CRA-Readiness auf einen Blick: das Dashboard über alle Bausteine

3 Min Lesezeit Serie: compliance #compliance#cra#readiness#dashboard#uebersicht

Der Cyber Resilience Act besteht aus vielen einzelnen Pflichten - Stückliste, Schwachstellenbehandlung, Risikobewertung, Konformitätsbewertung, EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen, Drittkomponenten-Sorgfalt, Meldewege. Wer den Überblick verliert, übersieht eine Lücke. Das CRA-Readiness-Dashboard von Dernium CRA-Nachweis bündelt den Stand all dieser Bausteine je Produkt an einer Stelle: pro Bereich erledigt, teilweise oder offen, mit Sprung direkt zum jeweiligen Werkzeug. Dieser Beitrag zeigt, wie das Dashboard zusammenführt - und wo bewusst die Verantwortung beim Hersteller bleibt.

Problem

Der CRA ist nicht eine Pflicht, sondern ein Dutzend: die Software-Stückliste, das Behandeln von Schwachstellen über den Support-Zeitraum, die Risikobewertung, die Wahl des richtigen Konformitätsbewertungsverfahrens, die EU-Konformitätserklärung, die technische Dokumentation, die Nutzerinformationen, die Sorgfalt bei Drittkomponenten und die Schwachstellen-Offenlegung. Jeder Baustein hat in unserer Reihe einen eigenen Beitrag - aber im Alltag stellt sich eine andere Frage: Wo steht dieses eine Produkt insgesamt? Wer das aus zehn einzelnen Seiten zusammensuchen muss, übersieht genau die eine Lücke, die im Prüffall zählt.

Kurze Antwort

Dernium CRA-Nachweis hat dafür ein Readiness-Dashboard. Es liest den Stand aller CRA-Bausteine für ein Produkt zusammen und zeigt je Bereich einen Status - erledigt, teilweise oder offen - samt Kurzhinweis und einem direkten Sprung zum zuständigen Werkzeug. Eine Gesamtquote fasst zusammen, wie viele Bereiche schon stehen. Das Dashboard ist bewusst eine Orientierung und führt keine eigenen Daten: es prüft nur, ob ein Baustein befüllt beziehungsweise entschieden ist, nicht ob sein Inhalt sachlich richtig oder vollständig ist. Es ist keine Konformitätsaussage; Verantwortung und Bewertung liegen beim Hersteller.

Tiefgang

Reine Synthese, keine neue Datenhaltung. Das Dashboard hat keine eigene Tabelle. Es aggregiert read-only über die vorhandenen Bausteine: Hat eine Version eine Stückliste? Gibt es offene oder überfällige Schwachstellen? Ist ein Support-Enddatum gesetzt? Ist die Risikobewertung erfasst, der Bewertungspfad gewählt, die Konformitätserklärung mit Unterzeichner versehen, die technische Doku begonnen, die Nutzerinformationen befüllt, sind die Drittkomponenten entschieden, ist ein Meldekontakt hinterlegt? Jede dieser Fragen ist eine kleine, org-gescopte Abfrage - zusammengefasst zu einer Ampel je Bereich.

Konsistent mit den Einzelwerkzeugen. Der Stand im Dashboard muss derselbe sein wie in der jeweiligen Detailseite. Deshalb spiegeln die Abfragen exakt die Definitionen der Einzel-Features: offene Schwachstellen je Version über die jeweils jüngste Stückliste (VEX-bereinigt), die Überfälligkeit nach derselben SLA-Logik wie die Behebungs-Seite, die Drittkomponenten-Abdeckung nach derselben „entschieden"-Definition. So widerspricht das Dashboard nie der Seite, auf die es verweist.

Drei Zustände, ehrlich gezählt. Ein Bereich ist erledigt, teilweise oder offen - und manche sind schlicht nicht zutreffend (etwa die Drittkomponenten-Sorgfalt, wenn die Stückliste keine Fremdbausteine mit Paket-URL enthält). Nicht zutreffende Bereiche zählen nicht in die Quote hinein, damit „4 von 9" nicht durch künstliche Posten geschönt wird. Und „erledigt" heißt erst erledigt, wenn der Baustein wirklich steht - die Stückliste etwa erst, wenn alle Versionen eine haben, nicht schon bei der ersten.

Status heißt befüllt, nicht bewiesen. Das ist die wichtigste Grenze: Das Dashboard sieht, ob Sie einen Baustein ausgefüllt haben, nicht ob der Inhalt einer Prüfung standhält. Eine grüne Ampel ist ein „erfasst", kein „konform". Diese Linie zieht das Dashboard ausdrücklich, damit aus einer Orientierungshilfe keine falsche Sicherheit wird.

Abgelehnte Alternativen

  • Zehn Seiten einzeln durchklicken. Funktioniert, aber niemand tut es regelmäßig - und genau so entstehen Lücken.
  • Ein „Compliance-Score" in Prozent als Siegel. Wäre eine Überaussage: Befüllung ist nicht Konformität. Wir zeigen eine Befüllungs-Quote und sagen klar, was sie nicht ist.
  • Eine eigene Status-Tabelle pflegen. Würde vom tatsächlichen Stand abdriften. Das Dashboard liest live aus den Bausteinen, kann also gar nicht veralten.

Wie Dernium hilft

Sie öffnen ein Produkt und sehen sofort, wo es steht: was erledigt ist, was angefangen, was noch offen. Jede Zeile springt direkt ins richtige Werkzeug, sodass aus „hier fehlt etwas" mit einem Klick „hier fülle ich es aus" wird. Eine Erklärschicht benennt, was die Quote bedeutet - und was sie bewusst nicht ist. So wird aus einem Dutzend Einzelpflichten ein geführter Überblick, ohne dass das Werkzeug mehr verspricht, als es leisten darf.

Offene Punkte

  • Das Dashboard misst Befüllung, nicht inhaltliche Richtigkeit. Eine vollständige Ampel ist keine Konformitätsaussage von Dernium und keine Rechtsberatung; die sachliche Bewertung bleibt beim Hersteller.
  • Die Hauptpflichten des CRA gelten ab dem 11. Dezember 2027 (Meldepflichten bereits ab 11. September 2026); das Dashboard hilft, rechtzeitig dorthin zu kommen.

Verifikation

Die Bereiche des Dashboards spiegeln die Pflichten der Verordnung (EU) 2024/2847: Schwachstellenbehandlung und Risikobewertung (Art. 13), Meldewege (Art. 14), Konformitätsbewertung (Art. 32) sowie die Anhänge I (wesentliche Anforderungen), II (Nutzerinformationen), V (EU-Konformitätserklärung) und VII (technische Dokumentation).

Mehr aus unserer CRA-Reihe