Unsere Dienstleistungen
Von der regulatorischen Analyse bis zur technischen Umsetzung – wir begleiten Sie auf dem Weg zur Cybersecurity-Compliance und darüber hinaus.
Cybersecurity-Regulierung für Produkte
Der Cyber Resilience Act (CRA) und die neue Maschinenverordnung verlangen ab 2027 verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Neben technischen Anforderungen müssen Hersteller einen Secure Development Lifecycle nachweisen, Schwachstellen melden und Updates bereitstellen.
Wir unterstützen Sie bei der Umsetzung:
- Betroffenheitsanalysen und Identifikation von Abweichungen vom CRA und anderen Vorgaben
- Compliance-Roadmap mit Meilensteinen – von initialer Bestandsaufnahme über technische Umsetzung bis zur Konformitätserklärung
- Standard-Mapping – Zuordnung passender harmonisierter Normen (EN 40000, EN 50742, EN 18031, IEC 62443, ...) für Ihre Produkte
- Unterstützung bei der Erstellung technischer Dokumentationen
- Vorbereitung auf Marktüberwachung und behördliche Prüfungen
Unser Team verfügt über umfassende Expertise in der Interpretation und Anwendung der EU-Cybersicherheitsgesetzgebung und begleitet Sie von der ersten Analyse bis zur erfolgreichen Markteinführung.
Zulassung & Zertifizierung nach IEC 62443
Die IEC 62443-Standardfamilie ist das weltweit führende Rahmenwerk für industrielle Cybersicherheit. Eine Zertifizierung nach IEC 62443-4-1 (Secure Product Development Lifecycle) oder IEC 62443-4-2 (Component-Level Security) demonstriert Ihr Commitment zu Cybersicherheit und öffnet Türen in kritischen Märkten.
Unsere Leistungen im Bereich Zertifizierung:
- Pre-Assessment und Readiness-Checks für IEC 62443-Zertifizierungen
- Entwicklung und Implementierung von Security Development Lifecycles (SDLC)
- Gap-Analysen gegen IEC 62443-4-1 und IEC 62443-4-2 Anforderungen
- Begleitung während des gesamten Zertifizierungsprozesses
- Koordination mit akkreditierten Zertifizierungsstellen (z.B. TÜV SÜD)
- Vorbereitung der erforderlichen Nachweisdokumentation
Aus unserer langjährigen Erfahrung in erfolgreichen Zertifizierungsprojekten – darunter die IEC 62443-4-1 Zertifizierung für einen internationalen Pumpenhersteller – kennen wir die praktischen Stolpersteine: unklare Nachweisanforderungen, Interpretationsspielräume in der Norm, Koordination mit Zertifizierungsstellen. Wir bringen Sie strukturiert durch den Prozess – von der Readiness-Bewertung bis zum erfolgreichen Audit.
Secure Product Development Lifecycle
Der CRA verlangt ab 2027 einen dokumentierten Secure Development Lifecycle (SDLC) für alle Produkte mit digitalen Elementen. Auch für IEC 62443-4-1 Zertifizierungen ist ein etablierter SDLC Voraussetzung. Ein nachträglicher Aufbau ist aufwendig – daher besser frühzeitig integrieren.
Wir helfen Ihnen bei der Etablierung oder Optimierung Ihres Security Development Lifecycle:
- Analyse bestehender Entwicklungsprozesse und Security Practices
- Prozesse für Ihre Entwicklungsmethoden – ob Wasserfall, Agile oder hybride Ansätze, wir integrieren Security ohne die Entwicklung zu behindern
- Integration von Security Requirements, Threat Modeling und Security Testing
- Etablierung von Security Review Gates und Approval-Prozessen
- Implementierung von Vulnerability Management und Incident Response
- Schulung Ihrer Entwicklungsteams in Security-by-Design Prinzipien
Unser Ansatz berücksichtigt Ihre spezifischen Produkte, Entwicklungsmethoden und regulatorischen Anforderungen, um einen praktikablen und effektiven SDLC zu schaffen.
Security Engineering
Cybersicherheit muss von Anfang an in die Produktentwicklung integriert werden. Unsere Security Engineers unterstützen Sie dabei, Security-by-Design in Ihre Entwicklungsprozesse zu implementieren und technische Sicherheitsanforderungen umzusetzen.
Unsere Security Engineering Services umfassen:
- Security Requirements Engineering – strukturierte Ableitung von Sicherheitsanforderungen aus Bedrohungsanalysen (Threat Modeling nach STRIDE oder PASTA)
- Secure Architecture Reviews und Design-Beratung
- Kryptographie-Beratung und sichere Kommunikationsprotokolle
- Implementierung von Authentifizierung, Autorisierung und Access Control
- Code Security Reviews – manuelle Prüfung sicherheitskritischer Code-Abschnitte, ergänzt durch automatisierte statische Analyse (SAST)
- Entwicklung von Security Hardening Guides
Unsere Experten bringen tiefgreifende Kenntnisse in Embedded Security, Industrial Control Systems und IoT-Security mit und arbeiten eng mit Ihren Entwicklungsteams zusammen.
Penetrationstests & Schwachstellenanalysen
Für CRA-Compliance und IEC 62443-4-2 Zertifizierungen sind dokumentierte Sicherheitstests verpflichtend. Unsere Penetrationstests folgen strukturierten Testmethoden (konform mit ISO/IEC 17025, IEC 62443-4-2 und ISO/IEC 27034) und liefern priorisierte, technisch fundierte Schwachstellenberichte mit konkreten Empfehlungen zur Behebung.
Unsere Testing-Services umfassen:
- Penetrationstests für IoT-Geräte, Embedded Systems und Industriekomponenten
- Firmware-Analyse und Binary Analysis
- Protokollanalyse und Netzwerk-Penetrationstests
- Web Application Security Testing (nach OWASP Top 10)
- API Security Testing und Cloud Security Assessments
- Physical Security Testing (Hardware-Angriffe, Side-Channel-Analyse)
Unsere Berichte enthalten detaillierte Schwachstellenbeschreibungen, Risikobewertungen nach CVSS und konkrete Empfehlungen zur Behebung. Wir unterstützen Sie auch bei der Priorisierung und Umsetzung der Maßnahmen.
Externer Product Security Officer (PSO)
Nicht jedes Unternehmen verfügt über dedizierte Product Security-Ressourcen. Als externer Product Security Officer übernehmen wir die strategische und operative Verantwortung für die Cybersicherheit Ihrer Produkte und entlasten Ihre internen Teams.
Als Ihr externer PSO übernehmen wir:
- Strategische Product Security Roadmap und Security Program Management
- Zentrale Koordination aller Security-Aktivitäten von Requirements-Phase bis End-of-Life – inkl. Vulnerability Response und Post-Market Surveillance
- Vulnerability Management und Koordination von Security Patches
- Security Incident Response und Krisenmanagement
- Stakeholder-Management und Kommunikation mit Behörden
- Continuous Monitoring von Bedrohungen und Compliance-Anforderungen
Wir fungieren als zentrale Anlaufstelle für alle Product Security Themen und stellen sicher, dass Ihre Produkte den aktuellen Sicherheitsanforderungen entsprechen. Anders als klassische Interim Manager arbeiten wir langfristig mit Ihnen zusammen und bauen gezielt interne Security-Kompetenz auf. Sie behalten die Kontrolle, wir übernehmen die operative Verantwortung und schaffen Strukturen, die auch nach unserem Ausstieg funktionieren.
Bei der Weiterentwicklung unserer Security-Konzepte hat uns Secuvise bisher immer eng und zuverlässig begleitet. Die Zusammenarbeit war durchgehend konstruktiv, freundlich-kollegial und hat unsere Erwartungen einfach übertroffen. Ich freue mich auch in Zukunft auf eine weitere Zusammenarbeit in allen Bereichen der Cybersecurity.
Wir standen vor der Herausforderung, unser gesamtes Mobile Robots Portfolio unter erheblichem Zeitdruck EN 18031-konform zu machen. Secuvise hat uns dabei nicht nur beraten, sondern hands-on unterstützt – von der systematischen Informationssammlung über die Gap-Analyse bis zur Durchführung der Konformitätstests. Ohne diese pragmatische Unterstützung hätten wir unsere Deadline nicht gehalten.
Für die regulatorische Konformität unserer Produkte brauchten wir einen Partner, der technische Tiefe mit praktischer Umsetzbarkeit verbindet. Die Zusammenarbeit mit Secuvise war unkompliziert und die Lösungen ließen sich gut in unsere Entwicklung integrieren.
Bereit für den nächsten Schritt?
Sie möchten klären, welche Cybersicherheitsanforderungen für Ihre Produkte gelten oder wie diese technisch und organisatorisch umgesetzt werden können? In einem kurzen Erstgespräch ordnen wir Ihren Produktkontext ein und besprechen mögliche nächste Schritte – sachlich, strukturiert und ohne Verkaufsdruck.
Unverbindliches Erstgespräch vereinbaren
Füllen Sie das Formular aus. Wir melden uns zeitnah, um ein kurzes Erstgespräch zu vereinbaren.