Dernium CRA
Die CRA-Meldepflichten greifen ab dem 11. September 2026, die Hauptpflichten ab dem 11. Dezember 2027. Dernium CRA begleitet Hersteller von Produkten mit digitalen Elementen durch die Pflichten des EU-Cyber-Resilience-Act: von der Software-Stückliste über die Schwachstellenbehandlung, die Risiko- und Konformitätsbewertung bis zu den Pflicht-Dokumenten (EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen) und der Meldepflicht an CSIRT und ENISA. Ein Readiness-Dashboard zeigt je Produkt den Stand. Verwalteter Dienst mit deutscher Datenresidenz, per API in Ihre CI/CD integrierbar; die nicht delegierbaren Akte (Konformitätsbewertung, CE-Kennzeichnung, Unterschrift, Einreichung der Meldung) bleiben bei Ihnen, wir bereiten alles dafür vor.
So einfach erklärt
Das Problem
Der neue EU-Cyber-Resilience-Act nimmt Hersteller von Produkten mit Software in die Pflicht: Sie müssen nachweisen, dass Ihre Produkte sicher entwickelt und gepflegt werden - mit Bauteil-Listen, dokumentierten Schwachstellen und Pflicht-Papieren. Die Fristen laufen 2026 und 2027; wer erst kurz davor beginnt, sucht die Belege hektisch zusammen.
Ihre Lösung
CRA begleitet Sie Schritt für Schritt durch die Pflichten des Gesetzes: von der Software-Stückliste über die Schwachstellenbehandlung bis zu den Pflicht-Dokumenten. Ein Dashboard zeigt je Produkt, wo Sie stehen.
So sieht das im Alltag aus
- Sie sehen auf einen Blick, welche Nachweise für ein Produkt noch fehlen, statt in Tabellen zu suchen.
- Meldet ein Kunde eine Schwachstelle, führt CRA Sie durch die fristgerechte Meldung an die zuständigen Behörden.
- Zum Stichtag haben Sie eine lückenlose, zeitgestempelte Historie statt hektisch zusammengesuchter Belege.
- Software-Stückliste (SBOM): Ihre Software hochladen oder fertige SBOM einreichen (CycloneDX, SPDX)
- Schwachstellen-Abgleich gegen OSV.dev mit CVE/Schweregrad und VEX-Bewertung - zu jedem Fund die Behebungs-Historie
- Meldepflicht-Assistenz ab 11. September 2026: Fristen-Timer (24h / 72h / 14 Tage), vorbefüllte Meldeentwürfe und Statusverfolgung
- Pflicht-Dokumente als PDF mit Ihrem Briefkopf (EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen); Readiness-Dashboard je Produkt auf einen Blick
Häufige Fragen und Details
Ein Werkzeug für die gesamte CRA-Pflichtenkette
Der EU-Cyber-Resilience-Act ist nicht eine Pflicht, sondern viele: eine Stückliste führen, Schwachstellen über den Support-Zeitraum behandeln, eine Risikobewertung dokumentieren, das passende Konformitätsbewertungsverfahren wählen, die EU-Konformitätserklärung, die technische Dokumentation und die Nutzerinformationen erstellen, Drittkomponenten sorgfältig prüfen, eine Offenlegungs-Richtlinie betreiben und im Ernstfall fristgerecht melden. Dernium CRA deckt davon ab, was sich mit einem Werkzeug abnehmen lässt - die Evidenz, die Dokumente, die Fristen und die Meldungen - und macht die technischen Schritte einfach und auch für Nicht-Techniker nachvollziehbar.
Meldepflicht ab 11. September 2026: 24h / 72h / 14 Tage
Ab dem 11. September 2026 müssen Hersteller zwei Arten von Ereignissen melden: eine aktiv ausgenutzte Schwachstelle (Frühwarnung binnen 24 Stunden ab Kenntnis, Meldung binnen 72 Stunden, Abschlussbericht binnen 14 Tagen nach Verfügbarkeit einer Korrektur) und einen schweren Sicherheitsvorfall (24 Stunden Frühwarnung, 72 Stunden Meldung, Abschlussbericht binnen eines Monats). Gemeldet wird gleichzeitig an das zuständige nationale CSIRT und an die EU-Agentur ENISA über die zentrale europäische Meldeplattform. 24 Stunden sind kurz - wer dann erst die Felder zusammensucht, verliert wertvolle Zeit. Sobald Sie einen Befund als meldepflichtig markieren, startet ein Timer den Countdown ab dem erfassten Kenntniszeitpunkt und erinnert Sie; aus Befund und SBOM schlagen wir vor, was in die offiziellen Meldefelder gehört. Ob ein Fall "aktiv ausgenutzt" oder "schwer" ist, entscheiden ausschließlich Sie; eingereicht wird ausschließlich von Ihnen über die offizielle Plattform, und der Vorgang wandert lückenlos dokumentiert in Ihre Historie.
Readiness-Dashboard: alles auf einen Blick
Bei so vielen Bausteinen ist die wichtigste Frage: Wo steht dieses eine Produkt insgesamt? Das Readiness-Dashboard bündelt den Stand aller CRA-Bausteine je Produkt - Stückliste, Schwachstellen-Behebung, Support, Risikobewertung, Konformitätsbewertung, Konformitätserklärung, technische Doku, Nutzerinformationen, Drittkomponenten und Offenlegung - mit einer Ampel je Bereich (erledigt, teilweise, offen) und einem Sprung direkt ins zuständige Werkzeug. Es zeigt, ob ein Baustein befüllt ist, nicht ob sein Inhalt einer Prüfung standhält - eine Orientierung, keine Konformitätsaussage.
Pakete passend zur Produktzahl
Starter für eine überschaubare Produktlinie mit dem vollen Funktionsumfang. Business für mehr Produkte und höhere monatliche Einreichungsmengen. Enterprise auf Anfrage mit frei verhandelbaren Volumina. Jede weitere Produktlinie über das Tarif-Kontingent hinaus wird separat berechnet. Alle Tarife laufen als verwalteter Dienst mit deutscher Datenresidenz; Volumina und Produktzahl legen wir im Erstgespräch fest. Das Werkzeug deckt die werkzeugbaren CRA-Pflichten ab; wer früh damit beginnt, hat zum Stichtag 11. Dezember 2027 eine durchgehende, zeitgestempelte Historie - statt Nachweise im letzten Moment zusammensuchen zu müssen.
Voller Funktionsumfang im Detail
Zwei Wege zu Ihrer SBOM
Sie können, müssen aber keine eigene SBOM-Pipeline aufbauen. Laden Sie Ihre fertige Software hoch - Container-Abbilder, kompilierte Binärdateien, Archive oder Quellbäume - wir erzeugen die Stückliste daraus in einer abgeschotteten Sandbox ohne Netzwerk (dieselbe Technik, mit der wir bei Dernium Scan fremde Dateien sicher analysieren). Wer in seiner Prozesskette bereits eine SBOM erzeugt, reicht diese stattdessen direkt in den bekannten standardisierten Formaten CycloneDX oder SPDX ein. Beide Wege landen in derselben lückenlosen, zeitgestempelten Historie. Der Schwachstellen-Abgleich gegen OSV.dev läuft laufend, die VEX-Bewertung ("diese CVE trifft uns (nicht)") halten Sie mit Begründung fest.
Schwachstellen behandeln über den Support-Zeitraum
Der CRA verlangt, Schwachstellen unverzüglich über den gesamten Support-Zeitraum zu behandeln und die Nutzer zu informieren. Dernium CRA führt diese Schleife: je Schwachstelle den Weg von der Erkennung über den Status (offen, in Bearbeitung, behoben, nicht betroffen, wird nicht behoben) bis zur behebenden Version und dem Verweis auf ein veröffentlichtes Advisory als Nutzerinfo. Eine Fristen-Uhr je Schweregrad markiert überfällige Fälle - als Orientierung, nicht als Rechtsmaßstab. Den Support-Zeitraum des Produkts verwalten Sie an derselben Stelle.
Risikobewertung und Konformitätsbewertung
Die dokumentierte Cybersicherheits-Risikobewertung (Art. 13) ist der Dreh- und Angelpunkt: Sie hält Verwendungszweck, vorhersehbare Nutzung und Einsatzbedingungen fest und bestimmt, welche der wesentlichen Anforderungen aus Anhang I gelten - nicht anwendbare müssen begründet werden. Der Konformitätsbewertungs-Lotse (Art. 32) bestimmt aus der Produkt-Einstufung den zulässigen Pfad: Standardprodukte dürfen sich selbst bewerten; wichtige Produkte der Klasse I nur, wenn die einschlägigen harmonisierten Normen vollständig angewandt werden, sonst unter Beteiligung einer notifizierten Stelle; Klasse II erfordert eine notifizierte Stelle; kritische Produkte können einer verpflichtenden EU-Cybersicherheitszertifizierung unterliegen. Die endgültige Einstufung bleibt bei Ihnen. Beide bauen auf derselben Anhang-I-Anforderungs-Checkliste auf, und die Risikobewertung fließt automatisch in die technische Dokumentation.
Die Pflicht-Dokumente: Anhang V, VII und II
Die drei herstellereigenen Dokumente entstehen als PDF mit Ihrem Briefkopf, assembliert aus der laufend gepflegten Evidenz statt am Stichtag zusammengesucht: die EU-Konformitätserklärung (Anhang V) als geführter Assistent, die technische Dokumentation (Anhang VII) als Export, der Versionen, Stückliste, Schwachstellen-/VEX-Stand, Risikobewertung und Support-Zeitraum einsortiert, und die Nutzerinformationen und Anleitungen (Anhang II), die dem Produkt beizulegen sind. Leer gelassene Pflichtteile erscheinen im PDF sichtbar als "zu ergänzen", damit nichts übersehen wird. Die Erklärung selbst, die CE-Kennzeichnung und die Konformitätsbewertung bleiben Ihre Sache als Hersteller.
Drittkomponenten-Sorgfalt und Offenlegung
Für jede integrierte Fremd- und Open-Source-Komponente führt Dernium CRA eine risiko-proportionale Sorgfaltsbewertung (Art. 13 Abs. 5) direkt auf der Stückliste: Konformität/CE des Anbieters, Wartung und Update-Historie, Abgleich mit Schwachstellen-Datenbanken, zusätzliche Tests sowie der Meldekontakt zum Upstream für den Fall, dass Sie eine Schwachstelle melden müssen. Für die Offenlegung behobener Schwachstellen hostet Dernium CRA eine öffentliche PSIRT-Seite, erzeugt die security.txt (RFC 9116) und veröffentlicht produktgebundene Advisories - menschenlesbar und maschinenlesbar als CSAF 2.0 mit Revisionshistorie.
In Ihren Build integrieren
Sie müssen die Stückliste nicht von Hand pflegen. Über die API (sbom.dernium.de, mit Ihrem API-Schlüssel) übergeben Sie bei jedem Release automatisch die SBOM aus Ihrer CI/CD - mit fertigen Beispielen für GitHub Actions, GitLab CI oder curl. So wächst die lückenlose, zeitgestempelte Historie ohne manuellen Schritt mit jeder Version. Sie behalten die Kontrolle: Sie erzeugen die Stückliste selbst oder lassen sie aus dem hochgeladenen Artefakt erstellen.
Was wir bewusst nicht tun
Dernium CRA nimmt Ihnen die werkzeugbaren Pflichten ab, aber nicht die nicht delegierbaren Akte: Die Konformitätsbewertung selbst, die Unterschrift unter der EU-Konformitätserklärung, die CE-Kennzeichnung und das sichere Entwickeln des Produkts bleiben Ihre Verantwortung als Hersteller. Wir geben keine rechtsverbindliche Bewertung Ihrer CRA-Pflichten ab und ersetzen keine Rechtsberatung. Bei der Meldepflicht assistieren wir, übermitteln aber nichts in Ihrem Namen; die Fristen und die Verantwortung bleiben bei Ihnen, eingereicht wird ausschließlich von Ihnen über die offizielle EU-Meldeplattform, und unsere Timer sind Erinnerungen, keine Garantie. Dernium CRA ist ein verwalteter Dienst, den wir stets auf dem aktuellen Stand halten.