Cyber Resilience Act Compliance Specialist
Heute schon realNoch ein Beruf, den es schon gibt: der Spezialist für den Cyber Resilience Act. Er sorgt dafür, dass Geräte und Software mit digitalen Bauteilen die neuen EU-Cybersicherheitsregeln erfüllen und in Europa überhaupt verkauft werden dürfen. Die Fristen rücken näher, die Nachfrage steigt schnell.
Was macht ein CRA-Spezialist?
Er ist die Fachperson für die Cybersicherheit von Produkten. Wer in der EU ein Gerät oder eine Software mit digitalen Bauteilen verkauft, muss ab bestimmten Stichtagen nachweisen, dass das Produkt sicher entwickelt wurde und über seine Lebensdauer sicher bleibt. Genau das organisiert der CRA-Spezialist: von der sicheren Entwicklung über die Dokumentation bis zur Meldung von Schwachstellen. Ohne diesen Nachweis darf ein Produkt am Ende kein CE-Zeichen tragen und nicht verkauft werden.
Warum entsteht dieser Beruf gerade jetzt?
Grund ist der Cyber Resilience Act (Verordnung (EU) 2024/2847). Er ist am 10. Dezember 2024 in Kraft getreten und greift in Stufen. Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle gelten ab dem 11. September 2026, die vollen Pflichten ab dem 11. Dezember 2027. Bis dahin müssen Hersteller ihre Prozesse umbauen. Das schafft viele neue Stellen, ähnlich wie zuvor der Datenschutz oder die KI-Verordnung.
Die konkreten Aufgaben
Sicher entwickeln
Security-by-Design und Security-by-Default in den Entwicklungsprozess einbauen, von Anfang an.
Risiken bewerten
Cyber-Risikobewertungen und Bedrohungsanalysen für Hardware und Software durchführen oder koordinieren.
Schwachstellen managen
Einen Prozess für das Melden und Beheben von Sicherheitslücken aufbauen, inklusive der Meldungen an die EU-Stellen.
Dokumentation und CE
Technische Unterlagen, eine Software-Stückliste (SBOM) und die Konformitätserklärung für das CE-Zeichen erstellen.
Lieferkette steuern
Zulieferer prüfen und sicherstellen, dass auch zugekaufte Bauteile die Anforderungen erfüllen.
Schulen und überwachen
Teams schulen, neue Vorgaben verfolgen und Produkte auch nach dem Verkauf weiter beobachten.
Welche Produkte und Firmen sind betroffen?
Betroffen sind Produkte mit digitalen Elementen, also vom vernetzten Haushaltsgerät über Industriesteuerungen und Smart-Home-Technik bis zu eigenständiger Software. Manche Bereiche wie Fahrzeuge oder Medizinprodukte fallen unter eigene Regeln. Verantwortlich sind vor allem die Hersteller, aber auch Zulieferer, Importeure und Händler müssen mitziehen. Für besonders kritische Produkte prüft zusätzlich eine unabhängige Stelle.
Was man dafür können muss
Gefragt ist die Mischung aus Technik und Regelwerk. Dazu gehören ein gutes Verständnis von IT- und Produktsicherheit, Erfahrung mit sicherer Entwicklung und dem Umgang mit Schwachstellen sowie Kenntnis anerkannter Standards wie ISO/IEC 27001, IEC 62443 oder der Empfehlungen von OWASP und NIST. Genauso wichtig sind Organisationstalent und Kommunikationsstärke, denn der Beruf verbindet Entwicklung, IT-Sicherheit, Recht und Qualität. Gute Deutsch- und Englischkenntnisse sind Pflicht, weil die Regeltexte und Teams oft international sind.
Wie wird man das?
Der häufigste Weg führt aus der Praxis. Wer drei bis acht Jahre in Produktsicherheit, in der Sicherheit von eingebetteten oder vernetzten Geräten, in sicherer Softwareentwicklung oder in der Regulierung gearbeitet hat, steigt gut ein. Auch Fachleute aus Qualität und CE-Kennzeichnung passen. Es gibt bereits erste Weiterbildungen speziell zum Cyber Resilience Act. Viele spezialisieren sich aus klassischen Cybersicherheits- oder Qualitätsrollen.
Gehalt
Die folgenden Spannen sind grobe Marktorientierung und hängen von Standort, Unternehmensgröße und Aufgabe ab. In München, Stuttgart und Frankfurt liegt es eher höher.
| Erfahrungsstufe | Orientierung (brutto/Jahr) |
|---|---|
| Einstieg / mittlere Ebene | rund 70.000 bis 90.000 Euro |
| Senior / erfahrene Spezialisten | rund 90.000 bis 110.000 Euro und mehr |
Typische Arbeitgeber
Vor allem Hersteller von Geräten mit digitalen Bauteilen: Elektronik, Maschinenbau, Industrieautomatisierung, Smart-Home- und IoT-Anbieter sowie Softwarehäuser. Dazu kommen Zulieferer, Prüf- und Beratungsunternehmen wie TÜV, DEKRA oder SGS und unabhängige Konformitätsstellen. In Deutschland ist die Rolle besonders in den produzierenden Regionen gefragt, etwa in Baden-Württemberg, Bayern, Nordrhein-Westfalen und Sachsen. Viele Stellen sind hybrid oder remote möglich.
Aussichten
Sehr gut. Die nahenden Fristen 2026 und 2027 treiben die Nachfrage stark, ähnlich wie es die Finanzbranche bei ihren eigenen Cyber-Regeln erlebt. 2026 dominiert die Vorbereitung, also Prozesse und Dokumentation aufbauen. Ab 2027 wird es laufender Betrieb mit Meldungen, Prüfungen und ständigem Schwachstellen-Management. Wer technisches Cyber-Wissen mit Regelverständnis verbindet, hat sehr gute Karten.
Wie ordnet KIPODE das ein?
Der CRA-Spezialist zeigt dasselbe Muster wie der KI-Compliance-Beauftragte: Aus einer neuen EU-Vorschrift wird ein konkreter, gut bezahlter Beruf. Für Fachleute aus IT-Sicherheit und Produktentwicklung ist das ein naheliegender, sicherer nächster Schritt.
← Zurück zur Übersicht Berufe der Zukunft