Der Cyber Resilience Act (Verordnung (EU) 2024/2847) hat einen neuen Beratungsmarkt geschaffen. Etwa 25.000 Hersteller in der EU müssen bis 11. Dezember 2027 die Konformität ihrer Produkte mit digitalen Elementen nachweisen. Die Meldepflichten greifen sogar schon ab 11. September 2026. Die zentrale Frage für Hersteller lautet nicht ob, sondern wie sie die Umsetzung angehen — und welchen Beratungsansatz sie wählen.
Der richtige Ansatz hängt von drei Faktoren ab: der CRA-Produktklasse (Standard, wichtig Klasse I/II, kritisch), der internen Kompetenz in Cybersicherheit und Produktcompliance sowie dem verfügbaren Budget und Zeitrahmen. Die folgende Analyse vergleicht die fünf gängigsten Beratungsansätze systematisch.
Beratungsansätze im Überblick
| Ansatz | Typische Anbieter | Stärke | Schwäche | Kosten | Dauer |
|---|---|---|---|---|---|
| Big 4 | Deloitte, PwC, EY, KPMG | Breite Abdeckung: Recht, Technik, Audit aus einer Hand; internationale Koordination bei Multi-Markt-Herstellern | Hohe Tagessätze (1.500-2.500 EUR); oft generische Frameworks statt CRA-spezifischer Tiefe; lange Onboarding-Phasen | ab 80.000 EUR | 6-18 Monate |
| Spezialisierte IT-Security-Berater | Boutique-Beratungen mit Fokus auf Produktsicherheit, SDL, Penetration Testing | Tiefes technisches Verständnis; SDL- und SBOM-Kompetenz; direkter Zugang zu Security-Ingenieuren | Begrenzte Kapazität bei regulatorischer Dokumentation; oft kein Erfahrungshintergrund mit CE-Kennzeichnung und New Legislative Framework | 30.000-100.000 EUR | 3-12 Monate |
| Prüfstellen (TÜV, Dekra, SGS) | TÜV Rheinland, TÜV SÜD, Dekra, SGS, Bureau Veritas | Können direkt als benannte Stelle die Konformitätsbewertung durchführen; langjährige Erfahrung mit CE-Prozessen | Primär prüfend, nicht beratend — dürfen nach der Akkreditierung nicht gleichzeitig beraten und prüfen; Wartezeiten für Termine steigen ab 2027 | 20.000-80.000 EUR (reine Prüfung) | 2-6 Monate (Prüfphase) |
| Inhouse + externer Coach | Internes Compliance-/Security-Team mit punktueller externer Unterstützung | Geringste Kosten; Wissen bleibt im Unternehmen; volle Kontrolle über Zeitplan und Prioritäten | Setzt vorhandene Cybersicherheits-Kompetenz voraus; Risiko von Betriebsblindheit; langsamer bei fehlendem CRA-Fachwissen | 10.000-30.000 EUR (Coaching) | 6-18 Monate |
| Managed CRA Compliance (as-a-Service) | Spezialisierte SaaS-/Beratungshybride, die CRA-Compliance als laufenden Dienst anbieten | Fortlaufende Begleitung über den gesamten Produktlebenszyklus; SBOM-Monitoring und Schwachstellenmeldung inklusive | Abhängigkeit vom Dienstleister; weniger Wissensaufbau intern; junge Marktkategorie, wenig Track Record | 2.000-8.000 EUR/Monat | Fortlaufend |
In der Praxis kombinieren viele Hersteller zwei Ansätze: einen spezialisierten IT-Security-Berater für die technische Umsetzung (SDL, SBOM, Schwachstellenmanagement) und eine Prüfstelle für die formale Konformitätsbewertung. Diese Kombination bietet sowohl technische Tiefe als auch regulatorische Akzeptanz und ist für wichtige Produkte der Klasse I und II der wirtschaftlichste Weg.
Entscheidungsmatrix nach Produktkategorie
Die CRA-Produktklasse bestimmt maßgeblich, welcher Beratungsansatz angemessen ist. Ein Standardprodukt mit Selbstbewertung braucht keine Big-4-Beratung. Ein kritisches Produkt mit europäischer Zertifizierung sollte nicht nur auf Inhouse-Ressourcen setzen.
| Produktkategorie | Konformitätsverfahren | Empfohlener Ansatz | Kostenrahmen |
|---|---|---|---|
| Standard-Produkt (nicht in Anhang III/IV) | Selbstbewertung (Modul A) | Inhouse + Coach oder Spezialisierter IT-Security-Berater | 10.000-30.000 EUR |
| Wichtig Klasse I (Anhang III Teil I) | Harmonisierte Norm oder EU-Typprüfung | Spezialisierter Berater + Prüfstelle | 30.000-80.000 EUR |
| Wichtig Klasse II (Anhang III Teil II) | EU-Typprüfung durch benannte Stelle | Big 4 oder Spezialisierter Berater + Prüfstelle | 50.000-150.000 EUR |
| Kritisch (Anhang IV) | EU-Typprüfung mit EU-Cybersicherheitszertifikat | Big 4 + Prüfstelle | ab 100.000 EUR |
Wichtig: Die Kostenrahmen beziehen sich auf die externe Beratung und Prüfung. Die internen Kosten für Produktanpassungen — Security-Refactoring, SBOM-Integration in die CI/CD-Pipeline, Aufbau des Incident-Response-Prozesses — kommen hinzu und übersteigen die Beratungskosten häufig um ein Vielfaches.
CRA-Pflichten-Abdeckung pro Ansatz
Nicht jeder Beratungsansatz deckt alle CRA-Pflichten ab. Die folgende Matrix zeigt, welche Pflichtbereiche von welchem Ansatz typischerweise gut abgedeckt werden. Ein Haken bedeutet, dass der Ansatz diese Pflicht in der Regel direkt adressiert.
| CRA-Pflicht | Big 4 | IT-Sec Berater | Prüfstelle | Inhouse | Managed |
|---|---|---|---|---|---|
| Produktklassifizierung (Anhang III/IV) | ✓ | ✓ | ✓ | ○ | ✓ |
| Anhang I Sicherheitsanforderungen (SDL) | ○ | ✓ | — | ✓ | ✓ |
| SBOM erstellen und pflegen | ○ | ✓ | — | ✓ | ✓ |
| Schwachstellenmeldung (24 h / 72 h / 14 d) | ✓ | ✓ | — | ○ | ✓ |
| Konformitätsbewertung (Modul A / EU-Typprüfung) | ✓ | ○ | ✓ | ○ | ○ |
| CE-Kennzeichnung und Doku Anhang II | ✓ | ○ | ✓ | ○ | ○ |
| Post-Market Monitoring und Updates | ○ | ✓ | — | ✓ | ✓ |
✓ = direkt abgedeckt · ○ = teilweise / mit Einschränkungen · — = nicht im Scope
Die Matrix verdeutlicht, warum die meisten Hersteller mit mehr als einem Standardprodukt eine Kombination aus technischer Beratung und formaler Prüfung brauchen. Kein einzelner Ansatz deckt alle sieben Pflichtbereiche vollständig ab.
Worauf Hersteller bei der Beraterwahl achten sollten
Unabhängig vom gewählten Ansatz gibt es vier Prüfpunkte, die jeder Hersteller vor Vertragsschluss klären sollte. Erstens: Hat der Berater Erfahrung mit dem New Legislative Framework und CE-Kennzeichnung — nicht nur mit ISO 27001 oder SOC 2? Zweitens: Kann der Berater eine SBOM erstellen und in eine CI/CD-Pipeline integrieren, oder bleibt die Beratung auf Papierebene? Drittens: Kennt der Berater die Meldeinfrastruktur (CSIRT, ENISA Single Reporting Platform) und hat er den Meldeprozess schon einmal Ende-zu-Ende getestet? Viertens: Gibt es eine klare Abgrenzung zwischen Beratung und Prüfung — insbesondere, wenn eine benannte Stelle involviert ist?
Die Erfahrung der ersten CRA-Umsetzungsprojekte zeigt: Der häufigste Fehler ist, die Konformitätsbewertung zu unterschätzen und zu spät eine benannte Stelle einzuschalten. Ab 2027 werden Kapazitätsengpässe bei den Prüfstellen erwartet. Hersteller von Klasse-II- und kritischen Produkten sollten spätestens jetzt Kontakt aufnehmen.
Häufig gestellte Fragen
Welcher Beratungsansatz eignet sich für ein Standardprodukt?
Für Standardprodukte, die eine Selbstbewertung nach Modul A durchlaufen, genügt in der Regel ein Inhouse-Team mit externem Coach oder ein spezialisierter IT-Security-Berater. Der Kostenrahmen liegt bei 10.000 bis 30.000 Euro. Eine Big-4-Beratung ist für Standardprodukte meist überdimensioniert und wirtschaftlich nicht sinnvoll.
Braucht man für die CRA-Konformität zwingend eine Prüfstelle?
Nur wenn das Produkt in die Kategorie wichtig Klasse II oder kritisch fällt. In diesem Fall ist eine EU-Typprüfung durch eine benannte Stelle (notified body) wie TÜV, Dekra oder SGS Pflicht. Für Standardprodukte und wichtige Produkte Klasse I mit harmonisierter Norm ist die Selbstbewertung ausreichend. Die Prüfstelle ist also kein CRA-Berater im klassischen Sinn, sondern führt das formale Konformitätsverfahren durch.
Was kostet eine vollständige CRA-Beratung?
Die Kosten hängen stark von der Produktklasse und der Anzahl der Produkte ab. Für ein einzelnes Standardprodukt liegen die Beratungskosten bei 10.000 bis 30.000 Euro. Wichtige Produkte Klasse I erfordern 30.000 bis 80.000 Euro, Klasse II 50.000 bis 150.000 Euro. Für kritische Produkte mit europäischer Zertifizierung beginnen die Kosten bei 100.000 Euro. Diese Rahmen umfassen Gap-Analyse, Umsetzungsbegleitung und Konformitätsbewertung, aber nicht die internen Entwicklungskosten für Produktanpassungen.