Können Sie heute nachweisen, welche Firmware-Version auf welcher Charge Ihrer Bauteile läuft – und wer sie programmiert hat?

Ab Dezember 2027 ist das keine rhetorische Frage mehr. Der Cyber Resilience Act macht Traceability, Auditierbarkeit und Recall-Readiness zur Pflicht – für Hersteller und ihre gesamte Lieferkette.

Die erste Frist gilt bereits ab 11. September 2026: Ab diesem Datum müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die nationale CSIRT und die ENISA gemeldet werden. Wer jetzt keinen Meldeprozess hat – oder wessen Lieferanten keine Chargen-genaue Traceability liefern können – hat ein strukturelles Risiko.

Helen Gallwas
Marketing Communication Manager
Kontaktieren Sie uns

Was ist der Cyber Resilience Act – und wen betrifft er?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die ab 11. Dezember 2027 verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Er betrifft Hersteller, Importeure und Händler von vernetzten und programmierbaren Produkten in der EU – darunter Embedded-Systeme, IoT-Geräte, Industriesteuerungen und Automotive-Komponenten.

Der CRA ist keine IT-Sicherheitsrichtlinie für Softwareunternehmen. Er ist eine Produktverordnung, die den gesamten Lebenszyklus eines Produkts betrifft: von der Entwicklung über die Fertigung bis hin zu Sicherheitsupdates und Schwachstellenmeldungen. Wer heute Produkte mit digitalen Elementen entwickelt oder in der EU vertreibt, ist betroffen.

Ein oft übersehener Punkt: Wer Produkte unter eigenem Namen oder eigener Marke in der EU in Verkehr bringt – auch als Importeur oder Händler – gilt regulatorisch als Hersteller und trägt damit alle CRA-Pflichten. White-Labelling oder das Vornehmen von Änderungen an Fremdbauteilen reicht aus, um in die volle Herstellerverantwortung zu fallen.

Für den Einkauf kommt eine weitere Dimension hinzu: Hersteller müssen auch nachweisen können, dass ihre Lieferanten und Dienstleister zu einem sicheren, auditierbaren Prozess beitragen. Das verändert Lieferantenbewertungen grundlegend – und macht CRA-Compliance zu einem Beschaffungsthema.

 

Was der CRA für den Einkauf konkret bedeutet

Auditierbare Lieferkette.

Hersteller müssen nachweisen, dass ihre Zulieferer dokumentierte, sichere Prozesse betreiben. Wer Komponenten extern programmieren, testen oder lagern lässt, muss sicherstellen, dass diese Dienstleistungen nachvollziehbar und auditierbar sind.

Firmware-Traceability bis zur Charge.

Welche Software-Version wurde wann auf welches Bauteil gespielt, von wem, unter welchen Bedingungen? Diese Frage muss jederzeit beantwortbar sein – nicht nur intern, sondern auch gegenüber Behörden und Kunden.

Reaktionsfähigkeit bei Schwachstellen.

Bei bekannten Sicherheitslücken müssen betroffene Chargen innerhalb von 24 Stunden identifiziert werden können. Wer diese Daten nicht hat – oder wessen Dienstleister sie nicht liefern kann – hat ein strukturelles Risiko.

Diese Fragen kommen bereits heute in Lieferantenbewertungen vor – vor allem bei Tier-1-Zulieferern, die selbst unter IATF- und NIS2-Druck stehen. Der richtige Zeitpunkt, die richtigen Fragen zu stellen, ist deshalb jetzt.

Programmierung, Traceability, Lagerung – als auditierbare Gesamtlösung Wie btv technologies heute schon die Bausteine für CRA-ready Lieferketten bereitstellt.

Programmierung & btv SEEL® kennenlernen

Chain of Trust: Was der CRA wirklich fordert – und wie btv es liefert

Der CRA verlangt im Kern den Nachweis einer lückenlosen Chain of Trust: Jeder Schritt in der Lieferkette – von der Beschaffung über die Programmierung bis zur Auslieferung – muss dokumentiert, rückverfolgbar und auditierbar sein. Das ist keine abstrakte Anforderung, sondern ein konkreter Nachweis, den Behörden im Zweifelsfall einfordern.

btv technologies stellt genau diese Nachweiskette bereit – durch das Zusammenspiel zweier Bausteine:

  • TAK-Modell: Vollständige Traceability entlang der gesamten Lieferkette
    Das TAK-Modell dokumentiert lückenlos, welches Bauteil aus welcher Quelle stammt, wann es eingelagert wurde, unter welchen Bedingungen es gelagert wird und wann es in die Produktion geliefert wird. Jedes Gebinde ist rückverfolgbar – gebindescharf, standortübergreifend, für alle Produktionsstandorte, Tier-1-Zulieferer und EMS-Partner. Das ist die Basis jedes CRA-Audits.
  • btv SEEL®: Hochsichere, auditierbare Programmierung
    btv SEEL® – seit 2023 zum Patent angemeldet – ist eine der wenigen auditierbaren Lösungen für sichere Geräteinitialisierung in der EU. Jede Programmierung wird mit vollständigem Audit-Trail dokumentiert: Gebinde, Seriennummer, Firmware-Version, Zeitstempel, Operator. Diese Daten sind exportierbar für QM, ERP, Technical File und Behördenaudits – und schließen damit die Lücke, die bei vielen Herstellern zwischen Bauteilbeschaffung und Endprodukt klafft.

Zusammen bilden TAK und btv SEEL® eine durchgängige, nachweisbare Chain of Trust – von der Komponente bis zur programmierten, einsatzbereiten Baugruppe.

Warum Programmierung plötzlich zum Compliance-Faktor wird

Viele Unternehmen denken beim CRA zuerst an Softwareentwicklung. In der Praxis wird aber auch die Initialisierung und Programmierung von Embedded-Komponenten kritisch: Dort werden sicherheitsrelevante Zustände, Zertifikate, Konfigurationen und Firmware-Stände gesetzt.

Wenn dieser Prozess nicht dokumentiert ist, entsteht eine Lücke im Technical File – dem Kerndokument, mit dem Hersteller gegenüber Behörden ihre CRA-Konformität nachweisen. Ein technisch einwandfreies Bauteil ohne Prozessnachweis ist regulatorisch wertlos.

Hinzu kommt die Update-Pflicht: Der CRA verlangt, dass Sicherheitsupdates über den gesamten Produktlebenszyklus bereitgestellt werden können. Wer heute programmiert, muss deshalb mitdenken, wie spätere Änderungen, Neuprogrammierungen und Versionsnachweise überhaupt möglich bleiben.

Wie btv Programmierung und Traceability verbindet

Was einen CRA-ready Dienstleister auszeichnet

Ein CRA-tauglicher Partner braucht mehr als gute Fertigung. Er muss Prozesse so aufsetzen, dass Hersteller daraus Nachweise für ihr Technical File und ihre Auditdokumentation ableiten können.

Checkliste

Das sollte ein CRA-ready Dienstleister leisten können

  • Dokumentierter, reproduzierbarer Programmierprozess (ISO/IATF-konform)
  • Lückenloser Audit-Trail: Charge, Seriennummer, Firmware-Version, Zeitstempel
  • Exportierbare Daten für QM, Audit, ERP und Compliance-Dokumentation
  • Schriftlich vereinbarte Reaktionszeiten bei Vorfällen (SLA)
  • Langzeitspeicherung von Firmware-Ständen und Gerätekonfigurationen
  • Nachweisfähige Lagerbedingungen: Klima, ESD, Testintervalle
  • Chargengenaue Traceability entlang der gesamten Lieferkette

Das ist kein Vollständigkeitsanspruch. Es ist ein realistischer Einstiegspunkt für Gespräche mit Lieferanten, die das Thema ernst nehmen.

Warum Langzeitlagerung und sichere Programmierung zusammengehören

Der CRA denkt in Lebenszyklen. Produkte müssen über Jahre – bei Industrie- und Automotive-nahen Anwendungen oft über zehn bis zwanzig Jahre – sicher gehalten werden. Das bedeutet: Bauteile müssen nicht nur heute verfügbar und programmierbar sein, sondern auch in fünf oder zehn Jahren, wenn eine neue Schwachstelle entdeckt wird oder ein Kunde seinen Produktlebenszyklus verlängert.

Sichere Programmierung ohne langfristige Verfügbarkeit bleibt Stückwerk. Langzeitlagerung ohne dokumentierte Prozess- und Versionssicherheit ebenfalls. Erst zusammen entsteht ein belastbarer Lifecycle-Ansatz, der auch einem CRA-Audit standhält – und der die Chain of Trust nicht nur zum Zeitpunkt der Erstprogrammierung, sondern über den gesamten Produktlebenszyklus schließt.

Langzeitlagerung bei btv technologies

Was Unternehmen jetzt tun sollten

  • Erste Frist im Blick: Ab 11. September 2026 gelten Meldepflichten für aktiv ausgenutzte Schwachstellen – das ist in weniger als vier Monaten
  • Bestehende Dienstleister danach befragen, welche Nachweise sie heute schon liefern können – Audit-Trail, Traceability, Reaktionszeiten
  • Interne Anforderungen aus Einkauf, QM, Entwicklung und Cybersecurity zusammenführen – CRA ist kein IT-Thema, das man delegieren kann
  • Lieferanten nicht mehr nur als operative Ausführer bewerten, sondern als Teil der eigenen Nachweis- und Risikokette
  • Vollständige CRA-Konformität sicherstellen bis 11. Dezember 2027

Mit btv SEEL® und dem TAK-Modell stehen die Bausteine für eine nachweisbare Chain of Trust bereit. Wir sind bereit.

Maximilian Krane
CEO

Auditierbare Lieferkette – was das konkret bedeutet

Programmierung, Traceability und Langzeitlagerung als Lifecycle-Lösung. Sprechen Sie mit uns darüber, wie btv heute schon CRA-relevante Bausteine bereitstellt.

Erstgespräch vereinbaren

Christian Schoregge
Key Account Manager
Kontaktieren Sie uns
Sebastian Gersmann
Key Account Manager
Kontaktieren Sie uns
Thomas Hase
Key Account Manager
Kontaktieren Sie uns

Häufige Fragen zum Cyber Resilience Act

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen einführt – von IoT-Geräten über Embedded-Systeme bis zu Automotive-Komponenten.

Die vollständige CRA-Pflicht gilt ab 11. Dezember 2027. Meldepflichten für aktiv ausgenutzte Schwachstellen greifen bereits ab 11. September 2026.

Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Auch wer Produkte unter eigenem Namen vertreibt oder Änderungen an Fremdbauteilen vornimmt, gilt regulatorisch als Hersteller.

Die Chain of Trust bezeichnet den lückenlosen, auditierbaren Nachweis aller Prozessschritte entlang der Lieferkette – von der Bauteilbeschaffung über Lagerung und Programmierung bis zur Auslieferung. Der CRA fordert diesen Nachweis für das Technical File und bei Behördenaudits. TAK liefert die Traceability, btv SEEL® die auditierbare Programmierung.

Einkauf und Supply-Chain-Verantwortliche müssen sicherstellen, dass Lieferanten und Dienstleister auditierbare, dokumentierte Prozesse betreiben. Firmware-Traceability, Audit-Trails und Reaktionszeiten bei Sicherheitsvorfällen werden zu Beschaffungskriterien.

CRA-konforme Programmierung bedeutet: dokumentierter Prozess, lückenloser Audit-Trail pro Charge, exportierbare Nachweise für das Technical File und nachweisfähige Langzeitspeicherung von Firmware-Ständen.

Ein Partner, der nicht nur technisch sauber programmiert, sondern dessen Prozesse so dokumentiert sind, dass Hersteller daraus direkt Nachweise für Audits und Behörden ableiten können – mit SLA-gesicherten Reaktionszeiten, exportierbaren Daten und gebindescharfer Traceability.

Nein. Rund 90% der betroffenen Produkte können die Konformitätsbewertung im Selbstauskunftsverfahren (Modul A) durchführen. Nur kritische Produktklassen benötigen externe Prüfstellen. Die Nachweispflicht – insbesondere das Technical File und der Audit-Trail – gilt jedoch für alle.

Weitere Artikel

65 Chipfabriken bis 2040 — und Europa schaut zu
tak

65 Chipfabriken bis 2040 — und Europa schaut zu

Eine neue ZVEI-Studie zeigt: Der Halbleiterbedarf verdoppelt sich. Neue Kapazitäten entstehen in Asien. Was das für Ihre Teileversorgung bedeutet — und was Sie heute tun können.

Liegt Ihr Bauteil nur im Regal – oder ist es in 15 Jahren noch linienfähig?
Langzeitlagerung

Liegt Ihr Bauteil nur im Regal – oder ist es in 15 Jahren noch linienfähig?

Ein konserviertes Bauteil ist kein einsatzbereites Bauteil. btv LONGEVITY® stellt sicher, dass Bauteile nach über 20 Jahren genauso linienfähig sind wie am ersten Tag – mit aktiver Bauteilpflege, Bestromung und lückenloser Dokumentation.

Komponentenlogistik unter Druck: Wie Geopolitik Ihre kritischen Teile bestimmt
tak

Komponentenlogistik unter Druck: Wie Geopolitik Ihre kritischen Teile bestimmt

Helium aus Ras Laffan, Seltene Erden und neue TSMC‑Fabs: Globale Politik entscheidet mit, welche Standardbauteile zu kritischen Teilen werden – und wie robust Ihre Komponentenlogistik und Halbleiter‑Supply‑Chain wirklich ist.