Dernium CRA-Nachweis
Wir prüfen Ihre Software laufend auf bekannte Schwachstellen. Hierfür laden Sie entweder Ihre fertige Software oder eine standardisierte Stückliste ihrer Bestandteile (SBOM) hoch. Wir halten revisionssicher fest, welche Version wann ausgeliefert wurde. Und wir unterstützen Sie bei der Meldepflicht, die der EU-Cyber-Resilience-Act ab dem 11. September 2026 verlangt: 24 Stunden für die Frühwarnung, 72 Stunden für die Meldung. Verwalteter Dienst mit deutscher Datenresidenz.
- Zwei Wege zur SBOM: Ihre Software hochladen (wir erzeugen die Stückliste im Sandbox) oder alternativ fertige SBOM (CycloneDX 1.4/1.5, SPDX 2.3) einreichen
- Artefakt-Analyse läuft in einer Sandbox ohne Netzwerk - Ihr eigener Code wird abgeschottet verarbeitet und anschließend umgehend sicher gelöscht
- Schwachstellen-Abgleich gegen OSV.dev (NVD, GitHub Advisory u.a.), CVE-Zuordnung mit Schweregrad
- VEX-Bewertung pro Schwachstelle: "betroffen", "nicht betroffen", "behoben", "in Prüfung", mit Begründung
- Revisionssichere, unveränderliche Versions- und Stücklisten-Historie als Nachweis für CRA und Produkthaftung
- Meldepflicht-Assistenz ab 11. September 2026: Fristen-Timer für 24 Stunden / 72 Stunden / 14 Tage, vorbefüllte Meldeentwürfe aus dem Befund und Statusverfolgung - Sie reichen selbst bei CSIRT und ENISA ein, wir erinnern und bereiten vor
- Vorbereitet auf die Hauptpflichten ab 11. Dezember 2027 (EU-Konformitätserklärung, technische Dokumentation, CE): die Evidenz wächst ab heute, statt am Stichtag zusammengesucht zu werden; Assistent für die EU-Konformitätserklärung (Anhang V) und Tech-Doc-Export (Anhang VII) stehen im Portal bereit
- Personenbezogene Felder werden vor der Ablage aus der Stückliste entfernt
- Mandantengetrennt, deutsche Datenresidenz, kein kostenloser Tarif
Wofür der CRA-Nachweis gemacht ist
Der EU-Cyber-Resilience-Act verpflichtet Hersteller von Produkten mit digitalen Elementen, eine Stückliste ihrer Software-Bestandteile (SBOM) zu führen, Schwachstellen über den Support-Zeitraum zu behandeln und aktiv ausgenutzte Schwachstellen sowie schwere Sicherheitsvorfälle zu melden. Wichtig für die Planung: Die Meldepflicht nach Artikel 14 gilt bereits ab dem 11. September 2026, die übrigen Hauptpflichten erst ab dem 11. Dezember 2027. Genau der laufende Teil ist der eigentliche Aufwand: die Stückliste je veröffentlichter Version erzeugen, den Schwachstellen-Abgleich aktuell halten, die VEX-Bewertung ("diese CVE trifft uns (nicht)") dokumentieren, vor allem revisionssicher nachweisen, was wann ausgeliefert wurde, und im Ernstfall die kurzen Meldefristen einhalten. Wir unterstützen Sie dabei und machen insbesondere die technischen Schritte einfach und auch für nicht-Techniker nachvollziehbar.
Zwei Wege zu Ihrer SBOM
Sie können, müssen aber keine eigene SBOM-Pipeline aufbauen. Laden Sie Ihre fertige Software hoch - Container-Abbilder, kompilierte Binärdateien, Archive oder Quellbäume - wir erzeugen die Stückliste daraus in einer abgeschotteten Sandbox ohne Netzwerk (dieselbe Technik, mit der wir bei Dernium Scan fremde Dateien sicher analysieren). Wer in seiner Prozesskette bereits eine SBOM erzeugt, reicht diese stattdessen direkt in den bekannten standardisierten Formaten CycloneDX oder SPDX ein. Beide Wege landen in derselben revisionssicheren Historie - mit den gleichen Hilfestellungen.
Meldepflicht ab 11. September 2026: 24h / 72h / 14 Tage
Ab dem 11. September 2026 müssen Hersteller zwei Arten von Ereignissen melden: Erstens eine aktiv ausgenutzte Schwachstelle in Ihrem Produkt: Frühwarnung binnen 24 Stunden ab Kenntnis, ausführlichere Meldung innerhalb von 72 Stunden, Abschlussbericht binnen 14 Tagen nach Verfügbarkeit einer Korrektur. Zweitens ein schwerer Sicherheitsvorfall mit Auswirkung auf die Produktsicherheit: ebenfalls 24 Stunden Frühwarnung und 72 Stunden Meldung, Abschlussbericht binnen eines Monats. Gemeldet wird gleichzeitig an das zuständige nationale CSIRT und an die EU-Agentur ENISA, über die zentrale europäische Meldeplattform (Single Reporting Platform). 24 Stunden sind kurz - wer dann erst die Felder zusammensucht oder am Wochenende reagieren muss, verliert wertvolle Zeit. Genau hier setzt unsere Assistenz an.
Wie unsere Meldepflicht-Assistenz arbeitet
Sobald Sie einen Befund als meldepflichtig markieren, startet ein Timer den 24-Stunden-, 72-Stunden- und 14-Tage- beziehungsweise Ein-Monats-Countdown ab dem von Ihnen erfassten Kenntniszeitpunkt und erinnert Sie rechtzeitig. Aus dem Befund und der SBOM schlagen wir vor, was Sie in den offiziellen Meldefeldern abgeben können, sodass Sie Frühwarnung, Meldung und Abschlussbericht nur noch prüfen und ergänzen. Ob ein Fall "aktiv ausgenutzt" oder "schwer" ist, entscheiden dabei niemals wir, sondern ausschließlich Sie - wir erklären die Kriterien verständlich, geben aber keine rechtliche Wertung ab. Eingereicht wird ausschließlich von Ihnen selbst über die offizielle Meldeplattform; wir übermitteln nichts in Ihrem Namen. Nach dem Absenden vermerken Sie "extern eingereicht" samt Beleg, und der Vorgang wandert revisionssicher in Ihre Nachweis-Historie - denn eine CRA-Meldung ist selbst ein nachweisrelevantes Ereignis.
Hauptpflichten ab 11. Dezember 2027: Konformitätserklärung, technische Doku, CE
Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: Wer ein Produkt mit digitalen Elementen in der EU in Verkehr bringt, muss eine EU-Konformitätserklärung ausstellen, die technische Dokumentation zusammenstellen und die CE-Kennzeichnung anbringen - nach einer Konformitätsbewertung. Die technische Dokumentation (Anhang VII) baut dabei genau auf den Nachweisen auf, die laufend entstehen: die Stückliste je Version, die Schwachstellen- und VEX-Historie, der revisionssichere Nachweis, welche Version wann ausgeliefert wurde, sowie die Angaben zum Support-Zeitraum. Diese Nachweise lassen sich nicht am Stichtag auf Knopfdruck erzeugen, sie wachsen über die Zeit. Wer heute beginnt, hat zum 11. Dezember 2027 eine lückenlose Historie statt einer Lücke, die im Dezember 2027 nicht mehr zu schließen ist.
Schon heute die Evidenz aufbauen
Genau hier liegt der Wert, früh anzufangen: Die revisionssichere Versions- und Stücklisten-Historie, der laufende Schwachstellen-Abgleich und die VEX-Bewertung sind die Bausteine, aus denen sich die technische Dokumentation nach Anhang VII später zusammensetzen lässt. Je länger Sie diese Historie pflegen, desto vollständiger steht sie zum Stichtag bereit. Dafür stehen im Portal zwei Bausteine bereit: ein Assistent für die EU-Konformitätserklärung (Anhang V), der das Formular vorbereitet, sowie ein Export, der Ihre laufend gepflegte Evidenz in die Struktur der technischen Dokumentation (Anhang VII) einsortiert. Beide bereiten auf, die Erklärung selbst, die CE-Kennzeichnung und die Konformitätsbewertung bleiben Ihre Sache als Hersteller.
Pakete passend zur Produktzahl
Professional für eine überschaubare Produktlinie mit SBOM-Erzeugung aus Artefakten, laufendem Schwachstellen-Abgleich und VEX-Bewertung. Business für mehr Produkte und höhere monatliche Einreichungsmengen. Enterprise auf Anfrage mit frei verhandelbaren Volumina. Alle Tarife laufen als verwalteter Dienst mit deutscher Datenresidenz.
Stufenplan: erst Nachweis, dann volle CRA-Suite
Live ist heute der Nachweis-Kern: SBOM-Erzeugung und -Einreichung, Schwachstellen-Abgleich, VEX und die revisionssichere Historie. Die Meldepflicht-Assistenz für die Fristen ab dem 11. September 2026 - Timer, Entwürfe und Statusverfolgung - steht für Sie bereit. Für die Hauptpflichten ab dem 11. Dezember 2027 stehen bereits der Assistent für die EU-Konformitätserklärung (Anhang V) und der Export der technischen Dokumentation (Anhang VII) bereit - beide assemblieren Ihre laufend gepflegte Historie, das fertige PDF tragen Sie nur noch vor. In Vorbereitung bleibt das Hosten Ihrer Schwachstellen-Offenlegung (Coordinated Vulnerability Disclosure, security.txt).
Was wir bewusst nicht tun
Wir geben keine rechtsverbindliche Bewertung Ihrer CRA-Pflichten ab - das Werkzeug bereitet Nachweise und Meldungen auf, ersetzt aber keine Rechtsberatung. Bei der Meldepflicht assistieren wir, übermitteln aber nichts in Ihrem Namen: Die Frist und die Verantwortung für die Meldung bleiben beim Hersteller, und eingereicht wird ausschließlich von Ihnen selbst über die offizielle EU-Meldeplattform. Unsere Timer sind Erinnerungen, keine Garantie. Dernium CRA-Nachweis ist ein verwalteter Dienst, der von uns stets auf dem aktuellen Stand gehalten wird und Ihnen die laufende Pflege der SBOM, den Schwachstellen-Abgleich, die revisionssichere Historie und die Vorbereitung der Meldungen abnimmt.