CRA-Readiness auf einen Blick: das Dashboard über alle Bausteine
Der Cyber Resilience Act besteht aus vielen einzelnen Pflichten - Stückliste, Schwachstellenbehandlung, Risikobewertung, Konformitätsbewertung, EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen, Drittkomponenten-Sorgfalt, Meldewege. Wer den Überblick verliert, übersieht eine Lücke. Das CRA-Readiness-Dashboard von Dernium CRA-Nachweis bündelt den Stand all dieser Bausteine je Produkt an einer Stelle: pro Bereich erledigt, teilweise oder offen, mit Sprung direkt zum jeweiligen Werkzeug. Dieser Beitrag zeigt, wie das Dashboard zusammenführt - und wo bewusst die Verantwortung beim Hersteller bleibt.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang
- Abgelehnte Alternativen
- Was Sie jetzt tun sollten
- Wie Dernium hilft
- Offene Punkte
- Verifikation
- Häufige Fragen
- Ist ein vollständig grünes Dashboard gleichbedeutend mit CRA-Konformität?
- Speichert das Dashboard eigene Daten über mein Produkt?
- Warum zählt die Quote manche Bereiche nicht mit?
- Bis wann muss ich die CRA-Pflichten erfüllen?
- Mehr aus unserer CRA-Reihe
Problem
Die eigentliche Schwierigkeit am CRA ist nicht die einzelne Pflicht, sondern ein Dutzend davon gleichzeitig im Blick zu behalten. Der CRA (Cyber Resilience Act, die EU-Verordnung zu Cyber-Sicherheit von Produkten mit digitalen Elementen) ist nicht eine Pflicht, sondern ein Dutzend: Software-Stückliste (SBOM, eine Liste aller verbauten Software-Bestandteile), Schwachstellenbehandlung über den Support-Zeitraum, Risikobewertung, Wahl des Konformitätsbewertungsverfahrens (welcher Prüfpfad zum Produkt passt), EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen, Sorgfalt bei Drittkomponenten und Schwachstellen-Offenlegung. Jeder Baustein hat in unserer Reihe einen eigenen Beitrag - im Alltag zählt aber: Wo steht das Produkt insgesamt? Wer das aus zehn Seiten zusammensucht, übersieht leicht die Lücke, die im Prüffall zählt.
Für wen ist das? Für Hersteller von Produkten mit digitalen Elementen, die ihren CRA-Stand im Blick behalten müssen.
Kurze Antwort
Dernium CRA hat dafür ein Readiness-Dashboard (eine Übersichtsseite zum Bereitschaftsstand). Es bündelt den Stand aller CRA-Bausteine eines Produkts auf einer Seite. Im Kern:
- Status je Bereich - erledigt, teilweise oder offen - mit Kurzhinweis und Sprung zum passenden Werkzeug.
- Eine Gesamtquote fasst zusammen, wie viele Bereiche stehen.
- Nur Orientierung, keine eigene Datenablage: das Dashboard liest die Bausteine aus, statt eigene Daten zu speichern.
- Befüllt heißt nicht bewiesen: es prüft, ob ein Baustein ausgefüllt bzw. entschieden ist, nicht ob der Inhalt richtig oder vollständig ist.
- Keine Konformitätsaussage: Verantwortung und Bewertung liegen bei Ihnen.
Tiefgang
Nur ein Spiegel, keine eigene Datenablage. Das Dashboard hat keine eigene Tabelle; es liest die Bausteine nur aus und bündelt sie: Hat eine Version eine Stückliste? Gibt es offene oder überfällige Schwachstellen? Ist ein Support-Enddatum gesetzt? Ist die Risikobewertung erfasst, der Bewertungspfad gewählt, die Konformitätserklärung unterzeichnet, die technische Doku begonnen, sind Nutzerinformationen befüllt, Drittkomponenten entschieden, ein Meldekontakt hinterlegt? Jede Frage betrifft nur Ihre Organisation und ergibt einen Status.
Konsistent mit den Einzelwerkzeugen. Die Abfragen prüfen exakt dasselbe wie die Einzel-Features: offene Schwachstellen je Version über die jüngste Stückliste (bereinigt um die, die Sie als nicht betroffen begründet haben), Überfälligkeit nach denselben Fristen wie die Behebungs-Seite, Drittkomponenten nach derselben "entschieden"-Definition. So widerspricht es nie der Seite, auf die es verweist.
Drei Zustände, ehrlich gezählt. Ein Bereich ist erledigt, teilweise oder offen - manche schlicht nicht zutreffend (etwa die Drittkomponenten-Sorgfalt, wenn die Stückliste keine Fremdbausteine enthält). Nicht zutreffende Bereiche zählen nicht in die Quote, damit "4 von 9" nicht durch künstliche Posten geschönt wird. Und "erledigt" gilt erst, wenn der Baustein wirklich steht - die Stückliste etwa erst, wenn alle Versionen eine haben.
Status heißt befüllt, nicht bewiesen. Das ist die wichtigste Grenze: Das Dashboard sieht, ob Sie einen Baustein ausgefüllt haben, nicht ob der Inhalt einer Prüfung standhält. Ein grüner Status ist ein "erfasst", kein "konform". Diese Linie zieht das Dashboard ausdrücklich, damit keine falsche Sicherheit entsteht.
Abgelehnte Alternativen
- Zehn Seiten einzeln durchklicken. Funktioniert, aber niemand tut es regelmäßig - so entstehen Lücken.
- Ein "Compliance-Score" in Prozent als Siegel. Wäre eine Überaussage: Befüllung ist nicht Konformität. Wir zeigen eine Befüllungs-Quote und sagen klar, was sie nicht ist.
- Eine eigene Status-Tabelle pflegen. Würde vom tatsächlichen Stand abdriften. Das Dashboard liest direkt aus den Bausteinen und veraltet nicht.
Was Sie jetzt tun sollten
- Öffnen Sie das Dashboard pro Produkt und verschaffen Sie sich den Gesamtüberblick, bevor Sie in einzelne Werkzeuge springen.
- Arbeiten Sie die offenen Bereiche zuerst ab. Jede Zeile verlinkt direkt das passende Werkzeug - so wird aus "hier fehlt etwas" mit einem Klick "hier fülle ich es aus".
- Prüfen Sie die "teilweise"-Bereiche. Sie sind oft schneller fertigzustellen als ganz offene und heben die Quote merklich.
- Verlassen Sie sich nicht auf den grünen Status allein. Er sagt "erfasst", nicht "geprüft" - lassen Sie Inhalte fachlich kontrollieren, wo es darauf ankommt.
- Planen Sie auf die Fristen hin: Meldepflichten gelten ab 11. September 2026, die Hauptpflichten ab 11. Dezember 2027.
Wie Dernium hilft
Sie öffnen ein Produkt und sehen sofort: was erledigt, was angefangen, was offen ist. Jede Zeile springt direkt ins richtige Werkzeug - aus "hier fehlt etwas" wird mit einem Klick "hier fülle ich es aus". Eine Erklärschicht benennt, was die Quote bedeutet - und was nicht. So wird aus einem Dutzend Einzelpflichten ein geführter Überblick.
Offene Punkte
- Das Dashboard misst Befüllung, nicht inhaltliche Richtigkeit. Ein vollständiger Status ist keine Konformitätsaussage von Dernium und keine Rechtsberatung; die Bewertung bleibt bei Ihnen.
- Die Hauptpflichten des CRA gelten ab dem 11. Dezember 2027 (Meldepflichten bereits ab 11. September 2026); das Dashboard hilft, rechtzeitig dorthin zu gelangen.
Verifikation
Die Bereiche des Dashboards spiegeln die Pflichten der Verordnung (EU) 2024/2847: Schwachstellenbehandlung und Risikobewertung (Art. 13), Meldewege (Art. 14), Konformitätsbewertung (Art. 32) sowie die Anhänge I (wesentliche Anforderungen), II (Nutzerinformationen), V (EU-Konformitätserklärung) und VII (technische Dokumentation).
Häufige Fragen
Ist ein vollständig grünes Dashboard gleichbedeutend mit CRA-Konformität?
Nein. Das Dashboard prüft nur, ob ein Baustein ausgefüllt oder entschieden ist, nicht ob der Inhalt fachlich und rechtlich standhält. Ein grüner Status bedeutet "erfasst", nicht "konform". Die Bewertung der Konformität bleibt bei Ihnen und kann eine fachliche oder rechtliche Prüfung erfordern.
Speichert das Dashboard eigene Daten über mein Produkt?
Nein. Das Dashboard hat keine eigene Tabelle und legt nichts separat ab. Es liest die vorhandenen Bausteine - etwa Stückliste, Schwachstellen oder Risikobewertung - in Echtzeit aus und bündelt deren Stand. Dadurch kann es nie vom tatsächlichen Stand abweichen oder veralten.
Warum zählt die Quote manche Bereiche nicht mit?
Bereiche, die für Ihr Produkt nicht zutreffen, werden bewusst aus der Quote herausgenommen. Beispiel: Die Sorgfaltspflicht für Drittkomponenten greift nicht, wenn die Stückliste keine fremden Bausteine enthält. Würden solche Posten mitgezählt, sähe die Quote besser oder schlechter aus, als sie ist. So bleibt eine Angabe wie "4 von 9" ehrlich.
Bis wann muss ich die CRA-Pflichten erfüllen?
Die Meldepflichten für Schwachstellen und Vorfälle gelten ab dem 11. September 2026. Die übrigen Hauptpflichten - etwa Risikobewertung, technische Dokumentation und Konformitätserklärung - gelten ab dem 11. Dezember 2027. Das Dashboard hilft Ihnen, den Stand rechtzeitig vor diesen Terminen zu erreichen.
Mehr aus unserer CRA-Reihe
- Cyber Resilience Act: Überblick für Softwarehersteller
- SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte
- CRA-Meldepflicht: Schwachstellen und Vorfälle an CSIRT und ENISA (ab 2026)
- CRA-Konformitätsnachweise: Anhang V/VII und CE (ab 2027)
- Coordinated Vulnerability Disclosure: Policy, security.txt und CSAF
- DoC- und Tech-Doc-Generator: Anhang V/VII als PDF
- Schwachstellen über den Support-Zeitraum behandeln: Fristen-Uhr und Behebungs-Lebenslauf
- Konformitätsbewertung nach CRA: welcher Pfad für welches Produkt (Art. 32)
- CRA Anhang II: Nutzerinformationen und Anleitungen als PDF
- Die CRA-Risikobewertung (Art. 13): welche Anforderungen für Ihr Produkt gelten
- Drittkomponenten nach CRA: Sorgfaltspflicht für Fremd- und Open-Source-Bausteine (Art. 13 Abs. 5)
- Wesentliche Veränderung nach CRA: wann eine neue Version neu bewertet werden muss (Art. 3 Nr. 30)
- Die notifizierte Stelle nach CRA: wann eine Dritt-Prüfung nötig ist und was sie braucht (Art. 32)
- Dernium CRA: ein Werkzeug für den gesamten Cyber Resilience Act