Serie

CRA-Reihe

Eine zusammenhängende Reihe zum Cyber Resilience Act (Verordnung (EU) 2024/2847): vom gesetzlichen Überblick über Software-Stückliste, Schwachstellenbehandlung, Risiko- und Konformitätsbewertung und die Pflicht-Dokumente bis zur Meldepflicht und dem fertigen Werkzeug. Jeder Beitrag baut auf den vorigen auf.

15 Beiträge · chronologisch · Teil 1 oben

  1. Teil 1
    7 Min

    Cyber Resilience Act - was der CRA für Softwarehersteller bedeutet

    Scope, Meldepflichten, SBOM und Bussgelder des EU Cyber Resilience Act (Verordnung 2024/2847), mit Fristen bis 2027 und Einordnung für SaaS und Open Source.

  2. Teil 2
    7 Min

    SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte

    Wie CycloneDX, SPDX, cosign, Fulcio und Rekor zusammen belegen, wer eine Binary gebaut hat und woraus. Einordnung von SLSA, in-toto und dem Cyber Resilience Act.

  3. Teil 3
    7 Min

    CRA-Meldepflicht ab 11.09.2026: Schwachstellen und Vorfälle an CSIRT und ENISA (24h/72h/14d)

    Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.

  4. Teil 4
    7 Min

    CRA-Konformitätsnachweise ab 11.12.2027: EU-Konformitätserklärung (Anhang V), technische Doku (Anhang VII) und CE

    Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.

  5. Teil 5
    5 Min

    Coordinated Vulnerability Disclosure nach CRA: Policy, security.txt, Advisories und CSAF

    Der Cyber Resilience Act verlangt von Herstellern eine Richtlinie zur koordinierten Schwachstellenoffenlegung, einen auffindbaren Meldekontakt und die Veröffentlichung behobener Schwachstellen. Dernium CRA-Nachweis hostet die CVD-Policy auf einer öffentlichen PSIRT-Seite, erzeugt die security.txt (RFC 9116) und veröffentlicht produktgebundene Advisories - menschen- und maschinenlesbar als CSAF 2.0 mit Revisionshistorie. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  6. Teil 6
    5 Min

    DoC- und Tech-Doc-Generator im CRA-Nachweis: EU-Konformitätserklärung (Anhang V) und technische Doku (Anhang VII) erzeugen

    Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.

  7. Teil 7
    6 Min

    Schwachstellen über den Support-Zeitraum behandeln: vom Finding zum Fix, mit Fristen-Uhr

    Der Cyber Resilience Act verlangt, Schwachstellen über den gesamten Support-Zeitraum unverzüglich zu behandeln und die Nutzer zu informieren. Dernium CRA-Nachweis schließt diese Schleife: Aus den Funden je Produkt entsteht eine Behebungs-Liste mit dem Lebenslauf jeder Schwachstelle - Schweregrad, Erst-Erkennung, Fristen-Uhr, Status, behebende Version und das Advisory als Nutzerinfo - samt verwaltetem Support-Zeitraum. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  8. Teil 8
    6 Min

    Die CRA-Risikobewertung (Art. 13): das Dokument, das festlegt, welche Anforderungen gelten

    Der Cyber Resilience Act verlangt eine dokumentierte Cybersicherheits-Risikobewertung (Art. 13). Sie ist kein Beiwerk, sondern bestimmt, welche der wesentlichen Anforderungen aus Anhang I Teil I Nr. 2 für Ihr Produkt gelten - und nicht anwendbare müssen begründet werden. Dernium CRA-Nachweis führt diese Bewertung strukturiert: Kontext, Anwendbarkeit je Anforderung mit Begründungspflicht, Risiko-Register; das Ergebnis fließt automatisch in die technische Dokumentation (Anhang VII Nr. 3). Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  9. Teil 9
    6 Min

    Konformitätsbewertung nach CRA: welcher Pfad für welches Produkt (Art. 32)

    Der Cyber Resilience Act schreibt je nach Einstufung ein bestimmtes Konformitätsbewertungsverfahren vor (Art. 32): Standardprodukte dürfen sich selbst bewerten, wichtige Produkte der Klasse I nur unter Bedingungen, Klasse II und kritische Produkte brauchen eine Dritt-Prüfung. Dernium CRA-Nachweis hat dafür einen Lotsen, der aus der Einstufung den zulässigen Pfad bestimmt, die Verfahrenswahl konsistent hält und eine Abdeckungs-Checkliste der wesentlichen Anforderungen (Anhang I) bietet. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  10. Teil 10
    5 Min

    CRA Anhang II: die Nutzerinformationen, die Ihrem Produkt beiliegen müssen

    Der Cyber Resilience Act verlangt, dass jedem Produkt strukturierte Informationen und Anleitungen für die Nutzer beiliegen (Anhang II) - neun feste Punkte von Hersteller-Kontakt über Support-Ende bis zu Update- und Außerbetriebnahme-Anleitungen. Dernium CRA-Nachweis hat dafür einen Generator: Sie füllen die Punkte aus, wiederkehrende Angaben kommen aus dem, was Sie ohnehin pflegen, leere Pflichtteile erscheinen sichtbar als „zu ergänzen", und heraus fällt ein PDF mit Ihrem Briefkopf. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  11. Teil 11
    6 Min

    Drittkomponenten nach CRA: Sorgfaltspflicht für Fremd- und Open-Source-Bausteine (Art. 13 Abs. 5)

    Der Cyber Resilience Act verpflichtet Hersteller, beim Einbinden von Komponenten Dritter - ausdrücklich auch Open-Source - Sorgfalt walten zu lassen, damit diese die Sicherheit des Produkts nicht gefährden (Art. 13 Abs. 5). Der Maßstab ist risikoabhängig (Erwägungsgrund 34), und bei einer Schwachstelle in einer Komponente kommt die Upstream-Meldepflicht hinzu (Art. 13 Abs. 6). Dernium CRA-Nachweis führt die Sorgfaltsbewertung je Komponente direkt auf der Stückliste - org-weit, stabil über Re-Ingests. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  12. Teil 12
    5 Min

    Wesentliche Veränderung nach CRA: wann eine neue Version neu bewertet werden muss (Art. 3 Nr. 30)

    Nicht jede Produktänderung löst den CRA neu aus - aber eine wesentliche Veränderung schon: dann gilt das Produkt als neu in Verkehr gebracht und braucht eine neue Konformitätsbewertung samt aktualisierter Dokumente. Der Test (Art. 3 Nr. 30) ist ein ODER: beeinträchtigt die Änderung die Konformität (und war nicht in der Risikobewertung vorhergesehen) ODER ändert sie den Verwendungszweck. Dernium CRA stuft jede Version geführt ein und sagt klar, ob eine Neubewertung fällig ist. Dieser Beitrag zeigt die Logik - und wo bewusst die Verantwortung beim Hersteller bleibt.

  13. Teil 13
    6 Min

    Die notifizierte Stelle nach CRA: wann eine Dritt-Prüfung nötig ist und was sie braucht (Art. 32)

    Bei manchen Produkten genügt unter dem CRA keine Selbstbewertung - es braucht eine notifizierte Stelle (Art. 32, Anhang VIII): bei wichtigen Produkten der Klasse II, bei Klasse I ohne vollständig angewandte harmonisierte Normen und bei kritischen Produkten. Dieses Engagement ist ein eigener Prozess: die richtige Stelle finden, die technische Dokumentation übergeben, die Prüfung begleiten, die Bescheinigung verwalten. Dernium CRA führt dafür einen Engagement-Tracker - Stelle, Verfahren, Status, Bescheinigung, Übergabe-Checkliste und Modul-H-Überwachung. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

  14. Teil 14
    5 Min

    CRA-Readiness auf einen Blick: das Dashboard über alle Bausteine

    Der Cyber Resilience Act besteht aus vielen einzelnen Pflichten - Stückliste, Schwachstellenbehandlung, Risikobewertung, Konformitätsbewertung, EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen, Drittkomponenten-Sorgfalt, Meldewege. Wer den Überblick verliert, übersieht eine Lücke. Das CRA-Readiness-Dashboard von Dernium CRA-Nachweis bündelt den Stand all dieser Bausteine je Produkt an einer Stelle: pro Bereich erledigt, teilweise oder offen, mit Sprung direkt zum jeweiligen Werkzeug. Dieser Beitrag zeigt, wie das Dashboard zusammenführt - und wo bewusst die Verantwortung beim Hersteller bleibt.

  15. Teil 15
    7 Min

    Dernium CRA: ein Werkzeug für den gesamten Cyber Resilience Act

    Der Cyber Resilience Act trifft Hersteller "digitaler Elemente" - von der Software-Stückliste über Risiko- und Konformitätsbewertung, die Pflicht-Dokumente und die Drittkomponenten-Sorgfalt bis zur Meldepflicht. Dernium CRA deckt dabei die Pflichten ab, die sich durch ein Werkzeug abnehmen lässt, für Sie übersichtlich aufbereitet an einer Stelle und mit deutscher Datenresidenz. Dieser Beitrag bildet die CRA-Pflichten auf den passenden Bausteinen ab, zeigt die Reihenfolge und gibt Ihnen einen Überblick.