Serie

compliance

Diese Sammlung gehört zusammen: 11 Beiträge unter der Serien-Marke compliance, chronologisch geordnet. Teil 1 oben, jeweils folgende Beiträge bauen darauf auf.

  1. Teil 1
    4 Min

    Cyber Resilience Act - was der CRA für Softwarehersteller bedeutet

    Scope, Meldepflichten, SBOM und Bussgelder des EU Cyber Resilience Act (Verordnung 2024/2847), mit Fristen bis 2027 und Einordnung für SaaS und Open Source.

  2. Teil 2
    5 Min

    CRA-Meldepflicht ab 11.09.2026: Schwachstellen und Vorfälle an CSIRT und ENISA (24h/72h/14d)

    Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.

  3. Teil 3
    11 Min

    Öffentliche Beschaffung: wie Cloud-Souveränität in der Ausschreibung formuliert wird

    Deutsche Behörden und kommunale IT-Dienstleister dürfen Cloud-Souveränität als Zuschlagskriterium werten. Dieser Beitrag zeigt konkrete Klauselbeispiele mit Vergaberechts-Bezug, die in Vergabeverfahren Bestand haben, plus Beispiele aus realen Verfahren 2023-2025.

  4. Teil 4
    3 Min

    ITAR-Freiheit in der Werkzeugkette

    ITAR taintet einen ganzen Stapel, sobald nur eine kontrollierte US-Komponente drinsteckt. Was hilft: diese Komponenten gar nicht erst hereinziehen

  5. Teil 5
    5 Min

    CRA-Konformitätsnachweise ab 11.12.2027: EU-Konformitätserklärung (Anhang V), technische Doku (Anhang VII) und CE

    Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.

  6. Teil 6
    3 Min

    Coordinated Vulnerability Disclosure nach CRA: Policy, security.txt, Advisories und CSAF

    Der Cyber Resilience Act verlangt von Herstellern eine Richtlinie zur koordinierten Schwachstellenoffenlegung, einen auffindbaren Meldekontakt und die Veröffentlichung behobener Schwachstellen. Dernium CRA-Nachweis hostet die CVD-Policy auf einer öffentlichen PSIRT-Seite, erzeugt die security.txt (RFC 9116) und veröffentlicht produktgebundene Advisories - menschen- und maschinenlesbar als CSAF 2.0 mit Revisionshistorie. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  7. Teil 7
    8 Min

    NIS-2 operativ umgesetzt: was Ihr Unternehmen intern wirklich ändern muss

    Das NIS2UmsuCG gilt seit Dezember 2025 ohne Übergangsfrist. Dieser Beitrag zeigt, was operativ bis 2026/2027 in internen Prozessen, Lieferketten und IT-Haushaltsplanung angefasst werden muss, und welche Dernium-Bausteine dabei direkt nützlich sind.

  8. Teil 8
    3 Min

    DoC- und Tech-Doc-Generator im CRA-Nachweis: EU-Konformitätserklärung (Anhang V) und technische Doku (Anhang VII) erzeugen

    Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.

  9. Teil 9
    5 Min

    DORA: was Finanz-Organisationen bis 2026 technisch umgesetzt haben müssen

    Der Digital Operational Resilience Act (EU 2022/2554) ist seit Januar 2025 wirksam. Dieser Beitrag geht die praktische Mindestliste durch: ICT-Risk-Register, Incident-Reporting im BaFin-Format, Drittanbieter-Registrierung, Resilienz-Tests und Informationsaustausch.

  10. Teil 10
    4 Min

    BSI C5:2026: was sich im Cloud-Kriterienkatalog ändert

    Das BSI hat den C5-Kriterienkatalog am 14. Mai 2026 in neuer Fassung veröffentlicht. 39 neue und 129 überarbeitete Kriterien, eine Übergangsfrist bis 1. Juni 2027 für Audits, und neue Schwerpunkte bei Verschlüsselung, Datenverarbeitung und Daten-Mapping.

  11. Teil 11
    5 Min

    Drittland-Transfers nach Schrems II und dem Data Privacy Framework

    Der EU-US-Angemessenheitsbeschluss (DPF) ist seit 2023 in Kraft und steht unter Klage. Was bedeutet das operativ für TIA-Pflichten, Standardvertragsklauseln und die Frage 'dürfen wir AWS weiter nutzen?'. Mit einer Entscheidungshilfe für Inhouse-Datenschutzteams.