CRA Readiness Sprint: Scope → Controls → Evidence (4 Wochen)

Marcel Rieger

Managing Director, Cyber Risk

Der CRA-Readiness-Sprint ist kein Beratungsprojekt, das sich über Monate hinzieht. Es ist ein fokussierter, strukturierter Vier-Wochen-Sprint mit klar definiertem Output: Sie wissen danach, was Sie tun müssen – und die ersten Maßnahmen sind bereits umgesetzt. Kein Overhead, keine Analyse-Paralyse.

Woche 1: Scope und Produktklassifizierung

In der ersten Woche klären wir die grundlegenden Fragen: Fällt Ihr Produkt unter den CRA – und wenn ja, in welche Klasse? Standard, Klasse I oder Klasse II? Diese Klassifizierung bestimmt den Konformitätspfad: Selbstdeklaration, verschärfte interne Prüfung oder externe Bewertung durch eine notifizierte Stelle. Außerdem definieren wir den Geltungsbereich: Welche Produktversionen sind betroffen? Welche Kundengruppen? Welche Lieferkette?

Woche 2: Gap-Analyse gegen CRA-Anforderungen

In der zweiten Woche bewerten wir Ihren aktuellen Entwicklungsprozess gegen die CRA-Anforderungen. Wie reif ist Ihr SDLC in Bezug auf Security? Haben Sie ein Schwachstellenmanagement? Eine Vulnerability Disclosure Policy? Können Sie eine SBOM erstellen? Das Ergebnis: ein priorisiertes Finding-Register, das zeigt, was bereits vorhanden ist und was neu aufgebaut werden muss.

Woche 3: Quick Wins und erste Controls

In der dritten Woche setzen wir an, was schnell umsetzbar ist: Vulnerability-Disclosure-Policy erstellen und veröffentlichen. Threat Modeling für ein repräsentatives Feature durchführen. SBOM-Tooling evaluieren und konfigurieren. Sicherheitsanforderungen formal in den Entwicklungsprozess einbauen. Security-Gates für den CI/CD-Prozess definieren.

Woche 4: Roadmap und Evidence-Fundament

In der vierten Woche erstellen wir den vollständigen Umsetzungsfahrplan bis zur CRA-Konformität – mit realistischen Meilensteinen und Ressourcenbedarf. Wir legen die Dokumentationsstruktur an und erstellen die ersten Evidence-Artefakte: initiales Risikoregister, erste Policies, Prozessdokumentation.

Nach vier Wochen haben Sie: eine dokumentierte Scope-Entscheidung, einen priorisierten Maßnahmenplan, erste Evidence-Artefakte und eine klare Roadmap zur vollständigen CRA-Konformität.