ONEKEY stellt „CRA Fast Start“ vor

Zielgruppe sind Hersteller digitaler Geräte, Maschinen und Anlagen mit Internet-Verbindung, deren Produkte dem Cyber Resilience Act genügen müssen, um künftig verkauft werden zu dürfen.

Düsseldorf, 19. Februar 2026 – Unter der Bezeichnung „CRA Fast Start“ hat das Düsseldorfer Cybersicherheitsunternehmen ONKEY ein Programm vorgestellt, mit dem die Hersteller vernetzter Geräte, Maschinen und Anlagen ihre Produkte strukturiert und ohne Vorlaufzeiten auf Compliance in Bezug auf den neuen EU-Sicherheitsstandard Cyber Resilience Act (CRA) überprüfen können. Von der Richtlinie für Cybersicherheit sind Schätzungen zufolge Hunderte Millionen, wenn nicht Milliarden digitaler Produkte in der EU betroffen. Sie dürfen nach Ablauf der Übergangsfristen nur noch in Verkehr gebracht werden, wenn die Hersteller ein kontinuierliches Schwachstellenmanagement, dokumentierte Sicherheitsprozesse und ein laufendes Monitoring ihrer Software- und Firmware-Komponenten während des gesamten Produktlebenszyklus nachweisen können.

Dementsprechend basiert „CRA Fast Start“ von ONEKEY auf drei Säulen: CRA Readiness Assessment, einem systematischen Vulnerability-Management und kontinuierlichem Monitoring.

Das Angebot richtet sich an Unternehmen in unterschiedlichen Ausgangslagen. Für Hersteller, die sich dem Cyber Resilience Act erstmals nähern, dient das Assessment als Orientierungshilfe. Unternehmen, die bereits wissen, in welchem Umfang sie vom CRA betroffen sind und eine rasche Umsetzung benötigen, können direkt mit Vulnerability-Management und kontinuierlichem Monitoring starten. Ergänzend unterstützen ein Compliance Check sowie ein Wizard bei der ersten Überprüfung der CRA-Konformität. Der Wizard wird kontinuierlich weiterentwickelt und an künftige regulatorische Anforderungen sowie die zu erwartenden harmonisierten Standards angepasst.

„Mit CRA Fast Start ermöglichen wir Herstellern einen systematischen und kurzfristig umsetzbaren Einstieg in die vom Gesetzgeber geforderte CRA-Compliance“, erklärt Jan Wendenburg, CEO von ONEKEY, das neue Angebot.

Start mit CRA-Assessment

Ein zentraler Baustein des neuen Programms ist ein initiales strukturiertes CRA-Readiness-Assessment. Dabei wird der aktuelle Reifegrad eines Unternehmens in Bezug auf die CRA-Anforderungen analysiert. Untersucht werden neben Produktanforderungen unter anderem bestehende Prozesse zur Schwachstellenbehandlung, die Dokumentation von Software-Stücklisten (SBOMs) und organisatorische Zuständigkeiten. Auf dieser Grundlage lassen sich Compliance-Lücken identifizieren und priorisierte Handlungsschritte definieren. Das Assessment empfiehlt ONEKEY insbesondere Unternehmen, die noch nicht genau wissen, inwieweit sie vom CRA betroffen sind und was zu tun ist.  

Im weiteren Verlauf – oder auch für Unternehmen, die sich bereits mit den Anforderungen des CRA auseinandergesetzt haben und nun starten wollen – sorgt ein kontinuierliches Vulnerability Management zusammen mit einem fortlauernden Monitoring dafür, dass Schwachstellen aufgedeckt werden und die Softwarelieferketten-Transparenz (mit Hilfe von SBOMs) stets gewährleistet ist. Weitere Vorteile sind die frühzeitige Erkennung neuer Schwachstellen und die nachhaltige Einhaltung der CRA-Anforderungen. Neue Schwachstellen, betroffene Bibliotheken und sicherheitsrelevante Änderungen werden fortlaufend erfasst. Damit entsteht eine dauerhafte Transparenz über den Sicherheitsstatus digitaler Produkte. Dies unterstützt nicht nur die Einhaltung der CRA-Pflichten, sondern auch interne Governance- und Risikomanagementprozesse, umreißt ONEKEY die Vorgehensweise und den Umgang des Start-Programms. Eingesetzt wird hier die ONEKEY Product Cybersecurity & Compliance Plattform.

„Unsere Plattform, gepaart mit dem CRA Readiness Assessment, vereint unser Expertenwissen im Consulting-/Beratungsbereich mit der umfangreichen Analysestärke der ONEKEY-Plattform. Dieses neue Programm adressiert die dringende Notwendigkeit des kurzfristigen Handelns mit dem Einstieg in eine langfristige Strategie zur Erfüllung der notwendigen Compliance“, erklärt Jan Wendenburg. Er stellt zugleich klar: „Letztendlich geht es für die Hersteller nicht nur um die zwingend notwendige Erfüllung gesetzlicher Anforderungen, sondern auch darum, die eigene Produktpalette tatsächlich resilient gegen Cyberangriffe zu machen. Schließlich birgt jede Schwachstelle, die ausgenutzt wird, sowohl rechtliche als auch Reputationsgefahren.“

Eile ist geboten

Der CRA verpflichtet Hersteller unter anderem zur systematischen Identifikation, Bewertung und Behebung von Schwachstellen während des gesamten Produktlebenszyklus. ONEKEY adressiert diese Vorgabe mit einem kontinuierlichen Vulnerability-Management-Ansatz, der Software- und Firmware-Komponenten automatisiert analysiert und bekannte Sicherheitslücken zuordnet. Damit wird eine belastbare Datenbasis geschaffen, um Risiken nachvollziehbar zu bewerten und regulatorische Nachweispflichten zu erfüllen.

Es ist Eile geboten: Der Cyber Resilience Act sieht ab 2026 erste Pflichten zur Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden an nationale Behörden vor. Ab 2027 müssen alle betroffenen Produkte die vollständigen Sicherheitsanforderungen erfüllen, einschließlich dokumentierter Vulnerability-Management-Prozesse. Unternehmen, die diese Fristen nicht einhalten, riskieren Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

‍