Können Sie heute nachweisen, welche Firmware-Version auf welcher Charge Ihrer Bauteile läuft – und wer sie programmiert hat?

Ab Dezember 2027 ist das keine rhetorische Frage mehr. Der Cyber Resilience Act macht Traceability, Auditierbarkeit und Recall-Readiness zur Pflicht – für Hersteller und ihre gesamte Lieferkette.

Helen Gallwas
Marketing Communication Manager
Kontaktieren Sie uns

Was ist der Cyber Resilience Act – und wen betrifft er?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die ab 11. Dezember 2027 verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Er betrifft Hersteller, Importeure und Händler von vernetzten und programmierbaren Produkten in der EU – darunter Embedded-Systeme, IoT-Geräte, Industriesteuerungen und Automotive-Komponenten.

Der CRA ist keine IT-Sicherheitsrichtlinie für Softwareunternehmen. Er ist eine Produktverordnung, die den gesamten Lebenszyklus eines Produkts betrifft: von der Entwicklung über die Fertigung bis hin zu Sicherheitsupdates und Schwachstellenmeldungen. Wer heute Produkte mit digitalen Elementen entwickelt oder in der EU vertreibt, ist betroffen.

Für den Einkauf kommt eine weitere Dimension hinzu: Hersteller müssen auch nachweisen können, dass ihre Lieferanten und Dienstleister zu einem sicheren, auditierbaren Prozess beitragen. Das verändert Lieferantenbewertungen grundlegend.

Was der CRA für den Einkauf konkret bedeutet

Auditierbare Lieferkette.

Hersteller müssen nachweisen, dass ihre Zulieferer dokumentierte, sichere Prozesse betreiben. Wer Komponenten extern programmieren, testen oder lagern lässt, muss sicherstellen, dass diese Dienstleistungen nachvollziehbar und auditierbar sind.

Firmware-Traceability bis zur Charge.

Welche Software-Version wurde wann auf welches Bauteil gespielt, von wem, unter welchen Bedingungen? Diese Frage muss jederzeit beantwortbar sein – nicht nur intern, sondern auch gegenüber Behörden und Kunden.

Reaktionsfähigkeit bei Schwachstellen.

Bei bekannten Sicherheitslücken müssen betroffene Chargen innerhalb von 24 Stunden identifiziert werden können. Wer diese Daten nicht hat – oder wessen Dienstleister sie nicht liefern kann – hat ein strukturelles Risiko.

Diese Fragen kommen bereits heute in Lieferantenbewertungen vor – vor allem bei Tier-1-Zulieferern, die selbst unter IATF- und NIS2-Druck stehen. Der richtige Zeitpunkt, die richtigen Fragen zu stellen, ist deshalb jetzt.

Programmierung, Traceability, Lagerung – als auditierbare Gesamtlösung Wie btv technologies heute schon die Bausteine für CRA-ready Lieferketten bereitstellt.

Programmierung & btv SEEL® kennenlernen

Warum Programmierung plötzlich zum Compliance-Faktor wird

Viele Unternehmen denken beim CRA zuerst an Softwareentwicklung. In der Praxis wird aber auch die Initialisierung und Programmierung von Embedded-Komponenten kritisch: Dort werden sicherheitsrelevante Zustände, Zertifikate, Konfigurationen und Firmware-Stände gesetzt.

Wenn dieser Prozess nicht dokumentiert ist, entsteht eine Lücke im Technical File – dem Kerndokument, mit dem Hersteller gegenüber Behörden ihre CRA-Konformität nachweisen. Ein technisch einwandfreies Bauteil ohne Prozessnachweis ist regulatorisch wertlos.

Hinzu kommt die Update-Pflicht: Der CRA verlangt, dass Sicherheitsupdates über den gesamten Produktlebenszyklus bereitgestellt werden können. Wer heute programmiert, muss deshalb mitdenken, wie spätere Änderungen, Neuprogrammierungen und Versions- nachweise überhaupt möglich bleiben. 

Wie btv Programmierung und Traceability verbindet

Was einen CRA-ready Dienstleister auszeichnet

Ein CRA-tauglicher Partner braucht mehr als gute Fertigung. Er muss Prozesse so aufsetzen, dass Hersteller daraus Nachweise für ihr Technical File und ihre Auditdokumentation ableiten können.

Checkliste

Das sollte ein CRA-ready Dienstleister leisten können

  • Dokumentierter, reproduzierbarer Programmierprozess (ISO/IATF-konform)
  • Lückenloser Audit-Trail: Charge, Seriennummer, Firmware-Version, Zeitstempel
  • Exportierbare Daten für QM, Audit, ERP und Compliance-Dokumentation
  • Schriftlich vereinbarte Reaktionszeiten bei Vorfällen (SLA)
  • Langzeitspeicherung von Firmware-Ständen und Gerätekonfigurationen
  • Nachweisfähige Lagerbedingungen: Klima, ESD, Testintervalle

 

Das ist kein Vollständigkeitsanspruch. Es ist ein realistischer Einstiegspunkt für Gespräche mit Lieferanten, die das Thema ernst nehmen.

Warum Langzeitlagerung und sichere Programmierung zusammengehören

Der CRA denkt in Lebenszyklen. Produkte müssen über Jahre – bei Industrie- und Automotive-nahen Anwendungen oft über zehn bis zwanzig Jahre – sicher gehalten werden. Das bedeutet: Bauteile müssen nicht nur heute verfügbar und programmierbar sein, sondern auch in fünf oder zehn Jahren, wenn eine neue Schwachstelle entdeckt wird oder ein Kunde seinen Produktlebenszyklus verlängert.

Sichere Programmierung ohne langfristige Verfügbarkeit bleibt Stückwerk. Langzeitlagerung ohne dokumentierte Prozess- und Versionssicherheit ebenfalls. Erst zusammen entsteht ein belastbarer Lifecycle-Ansatz, der auch in einem CRA-Audit standhält.

Langzeitlagerung bei btv technologies

Was Unternehmen jetzt tun sollten

  1. Bestehende Dienstleister danach befragen, welche Nachweise sie heute schon liefern können – Audit-Trail, Traceability, Reaktionszeiten.
  2. Interne Anforderungen aus Einkauf, QM, Entwicklung und Cybersecurity zusammenführen. CRA ist kein IT-Thema, das man delegieren kann.
  3. Lieferanten nicht mehr nur als operative Ausführer bewerten, sondern als Teil der eigenen Nachweis- und Risikokette.

Mit btv SEEL® – seit 2023 zum Patent angemeldet – steht eine der wenigen auditierbaren Lösungen für sichere Geräteinitialisierung in der EU bereit. Kombiniert mit Traceability, Langzeitlagerung und dokumentierten Programmierprozessen sind die Bausteine für CRA-ready Lieferketten bei btv vorhanden. Wir sind bereit.

Maximilian Krane
CEO

Auditierbare Lieferkette – was das konkret bedeutet

Programmierung, Traceability und Langzeitlagerung als Lifecycle-Lösung. Sprechen Sie mit uns darüber, wie btv heute schon CRA-relevante Bausteine bereitstellt.

Erstgespräch vereinbaren

Christian Schoregge
Key Account Manager
Kontaktieren Sie uns
Sebastian Gersmann
Key Account Manager
Kontaktieren Sie uns
Thomas Hase
Key Account Manager
Kontaktieren Sie uns

Häufige Fragen zum Cyber Resilience Act

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung für Produkte mit digitalen Elementen. Ab 11. Dezember 2027 müssen Hersteller Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus erfüllen – von der Entwicklung bis zum End-of-Life. Dazu gehören Sicherheits-Updates, Traceability, Incident-Response und Dokumentationspflichten.

Die wesentlichen Pflichten gelten ab 11. Dezember 2027. Meldepflichten bei aktiv ausgenutzten Schwachstellen greifen bereits ab 11. September 2026. Unternehmen sollten ihre Lieferketten und Dienstleisterbewertungen deshalb jetzt vorbereiten.

Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Das umfasst Embedded-Systeme, IoT-Geräte, Industriesteuerungen und vernetzte Automotive-Komponenten – und damit auch deren Dienstleister in der Lieferkette.

Einkäufer müssen Lieferanten künftig auch nach ihrer Auditierbarkeit, Traceability und Prozessdokumentation bewerten. Wer Komponenten extern programmieren oder lagern lässt, muss sicherstellen, dass diese Dienstleister CRA-relevante Nachweise liefern können.

Ein CRA-ready Dienstleister dokumentiert jeden Produktionsschritt nachvollziehbar, liefert lückenlose Firmware-Traceability, reagiert nachweislich auf Sicherheitsvorfälle und unterstützt Kunden bei Auditdokumentation und Technical File.

Weitere Artikel

Halbleiterengpässe meistern: Legacy Nodes & Transparenz
tak

Halbleiterengpässe meistern: Legacy Nodes & Transparenz

Die nächste Chipkrise ist keine Frage des Ob, sondern wie gut Sie vorbereitet sind. Der Beitrag zeigt, warum Legacy Nodes zum Engpass werden – und wie ACT-Framework und Critical-Parts-Concept von btv technologies Sie handlungsfähig halten.

Nexperia-Krise: Not macht erfinderisch. Struktur macht Supply Chains stabil.
tak

Nexperia-Krise: Not macht erfinderisch. Struktur macht Supply Chains stabil.

Die Nexperia-Krise ist Anfang 2026 nicht vorbei – nur leiser geworden. Ein Automobilzulieferer setzt auf Wafer-Einkauf in Europa und Distribution über btv als One-Stop-Shop mit TAK – für stabile Versorgung und weniger Komplexität.

Chipkrise 2025: Transparenz ist die neue Resilienz
tak

Chipkrise 2025: Transparenz ist die neue Resilienz

Die Chipkrise 2.0 zeigt, dass Effizienz ohne Steuerung ins Leere führt. Während neue europäische Fabs Jahre brauchen, können Unternehmen jetzt handeln: TAK macht Lieferketten transparent, audit-sicher und kosteneffizient – ohne Margen, mit voller Kontrolle.