen bereitstellen und ein kontinuierliches Schwachstellenmanagement etablieren. Ohne diese Nachweise ist ein Marktzugang in der EU nicht mehr möglich. Der CRA macht damit deutlich: Nur Produkte, die technisch abgesichert und regulatorisch sauber dokumentiert sind, dürfen künftig in Verkehr gebracht werden.

Cybersecurity in der Funkanlagenrichtlinie

Hersteller von Funkanlagen müssen die Konformität ihrer Produkte mit neuen Anforderungen an Cybersecurity seit dem 01.08.2025 nachweisen. Hintergrund ist die delegierte Verordnung (EU) 2022/30 ergänzt mit (EU) 2023/2444, die ab dem 01.08.2025 verbindlich eine Bewertung der Informationssicherheit (Engl.: Cybersecurity) gemäß Artikel 3, 3. (d), (e) und (f) der Funkanlagenrichtlinie 2014/53/EU (RED) vorschreibt.

Das VDE Institut unterstützt dabei mit Bewertungen nach den Standards EN 18031-1, -2 und -3. Zusätzlich bieten wir das neue Zertifizierungsschema „Cybersecurity geprüft“ an. Dieses Schema beinhaltet eine Zertifizierung nach den Standards. Zusätzlich zum Zertifikat wird ein Label vergeben, das zu Marketingzwecken am Produkt angebracht werden kann. Dieses Label ist ein Jahr gültig. Eine EU-Baumusterprüfung auf freiwilliger Basis, oder wenn die eine Einschränkung der Konformitätsvermutung greift, ist jederzeit weiterhin auf Grundlage der EN 18031-X möglich und wird von uns immer empfohlen, da damit eine hohe Sicherheit für den Hersteller bei einer Marktüberwachungskontrolle gegeben ist. Die Notifizierte Stelle RED/EMV der VDE Prüf- und Zertifizierungsinstitutes GmbH berät sie gerne über die Möglichkeiten und Vorteile des EU-Baumusterprüfzertifikates.