Dernium CRA: ein Werkzeug für den gesamten Cyber Resilience Act
Der Cyber Resilience Act trifft Hersteller "digitaler Elemente" - von der Software-Stückliste über Risiko- und Konformitätsbewertung, die Pflicht-Dokumente und die Drittkomponenten-Sorgfalt bis zur Meldepflicht. Dernium CRA deckt dabei die Pflichten ab, die sich durch ein Werkzeug abnehmen lässt, für Sie übersichtlich aufbereitet an einer Stelle und mit deutscher Datenresidenz. Dieser Beitrag bildet die CRA-Pflichten auf den passenden Bausteinen ab, zeigt die Reihenfolge und gibt Ihnen einen Überblick.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang: jede Pflicht auf ihren Baustein
- Was bewusst bei Ihnen bleibt
- Was Sie jetzt tun sollten
- Warum Dernium
- Offene Punkte
- Verifikation
- Häufige Fragen
- Übernimmt Dernium CRA meine rechtliche Verantwortung nach dem CRA?
- Warum sollte ich jetzt anfangen, wenn die Hauptpflichten erst Ende 2027 gelten?
- Was ist eine SBOM und warum steht sie im Zentrum?
- Was bedeutet deutsche Datenresidenz hier konkret?
- Was passiert, wenn ich eine meldepflichtige Schwachstelle habe?
- Mehr aus unserer CRA-Reihe
Problem
Jede einzelne CRA-Pflicht ist für sich machbar. Zusammen, über jede Produktversion und den gesamten Lebenszyklus hinweg, werden sie zur Daueraufgabe. Der Cyber Resilience Act (CRA, die EU-Verordnung zur Cybersicherheit von Produkten mit digitalen Elementen) trifft Hersteller von Produkten mit digitalen Elementen mit einer Kette von Pflichten über den ganzen Produktlebenszyklus: Software-Stückliste führen (Inventarliste aller verbauten Software-Bestandteile), Schwachstellen über den Support-Zeitraum behandeln, Risikobewertung dokumentieren, das richtige Konformitätsbewertungsverfahren wählen (das Prüfverfahren, mit dem die Einhaltung der CRA nachgewiesen wird), drei Pflicht-Dokumente erstellen, Drittkomponenten prüfen, eine Offenlegungs-Richtlinie für gemeldete Schwachstellen betreiben, im Ernstfall fristgerecht melden, bei wesentlichen Änderungen neu bewerten und ggf. eine notifizierte Stelle einbinden (eine staatlich benannte unabhängige Prüfstelle). Mit verstreuten Einzelwerkzeugen und Tabellen verliert man leicht den Überblick - und damit die eine Lücke, die im Prüffall zählt. Das Drumherum lässt sich aber an einer Stelle führen.
Für wen ist das? Für Hersteller, die ihre CRA-Pflichten an einer Stelle bündeln wollen.
Kurze Antwort
Dernium CRA deckt die CRA-Pflichten ab, die sich durch ein Werkzeug abnehmen lassen - Evidenz (Nachweise), Dokumente, Fristen und Meldungen - an einer Stelle, als verwalteter Dienst mit deutscher Datenresidenz (Datenhaltung ausschließlich in Deutschland).
- Sie reichen Ihre Stückliste ein oder lassen sie aus dem Software-Artefakt (der fertigen, ausgelieferten Software) erzeugen.
- Daraus wächst eine revisionssichere, nachträglich nicht veränderbare Historie, auf der die übrigen Bausteine aufsetzen.
- Ein Readiness-Dashboard (eine Übersicht zum Bereitschaftsstand) zeigt je Produkt den Stand.
- Dernium CRA gibt keine Konformitätsbewertung ab und ersetzt keine Rechtsberatung; die rechtlichen Akte bleiben bei Ihnen, wir bereiten sie vor.
Tiefgang: jede Pflicht auf ihren Baustein
Evidenz-Kern. Die Software-Stückliste (SBOM = Software Bill of Materials; Anhang I Teil II) entsteht aus Ihrem Artefakt in einer Sandbox (isolierten Testumgebung) oder durch Einreichen einer fertigen SBOM (Format CycloneDX/SPDX, zwei verbreitete offene SBOM-Dateiformate). Der laufende Abgleich gegen die offene Schwachstellen-Datenbank OSV (Open Source Vulnerabilities) und die VEX-Bewertung (Vulnerability Exploitability eXchange; hält fest, ob eine Schwachstelle Ihr Produkt betrifft) halten den Stand aktuell; alles landet in einer revisionssicheren Versions- und Stücklisten-Historie.
Behandlung über den Lebenszyklus. Der Behebungs- und Support-Lifecycle verfolgt jede Schwachstelle bis zur Behebung, mit Fristen-Uhr und Support-Zeitraum (Art. 13). Die Drittkomponenten-Sorgfalt (Art. 13 Abs. 5) bewertet jeden Fremd- und Open-Source-Baustein nach Risiko. Die Änderungseinstufung (Art. 3 Nr. 30) entscheidet je Version, ob eine wesentliche Veränderung vorliegt und neu zu bewerten ist.
Bewertung und Dokumente. Die Risikobewertung (Art. 13) bestimmt die geltenden Anforderungen, der Konformitätsbewertungs-Lotse (Art. 32) den zulässigen Pfad. Daraus fallen die drei Pflicht-Dokumente als PDF mit Ihrem Briefkopf: EU-Konformitätserklärung (Anhang V; die Erklärung, mit der der Hersteller die Einhaltung der CRA bestätigt), technische Dokumentation (Anhang VII) und Nutzerinformationen (Anhang II). Wo eine Dritt-Prüfung nötig ist, verfolgt der Notifizierte-Stelle-Tracker (Anhang VIII) den Stand.
Offenlegung und Meldung. Für die koordinierte Schwachstellenoffenlegung (das geordnete Annehmen und Behandeln von extern gemeldeten Sicherheitslücken) hostet Dernium CRA eine PSIRT-Seite (Product Security Incident Response Team; zentrale Sicherheits-Anlaufstelle des Produkts) mit security.txt (standardisierte Kontaktdatei für Sicherheitsmelder) und Sicherheitshinweisen im Format CSAF 2.0 (Common Security Advisory Framework, ein maschinenlesbares Format für Sicherheitsmeldungen). Für die Meldepflicht ab dem 11. September 2026 assistiert der Workflow mit Fristen-Timern (24h/72h/14 Tage), vorbefüllten Entwürfen und Statusverfolgung - eingereicht wird von Ihnen bei CSIRT (das nationale Computer-Notfallteam) und ENISA (der EU-Agentur für Cybersicherheit).
Überblick. Das Readiness-Dashboard bündelt diese Bausteine je Produkt zu einer Ampel - erledigt, teilweise, offen - mit Sprung ins zuständige Werkzeug. Es zeigt, ob ein Baustein befüllt ist, nicht ob sein Inhalt einer Prüfung standhält.
Was bewusst bei Ihnen bleibt
Dernium CRA nimmt Ihnen die werkzeugbaren Pflichten ab, nicht die nicht delegierbaren Akte: die Konformitätsbewertung selbst, die Unterschrift unter der EU-Konformitätserklärung, die CE-Kennzeichnung (das Konformitätszeichen, mit dem der Hersteller die Einhaltung der EU-Vorgaben kennzeichnet), das Einreichen der Meldung bei der Behörde und das sichere Entwickeln des Produkts bleiben Ihre Verantwortung. Wir geben keine rechtsverbindliche Bewertung Ihrer CRA-Pflichten ab und ersetzen keine Rechtsberatung. Diese Linie ist Absicht: Aus einem Werkzeug, das vorbereitet, soll keine falsche Sicherheit werden.
Was Sie jetzt tun sollten
Wenn Sie unter den CRA fallen oder das prüfen, lohnen sich diese Schritte:
- Betroffenheit klären. Stellen Sie fest, ob Ihre Produkte mit digitalen Elementen unter den CRA fallen und welcher Konformitätspfad in Frage kommt - das entscheidet über den Aufwand.
- Früh mit der Stückliste beginnen. Erzeugen oder hinterlegen Sie für jedes Produkt eine SBOM, denn die revisionssichere Historie wird mit der Zeit umso belastbarer, je früher sie startet.
- Schwachstellen-Prozess aufsetzen. Richten Sie eine Anlaufstelle für gemeldete Schwachstellen (security.txt, PSIRT-Seite) und einen Behebungs-Ablauf mit Fristen ein, bevor der erste Ernstfall eintritt.
- Meldewege vorbereiten. Klären Sie für die Meldepflicht ab dem 11. September 2026 vorab, wer bei CSIRT und ENISA meldet und welche Fristen (24h/72h/14 Tage) gelten.
- Rechtliche Akte einplanen. Reservieren Sie Zeit und Verantwortliche für die nicht delegierbaren Schritte - Bewertung, Unterschrift, CE-Kennzeichnung - die das Werkzeug nur vorbereitet, nicht abnimmt.
Warum Dernium
Drei Dinge unterscheiden Dernium CRA: deutsche Datenresidenz (kein US-Cloud, kein Drittland-Transfer), eine append-only (nur fortschreibbare, nicht änderbare) Evidenz-Schicht als belastbarer Nachweis für CRA und Produkthaftung, und ein verwalteter Dienst für die laufende Pflege. Vor allem zahlt sich der frühe Start aus: Historie und Dokumente wachsen über die Zeit und sind zum Stichtag 11. Dezember 2027 vollständig vorbereitet, statt dann eine Lücke schließen zu müssen, die nicht mehr zu schließen ist.
Offene Punkte
- Die rechtlichen Entscheidungen - Einstufung, Konformitätsbewertung, "unverzüglich" im Einzelfall, Unterschrift und CE-Kennzeichnung - verantworten Sie. Das Werkzeug strukturiert, befüllt vor und erinnert; es ist keine Rechtsberatung.
- Die maschinelle Übermittlung an die zentrale europäische Meldeplattform nehmen wir auf, sobald deren Schnittstelle bereitsteht; bis dahin bereiten wir die Meldung vor, eingereicht wird von Ihnen.
Verifikation
Die abgedeckten Pflichten folgen der Verordnung (EU) 2024/2847: Art. 13 (Risiko, Schwachstellenbehandlung, Support-Zeitraum, Drittkomponenten), Art. 14 (Meldepflicht), Art. 32 und Anhang VIII (Konformitätsbewertung, notifizierte Stelle), Art. 3 Nr. 30 (wesentliche Veränderung) sowie die Anhänge I, II, V und VII. Die Meldepflichten gelten ab dem 11. September 2026, die Hauptpflichten ab dem 11. Dezember 2027.
Häufige Fragen
Übernimmt Dernium CRA meine rechtliche Verantwortung nach dem CRA?
Nein. Das Werkzeug nimmt die werkzeugbaren Pflichten ab - Nachweise sammeln, Dokumente erzeugen, Fristen überwachen, Meldungen vorbereiten. Die nicht delegierbaren Akte bleiben bei Ihnen: die Konformitätsbewertung, die Unterschrift unter der Konformitätserklärung, die CE-Kennzeichnung und das tatsächliche Einreichen der Meldung. Eine rechtsverbindliche Bewertung oder Rechtsberatung leistet Dernium CRA ausdrücklich nicht.
Warum sollte ich jetzt anfangen, wenn die Hauptpflichten erst Ende 2027 gelten?
Weil die geforderten Nachweise eine Historie sind, die sich nicht rückwirkend herstellen lässt. Eine revisionssichere, nur fortschreibbare Aufzeichnung über Stücklisten, Schwachstellen und Behebungen gewinnt ihren Wert gerade dadurch, dass sie über die Zeit gewachsen ist. Wer erst kurz vor dem Stichtag beginnt, kann eine fehlende Vergangenheit nicht mehr nachtragen.
Was ist eine SBOM und warum steht sie im Zentrum?
Eine SBOM (Software Bill of Materials) ist eine Inventarliste aller Bausteine, aus denen Ihre Software besteht, inklusive Fremd- und Open-Source-Komponenten. Sie ist die Grundlage, um neue Schwachstellen den eigenen Produkten zuzuordnen, Drittkomponenten zu bewerten und Änderungen nachzuvollziehen. Deshalb setzen die übrigen CRA-Bausteine auf ihr auf.
Was bedeutet deutsche Datenresidenz hier konkret?
Es bedeutet, dass die Nachweise und Dokumente in Deutschland gehalten werden, ohne Auslagerung in eine US-Cloud oder ein Drittland. Das ist relevant, weil die Evidenz-Schicht sensible Produkt- und Sicherheitsinformationen enthält und ein Drittland-Transfer eigene rechtliche Prüfpflichten auslösen würde.
Was passiert, wenn ich eine meldepflichtige Schwachstelle habe?
Der Workflow unterstützt Sie ab dem 11. September 2026 mit Fristen-Timern für die Stufen 24 Stunden, 72 Stunden und 14 Tage, mit vorbefüllten Entwürfen und einer Statusverfolgung. Das eigentliche Einreichen bei CSIRT und ENISA nehmen Sie selbst vor; sobald eine maschinelle Schnittstelle der europäischen Meldeplattform bereitsteht, ergänzen wir die direkte Übermittlung.
Mehr aus unserer CRA-Reihe
- Cyber Resilience Act: Überblick für Softwarehersteller
- SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte
- CRA-Meldepflicht: Schwachstellen und Vorfälle an CSIRT und ENISA (ab 2026)
- CRA-Konformitätsnachweise: Anhang V/VII und CE (ab 2027)
- Coordinated Vulnerability Disclosure: Policy, security.txt und CSAF
- DoC- und Tech-Doc-Generator: Anhang V/VII als PDF
- Schwachstellen über den Support-Zeitraum behandeln: Fristen-Uhr und Behebungs-Lebenslauf
- Konformitätsbewertung nach CRA: welcher Pfad für welches Produkt (Art. 32)
- CRA Anhang II: Nutzerinformationen und Anleitungen als PDF
- Die CRA-Risikobewertung (Art. 13): welche Anforderungen für Ihr Produkt gelten
- Drittkomponenten nach CRA: Sorgfaltspflicht für Fremd- und Open-Source-Bausteine (Art. 13 Abs. 5)
- CRA-Readiness auf einen Blick: das Dashboard über alle Bausteine
- Wesentliche Veränderung nach CRA: wann eine neue Version neu bewertet werden muss (Art. 3 Nr. 30)
- Die notifizierte Stelle nach CRA: wann eine Dritt-Prüfung nötig ist und was sie braucht (Art. 32)