Tag

#cra

6 Beiträge mit diesem Tag, chronologisch geordnet. Neueste oben.

14. Mai 2026 3 Min Serie: compliance

DoC- und Tech-Doc-Generator im CRA-Nachweis: EU-Konformitätserklärung (Anhang V) und technische Doku (Anhang VII) erzeugen

Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.

#compliance#cra#konformitaet#doc#techdoc#sbom#annex
28. April 2026 3 Min Serie: compliance

Coordinated Vulnerability Disclosure nach CRA: Policy, security.txt, Advisories und CSAF

Der Cyber Resilience Act verlangt von Herstellern eine Richtlinie zur koordinierten Schwachstellenoffenlegung, einen auffindbaren Meldekontakt und die Veröffentlichung behobener Schwachstellen. Dernium CRA-Nachweis hostet die CVD-Policy auf einer öffentlichen PSIRT-Seite, erzeugt die security.txt (RFC 9116) und veröffentlicht produktgebundene Advisories - menschen- und maschinenlesbar als CSAF 2.0 mit Revisionshistorie. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

#compliance#cra#cvd#advisories#security-txt#csaf
9. April 2026 5 Min Serie: compliance

CRA-Konformitätsnachweise ab 11.12.2027: EU-Konformitätserklärung (Anhang V), technische Doku (Anhang VII) und CE

Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.

#compliance#cra#konformitaet#ce#doc#annex
26. März 2026 5 Min Serie: compliance

CRA-Meldepflicht ab 11.09.2026: Schwachstellen und Vorfälle an CSIRT und ENISA (24h/72h/14d)

Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.

#compliance#cra#meldepflicht#enisa#eu
12. März 2026 4 Min Serie: supply-chain

SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte

Wie CycloneDX, SPDX, cosign, Fulcio und Rekor zusammen belegen, wer eine Binary gebaut hat und woraus. Einordnung von SLSA, in-toto und dem Cyber Resilience Act.

#sbom#sigstore#supply-chain#slsa#cra#security
24. Februar 2026 4 Min Serie: compliance

Cyber Resilience Act - was der CRA für Softwarehersteller bedeutet

Scope, Meldepflichten, SBOM und Bussgelder des EU Cyber Resilience Act (Verordnung 2024/2847), mit Fristen bis 2027 und Einordnung für SaaS und Open Source.

#compliance#cra#eu

DoC- und Tech-Doc-Generator im CRA-Nachweis: EU-Konformitätserklärung (Anhang V) und technische Doku (Anhang VII) erzeugen

Coordinated Vulnerability Disclosure nach CRA: Policy, security.txt, Advisories und CSAF

CRA-Konformitätsnachweise ab 11.12.2027: EU-Konformitätserklärung (Anhang V), technische Doku (Anhang VII) und CE

CRA-Meldepflicht ab 11.09.2026: Schwachstellen und Vorfälle an CSIRT und ENISA (24h/72h/14d)

SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte

Cyber Resilience Act - was der CRA für Softwarehersteller bedeutet