Schritt 1 von 4 0 % abgeschlossen

Produkt
Kategorie
Reifegrad
Ergebnis

Schritt 1 · Anwendungsbereich · ~1 Minute

Was macht Ihr Produkt?

Wir prüfen, ob der CRA auf Ihr Produkt grundsätzlich zutrifft.

Hat Ihr Produkt eine digitale Komponente?

Warum fragen wir das?

Software, Firmware, Mikrocontroller, IoT-Anbindung oder Cloud-Verbindung zählen als digitale Elemente nach CRA Art. 3.

Ja Software, Firmware, Netzwerkanbindung oder Cloud-Verbindung vorhanden Nein Rein mechanisches Produkt ohne digitale Komponente Unsicher Ich bin nicht sicher, ob mein Produkt digitale Elemente enthält

Wahrscheinlich nicht CRA-betroffen: Der CRA gilt nur für Produkte mit digitalen Elementen. Füllen Sie den Rest aus für einen vollständigen Bericht.

Tipp: WLAN, Bluetooth, Ethernet, Mobilfunk oder Software → digitale Elemente nach CRA.

Wird Ihr Produkt in der EU in Verkehr gebracht?

Warum fragen wir das?

„In Verkehr bringen" umfasst: verkaufen, einführen, bereitstellen oder erstmalig auf dem EU-Markt verfügbar machen.

Ja, primär EU-Markt Auch EU, aber Hauptmarkt außerhalb Nein, ausschließlich außerhalb der EU

Nicht CRA-betroffen: Der CRA gilt nur für Produkte auf dem EU-Markt.

Welcher Sektor trifft auf Ihr Produkt zu?

Warum fragen wir das?

Medizinprodukte, Fahrzeuge, Marine- und Luftfahrt-Equipment fallen unter sektorale Verordnungen mit Vorrang vor dem CRA.

Medizinprodukt (CE nach MDR/IVDR) Fahrzeug oder Fahrzeugkomponente (UN-R 155/156) Marine Equipment (MED-Richtlinie) Luftfahrt-Equipment (EASA-Regulierung) Gewerbliches / B2B-Produkt mit digitalen Elementen Verbraucherprodukt mit digitalen Elementen

Mögliche CRA-Ausnahme: Sektorale EU-Verordnungen haben Vorrang. Die genaue Abgrenzung empfiehlt einen Spezialisten.

Wie verhält sich Ihr Produkt zu Open Source?

Kommerziell verwertet Verkauf, SaaS, Support, Dual Licensing Rein nicht-kommerzieller Open Source Keine kommerzielle Tätigkeit — CRA-Ausnahme Art. 2 Abs. 1 Kein Open Source — proprietär Vollständig geschlossener Quellcode

CRA-Ausnahme (Art. 2 Abs. 1): Rein nicht-kommerzieller Open Source ist ausgenommen. Kommerzielle Verwertung hebt die Ausnahme auf.

Schritt 2 · Produktklasse · ~2 Minuten

Welche Kategorie passt am besten?

Das bestimmt Ihre CRA-Risikoklasse und den Prüfaufwand.

B1. Welche Beschreibung trifft auf Ihr Produkt zu? Mehrfachauswahl möglich. Die höchste Kategorie bestimmt Ihre CRA-Klasse.

Critical — Anhang IV

Smart Meter Gateway Hardware Security Module / Hardware Security Device Smartcard mit Sicherheitsfunktion

Important Class II — Anhang III/II

Hypervisor oder Virtualisierungs-Software Container-Runtime PKI- oder Zertifizierungs-Software Firewall (inkl. persönliche Firewalls) Microcontroller mit Sicherheitskomponenten

Important Class I — Anhang III/I

Identitäts-Management-System / IAM Passwort-Manager Browser Smart-Home-Hub / Vernetzte Steuerung VPN-Software Sicherheits-Token (Hardware oder Software) Netzwerk-Management-Software Antivirus / Anti-Malware Boot-Manager / Boot-Loader Physical Network Interface Router / Modem für Heim oder Büro Smart-Home-Sicherheitsprodukt (Schloss, Alarm) Vernetztes Spielzeug mit Sprach- oder Tracking-Funktion

Default-Kategorie

Industrielle Steuerung / SPS / IPC IoT-Sensor oder IoT-Gateway Vernetzte Maschine oder Maschinenkomponente Eingebettete Software (Embedded) Cloud-angebundene Anwendung (B2B-SaaS) Konsumprodukt mit Konnektivität Anderes Produkt mit digitalen Elementen

Wenden Sie harmonisierte europäische Standards an?

Warum fragen wir das?

Für Important Class I entscheidet das, ob eine Selbstbewertung ausreicht. Beispiele: EN 18031, ETSI EN 303 645, IEC 62443.

Ja, vollständig angewendet und dokumentiert Teilweise Nein, oder unklar

Schritt 3 · Sicherheitsstand · Keine falschen Antworten

Wo steht Ihr Unternehmen heute?

Ehrlich antworten — das bestimmt Ihren Handlungsbedarf, nicht Ihre CRA-Klasse.

Wie weit sind Sie mit Cybersicherheits-Maßnahmen?

ISO 27001 oder IEC 62443 zertifiziert Externe Zertifizierung vorhanden 4 Punkte Dokumentiertes Sicherheits-Konzept Ohne externe Zertifizierung 3 Punkte Informelle Maßnahmen Keine systematische Dokumentation 1 Punkt Noch nichts Strukturelles Wir fangen gerade an 0 Punkte

Wie viele Personen kümmern sich aktiv um Produkt-Sicherheit?

Niemand zuständig 0 Punkte 1 Person nebenbei 1 Punkt 2–5 Personen 2 Punkte Mehr als 5 / eigenes Sicherheitsteam 3 Punkte

Haben Sie eine SBOM (Software Bill of Materials)?

Was ist das?

Eine SBOM listet alle Software-Komponenten Ihres Produkts. Sie ist eine CRA-Pflicht nach Anhang I Teil II für alle betroffenen Hersteller.

Ja, in Standard-Format (CycloneDX oder SPDX) 3 Punkte Interne Übersicht, kein Standard-Format 2 Punkte Nein 0 Punkte

Existiert ein dokumentierter Schwachstellen-Prozess?

Warum wichtig?

Ab 11. Sept. 2026 gilt: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an ENISA gemeldet werden (Art. 14 CRA).

Ja, mit dokumentiertem 24h-Meldepfad 3 Punkte Ja, aber ohne klare Fristen 2 Punkte Wir kümmern uns ad-hoc 0 Punkte Nein 0 Punkte

Fast geschafft

Ihre Auswertung ist bereit

Nur noch Ihre E-Mail — dann zeigen wir Ihre CRA-Klasse sofort.

E-Mail-Adresse *

Bitte geben Sie eine gültige E-Mail-Adresse ein.

Vorname (optional)

Firma (optional)

Ihre Rolle (optional)

Dieses Feld bitte leer lassen

Pflicht: Ich möchte das Ergebnis und gelegentliche CRA-Updates per E-Mail erhalten. Abmeldung jederzeit möglich. (optional) Ich möchte auch Angebote zu Schulungen, Webinaren und Produkten erhalten.

Keine Cookies. Keine Weitergabe an Dritte. Details in unserer Datenschutzerklärung.

CRA RouteCheck

Was macht Ihr Produkt?

Welche Kategorie passt am besten?

Wo steht Ihr Unternehmen heute?

Ihre Auswertung ist bereit