Cyber Resilience Act - was der CRA für Softwarehersteller bedeutet
Scope, Meldepflichten, SBOM und Bussgelder des EU Cyber Resilience Act (Verordnung 2024/2847), mit Fristen bis 2027 und Einordnung für SaaS und Open Source.
Eine zusammenhängende Reihe zum Cyber Resilience Act (Verordnung (EU) 2024/2847): vom gesetzlichen Überblick über Software-Stückliste, Schwachstellenbehandlung, Risiko- und Konformitätsbewertung und die Pflicht-Dokumente bis zur Meldepflicht und dem fertigen Werkzeug. Jeder Beitrag baut auf den vorigen auf.
15 Beiträge · chronologisch · Teil 1 oben
Scope, Meldepflichten, SBOM und Bussgelder des EU Cyber Resilience Act (Verordnung 2024/2847), mit Fristen bis 2027 und Einordnung für SaaS und Open Source.
Wie CycloneDX, SPDX, cosign, Fulcio und Rekor zusammen belegen, wer eine Binary gebaut hat und woraus. Einordnung von SLSA, in-toto und dem Cyber Resilience Act.
Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.
Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.
Der Cyber Resilience Act verlangt von Herstellern eine Richtlinie zur koordinierten Schwachstellenoffenlegung, einen auffindbaren Meldekontakt und die Veröffentlichung behobener Schwachstellen. Dernium CRA-Nachweis hostet die CVD-Policy auf einer öffentlichen PSIRT-Seite, erzeugt die security.txt (RFC 9116) und veröffentlicht produktgebundene Advisories - menschen- und maschinenlesbar als CSAF 2.0 mit Revisionshistorie. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act verlangt, Schwachstellen über den gesamten Support-Zeitraum unverzüglich zu behandeln und die Nutzer zu informieren. Dernium CRA-Nachweis schließt diese Schleife: Aus den Funden je Produkt entsteht eine Behebungs-Liste mit dem Lebenslauf jeder Schwachstelle - Schweregrad, Erst-Erkennung, Fristen-Uhr, Status, behebende Version und das Advisory als Nutzerinfo - samt verwaltetem Support-Zeitraum. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act verlangt eine dokumentierte Cybersicherheits-Risikobewertung (Art. 13). Sie ist kein Beiwerk, sondern bestimmt, welche der wesentlichen Anforderungen aus Anhang I Teil I Nr. 2 für Ihr Produkt gelten - und nicht anwendbare müssen begründet werden. Dernium CRA-Nachweis führt diese Bewertung strukturiert: Kontext, Anwendbarkeit je Anforderung mit Begründungspflicht, Risiko-Register; das Ergebnis fließt automatisch in die technische Dokumentation (Anhang VII Nr. 3). Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act schreibt je nach Einstufung ein bestimmtes Konformitätsbewertungsverfahren vor (Art. 32): Standardprodukte dürfen sich selbst bewerten, wichtige Produkte der Klasse I nur unter Bedingungen, Klasse II und kritische Produkte brauchen eine Dritt-Prüfung. Dernium CRA-Nachweis hat dafür einen Lotsen, der aus der Einstufung den zulässigen Pfad bestimmt, die Verfahrenswahl konsistent hält und eine Abdeckungs-Checkliste der wesentlichen Anforderungen (Anhang I) bietet. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act verlangt, dass jedem Produkt strukturierte Informationen und Anleitungen für die Nutzer beiliegen (Anhang II) - neun feste Punkte von Hersteller-Kontakt über Support-Ende bis zu Update- und Außerbetriebnahme-Anleitungen. Dernium CRA-Nachweis hat dafür einen Generator: Sie füllen die Punkte aus, wiederkehrende Angaben kommen aus dem, was Sie ohnehin pflegen, leere Pflichtteile erscheinen sichtbar als „zu ergänzen", und heraus fällt ein PDF mit Ihrem Briefkopf. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act verpflichtet Hersteller, beim Einbinden von Komponenten Dritter - ausdrücklich auch Open-Source - Sorgfalt walten zu lassen, damit diese die Sicherheit des Produkts nicht gefährden (Art. 13 Abs. 5). Der Maßstab ist risikoabhängig (Erwägungsgrund 34), und bei einer Schwachstelle in einer Komponente kommt die Upstream-Meldepflicht hinzu (Art. 13 Abs. 6). Dernium CRA-Nachweis führt die Sorgfaltsbewertung je Komponente direkt auf der Stückliste - org-weit, stabil über Re-Ingests. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Nicht jede Produktänderung löst den CRA neu aus - aber eine wesentliche Veränderung schon: dann gilt das Produkt als neu in Verkehr gebracht und braucht eine neue Konformitätsbewertung samt aktualisierter Dokumente. Der Test (Art. 3 Nr. 30) ist ein ODER: beeinträchtigt die Änderung die Konformität (und war nicht in der Risikobewertung vorhergesehen) ODER ändert sie den Verwendungszweck. Dernium CRA stuft jede Version geführt ein und sagt klar, ob eine Neubewertung fällig ist. Dieser Beitrag zeigt die Logik - und wo bewusst die Verantwortung beim Hersteller bleibt.
Bei manchen Produkten genügt unter dem CRA keine Selbstbewertung - es braucht eine notifizierte Stelle (Art. 32, Anhang VIII): bei wichtigen Produkten der Klasse II, bei Klasse I ohne vollständig angewandte harmonisierte Normen und bei kritischen Produkten. Dieses Engagement ist ein eigener Prozess: die richtige Stelle finden, die technische Dokumentation übergeben, die Prüfung begleiten, die Bescheinigung verwalten. Dernium CRA führt dafür einen Engagement-Tracker - Stelle, Verfahren, Status, Bescheinigung, Übergabe-Checkliste und Modul-H-Überwachung. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act besteht aus vielen einzelnen Pflichten - Stückliste, Schwachstellenbehandlung, Risikobewertung, Konformitätsbewertung, EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen, Drittkomponenten-Sorgfalt, Meldewege. Wer den Überblick verliert, übersieht eine Lücke. Das CRA-Readiness-Dashboard von Dernium CRA-Nachweis bündelt den Stand all dieser Bausteine je Produkt an einer Stelle: pro Bereich erledigt, teilweise oder offen, mit Sprung direkt zum jeweiligen Werkzeug. Dieser Beitrag zeigt, wie das Dashboard zusammenführt - und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act trifft Hersteller "digitaler Elemente" - von der Software-Stückliste über Risiko- und Konformitätsbewertung, die Pflicht-Dokumente und die Drittkomponenten-Sorgfalt bis zur Meldepflicht. Dernium CRA deckt dabei die Pflichten ab, die sich durch ein Werkzeug abnehmen lässt, für Sie übersichtlich aufbereitet an einer Stelle und mit deutscher Datenresidenz. Dieser Beitrag bildet die CRA-Pflichten auf den passenden Bausteinen ab, zeigt die Reihenfolge und gibt Ihnen einen Überblick.