Pentest CRA ist ein SecTepe-Produkt · SecTepe · IT-Dienstleister aus Wülfrath · seit 2023 hello@sectepe.de
SecTepe Pentest CRA Gespräch
CRA · EU 2024/2847 · ab Dez. 2027

Cyber Resilience Act — vorbereitet, bevor er zwingt.

Ab Ende 2027 wird der CRA Pflicht. Wer Produkte mit digitalen Elementen in der EU verkauft, braucht Belege: Schwachstellen-Management, SBOM, Pentest. Wir liefern die Testseite.

CRA-Pentest anfragen Was fordert der CRA?
  • Annex I konform
  • EN 18031 + ETSI EN 303 645
  • SBOM CycloneDX
  • CE-fähig

Auf einen Blick Stand · 27. Mai 2026 · Von SecTepe, Wülfrath (NRW)

Der EU Cyber Resilience Act (CRA, Verordnung 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen ab Dezember 2027 zu nachweislicher Cyber-Sicherheit über den gesamten Lebenszyklus. Pentest-CRA ist unsere Pentest-Linie für genau diese Anforderung — methodisch ausgerichtet auf Annex I und die harmonisierten Normen.

Leistungen

Pentest nach Cyber Resilience Act (CRA)

Penetrationstest für Hersteller von Produkten mit digitalen Elementen.

01

Produkt-Sicherheits-Pentest

Pentest des Produkts inkl. Hardware, Firmware, Companion-App und Cloud-Backend nach Annex I CRA.

02

SBOM-Erstellung

CycloneDX- und SPDX-konforme Software Bill of Materials, inkl. Lizenz- und Schwachstellen-Mapping.

03

Schwachstellen-Management

Aufbau des Prozesses zur Schwachstellen-Erfassung, Bewertung und Meldung gemäß CRA Art. 14.

04

Update-Mechanismus-Test

Prüfung des Update-Pfads — Signaturen, Authentizität, Rollback-Schutz, Time-to-Patch.

05

Konformitäts-Begleitung

Begleitung des Konformitäts-Bewertungs-Verfahrens; bei wichtigen oder kritischen Produkten Vorbereitung der Drittstellen-Bewertung.

06

Lifecycle-Patching

Anschluss an LTSM für die laufende Sicherheits-Wartung nach Markteinführung — eine CRA-Pflicht über mind. 5 Jahre.

Über Pentest CRA

Wer früh testet, ist 2027 nicht überrascht.

Pentest CRA ist ein Produkt von SecTepe — einem inhabergeführten IT-Dienstleister aus Wülfrath (NRW), gegründet 2023.

Der CRA wird unterschätzt. Viele Hersteller von vernetzten Produkten denken, die Verordnung treffe nur „große Cyber-Themen" — tatsächlich erfasst sie nahezu jedes Produkt mit Funkmodul oder Software. Wir bereiten Hersteller seit 2024 vor und kennen die Schmerzpunkte.

Unser Vorgehen lehnt sich an die harmonisierten Normen (EN 18031 für vernetzte Funkgeräte, ETSI EN 303 645 für IoT-Konsumprodukte) sowie an Annex I der Verordnung. Berichte sind so strukturiert, dass sie Teil der technischen Dokumentation werden können.

EU 2024/2847
Verordnung verbindlich
Dez. 2027
Stichtag Inverkehrbringen
15 Mio. €
mögliche Bußgelder
Häufige Fragen

Was Sie wahrscheinlich noch wissen wollen.

Antworten auf die Fragen, die in Erstgesprächen am häufigsten aufkommen. Steht Ihre Frage nicht dabei, schreiben Sie uns einfach.

Ab wann gilt der CRA?

Der CRA wurde am 23. Oktober 2024 im Amtsblatt veröffentlicht (Verordnung (EU) 2024/2847) und gilt vollumfänglich ab 11. Dezember 2027. Meldepflichten greifen bereits ab 11. September 2026.

Welche Produkte sind betroffen?

Alle „Produkte mit digitalen Elementen" — Hardware mit Software und eigenständige Software. Erfasst sind IoT-Geräte, Industrie-Steuerungen, vernetzte Konsumelektronik, Smartphone-Apps, Betriebssysteme. Ausgenommen sind reine Medizinprodukte, Fahrzeuge und Luftfahrt (eigene Sektor-Regelungen).

Was ist eine „wichtige" oder „kritische" Klasse?

Annex III definiert wichtige Produkte (Klassen I und II mit höherem Risiko, z.B. Router, Firewalls, Identity-Management-Software). Annex IV definiert kritische Produkte (Smart-Meter-Gateways, Hardware Security Modules etc.). Für diese ist ein Konformitäts-Bewertungs-Verfahren durch eine Drittstelle nötig.

Wie passt der CRA-Pentest zu unserer bestehenden Produktentwicklung?

Idealerweise integrieren wir den Pentest in Ihre Release-Strecke — Test vor Release, SBOM-Pflege automatisiert, Schwachstellen-Meldekette in Ihre CSIRT-Struktur eingebunden.

Was kostet ein CRA-Pentest?

Pentest eines mittleren IoT-Produkts inkl. Firmware, App und Backend liegt zwischen 25.000 und 60.000 €, abhängig von Komplexität. Sub-Produkte und Update-Versionen werden gestaffelt günstiger.

Können Sie das CE-Zeichen ausstellen?

Nein — wir sind keine Konformitätsbewertungsstelle. Wir liefern die technische Dokumentation, die Sie für die Konformitätserklärung benötigen. Für kritische Produkte vermitteln wir notifizierte Stellen.

Kerngedanken

Das Wichtigste in fünf Punkten.

  1. 01 CRA gilt verbindlich ab 11. Dezember 2027 für jedes vernetzte Produkt.
  2. 02 Anforderungen: Schwachstellen-Management, SBOM, 24-h-Meldepflicht.
  3. 03 Bußgelder bis 15 Mio. € oder 2,5 % des Welt-Jahresumsatzes.
  4. 04 Pentest nach Annex I + harmonisierte Normen (EN 18031, ETSI EN 303 645).
  5. 05 Mit Konformitätserklärung CE-fähig — Voraussetzung für EU-Marktzugang.
Pentest CRA · ein Produkt von SecTepe

Wer 2027 starten will, beginnt 2026.

Lassen Sie uns eine Konformitäts-Roadmap für Ihre Produktfamilie zeichnen — kostenfreies Vorgespräch.

Ihre Nachricht landet direkt bei SecTepe in Wülfrath — an hello@sectepe.de. Wir antworten in der Regel innerhalb eines Werktages.

CRA-Roadmap
Anschrift
SecTepe · 42489 Wülfrath · NRW
Servicegebiet
Deutschland · Europäische Union