Dernium CRA: ein Werkzeug für den gesamten Cyber Resilience Act
Der Cyber Resilience Act ist nicht eine Pflicht, sondern ein Dutzend - von der Software-Stückliste über Risiko- und Konformitätsbewertung, die Pflicht-Dokumente und die Drittkomponenten-Sorgfalt bis zur Meldepflicht. Dernium CRA deckt jede dieser Pflichten ab, die sich durch ein Werkzeug abnehmen lässt, an einer Stelle und mit deutscher Datenresidenz. Dieser Beitrag bildet jede CRA-Pflicht auf den passenden Baustein ab, zeigt die Reihenfolge und benennt klar, was bewusst beim Hersteller bleibt.
Problem
Der Cyber Resilience Act trifft Hersteller von Produkten mit digitalen Elementen mit einer ganzen Kette von Pflichten, verteilt über den gesamten Produktlebenszyklus: eine Software-Stückliste führen, Schwachstellen über den Support-Zeitraum behandeln, eine Risikobewertung dokumentieren, das richtige Konformitätsbewertungsverfahren wählen, drei Pflicht-Dokumente erstellen (EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen), Drittkomponenten sorgfältig prüfen, eine Offenlegungs-Richtlinie betreiben, im Ernstfall fristgerecht melden, bei wesentlichen Änderungen neu bewerten und gegebenenfalls eine notifizierte Stelle einbinden. Wer das mit verstreuten Einzelwerkzeugen und Tabellen angeht, verliert den Überblick - und genau die eine Lücke, die im Prüffall zählt. Was sich davon nicht durch ein Werkzeug abnehmen lässt - die Konformitätsbewertung selbst, die Unterschrift, die CE-Kennzeichnung, das sichere Entwickeln -, bleibt ohnehin beim Hersteller; alles andere drumherum lässt sich aber führen.
Kurze Antwort
Dernium CRA deckt jede CRA-Pflicht ab, die ein Werkzeug abnehmen kann - Evidenz, Dokumente, Fristen und Meldungen - an einer Stelle, als verwalteter Dienst mit deutscher Datenresidenz. Sie reichen Ihre Stückliste ein (oder lassen sie aus dem Artefakt erzeugen), und daraus wächst eine revisionssichere Historie, auf der die übrigen Bausteine aufsetzen: Schwachstellenbehandlung, Risiko- und Konformitätsbewertung, die Pflicht-Dokumente als PDF, Drittkomponenten-Sorgfalt, Offenlegung und der Meldeworkflow. Ein Readiness-Dashboard zeigt je Produkt, wo Sie stehen. Dernium gibt keine Konformitätsbewertung ab und ersetzt keine Rechtsberatung; die rechtlichen Akte bleiben bei Ihnen, wir bereiten alles dafür vor.
Tiefgang: jede Pflicht auf ihren Baustein
Evidenz-Kern. Die Software-Stückliste (SBOM, Anhang I Teil II) entsteht aus Ihrem hochgeladenen Artefakt in einer abgeschotteten Sandbox oder durch Einreichen einer fertigen SBOM (CycloneDX/SPDX). Der laufende Schwachstellen-Abgleich (OSV) und die VEX-Bewertung halten den Stand aktuell; alles landet in einer unveränderlichen, revisionssicheren Versions- und Stücklisten-Historie.
Behandlung über den Lebenszyklus. Der Behebungs- und Support-Lifecycle verfolgt jede Schwachstelle von der Erkennung bis zur behebenden Version, mit SLA-Uhr und verwaltetem Support-Zeitraum (Art. 13). Die Drittkomponenten-Sorgfalt (Art. 13 Abs. 5) bewertet jeden Fremd- und Open-Source-Baustein risiko-proportional. Die Änderungseinstufung (Art. 3 Nr. 30) entscheidet je Version, ob eine wesentliche Veränderung vorliegt und eine Neubewertung auslöst.
Bewertung und Dokumente. Die Risikobewertung (Art. 13) bestimmt, welche wesentlichen Anforderungen gelten; der Konformitätsbewertungs-Lotse (Art. 32) den zulässigen Pfad. Daraus fallen die drei Pflicht-Dokumente als PDF mit Ihrem Briefkopf: EU-Konformitätserklärung (Anhang V), technische Dokumentation (Anhang VII) und Nutzerinformationen (Anhang II). Wo eine Dritt-Prüfung nötig ist, verfolgt der Notifizierte-Stelle-Tracker (Anhang VIII) das Engagement.
Offenlegung und Meldung. Für die koordinierte Schwachstellenoffenlegung hostet Dernium CRA eine PSIRT-Seite, die security.txt und produktgebundene Advisories als CSAF 2.0. Für die Meldepflicht ab dem 11. September 2026 assistiert der Workflow mit Fristen-Timern (24h/72h/14 Tage), vorbefüllten Entwürfen und Statusverfolgung - eingereicht wird von Ihnen selbst bei CSIRT und ENISA.
Überblick. Das Readiness-Dashboard bündelt all diese Bausteine je Produkt zu einer Ampel - erledigt, teilweise, offen - mit Sprung direkt ins zuständige Werkzeug. Es zeigt, ob ein Baustein befüllt ist, nicht ob sein Inhalt einer Prüfung standhält.
Was bewusst beim Hersteller bleibt
Dernium CRA nimmt Ihnen die werkzeugbaren Pflichten ab, nicht die nicht delegierbaren Akte: die Konformitätsbewertung selbst, die Unterschrift unter der EU-Konformitätserklärung, die CE-Kennzeichnung, das Einreichen der Meldung bei der Behörde und das sichere Entwickeln des Produkts bleiben Ihre Verantwortung. Wir geben keine rechtsverbindliche Bewertung Ihrer CRA-Pflichten ab und ersetzen keine Rechtsberatung. Diese klare Linie ist Absicht: Aus einem Werkzeug, das vorbereitet, soll keine falsche Sicherheit werden.
Warum Dernium
Drei Dinge unterscheiden Dernium CRA: deutsche Datenresidenz (kein US-Cloud, kein Drittland-Transfer), eine append-only, revisionssichere Evidenz-Schicht als belastbarer Nachweis für CRA und Produkthaftung, und ein verwalteter Dienst, der die laufende Pflege übernimmt. Vor allem aber zahlt sich der frühe Start aus: Die Historie und die Dokumente wachsen über die Zeit und stehen zum Stichtag 11. Dezember 2027 vollständig bereit, statt am Stichtag eine Lücke schließen zu müssen, die dann nicht mehr zu schließen ist.
Offene Punkte
- Die rechtlichen Entscheidungen - Einstufung, Konformitätsbewertung, „unverzüglich" im Einzelfall, die Unterschrift und die CE-Kennzeichnung - verantwortet der Hersteller. Das Werkzeug strukturiert, befüllt vor und erinnert; es ist keine Rechtsberatung.
- Die maschinelle Übermittlung an die zentrale europäische Meldeplattform nehmen wir auf, sobald deren Schnittstelle bereitsteht; bis dahin bereiten wir die Meldung vor, eingereicht wird von Ihnen.
Verifikation
Die abgedeckten Pflichten folgen der Verordnung (EU) 2024/2847: Art. 13 (Risiko, Schwachstellenbehandlung, Support-Zeitraum, Drittkomponenten), Art. 14 (Meldepflicht), Art. 32 und Anhang VIII (Konformitätsbewertung, notifizierte Stelle), Art. 3 Nr. 30 (wesentliche Veränderung) sowie die Anhänge I, II, V und VII. Die Meldepflichten gelten ab dem 11. September 2026, die Hauptpflichten ab dem 11. Dezember 2027.
Mehr aus unserer CRA-Reihe
- Cyber Resilience Act: Überblick für Softwarehersteller
- SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte
- CRA-Meldepflicht: Schwachstellen und Vorfälle an CSIRT und ENISA (ab 2026)
- CRA-Konformitätsnachweise: Anhang V/VII und CE (ab 2027)
- Coordinated Vulnerability Disclosure: Policy, security.txt und CSAF
- DoC- und Tech-Doc-Generator: Anhang V/VII als PDF
- Schwachstellen über den Support-Zeitraum behandeln: SLA-Uhr und Behebungs-Lebenslauf
- Konformitätsbewertung nach CRA: welcher Pfad für welches Produkt (Art. 32)
- CRA Anhang II: Nutzerinformationen und Anleitungen als PDF
- Die CRA-Risikobewertung (Art. 13): welche Anforderungen für Ihr Produkt gelten
- Drittkomponenten nach CRA: Sorgfaltspflicht für Fremd- und Open-Source-Bausteine (Art. 13 Abs. 5)
- CRA-Readiness auf einen Blick: das Dashboard über alle Bausteine
- Wesentliche Veränderung nach CRA: wann eine neue Version neu bewertet werden muss (Art. 3 Nr. 30)
- Die notifizierte Stelle nach CRA: wann eine Dritt-Prüfung nötig ist und was sie braucht (Art. 32)