Der Cyber Resilience Act schafft einen neuen Markt: CRA-Compliance-Software. Hersteller digitaler Produkte suchen nach Werkzeugen, die ihnen bei der Umsetzung der CRA-Anforderungen helfen. Das Angebot wächst – aber die meisten Lösungen decken nur Teilbereiche ab. Dieser Artikel zeigt, warum ein fragmentierter Ansatz problematisch ist und worauf Hersteller bei der Auswahl achten sollten.
Das Problem: CRA-Compliance besteht aus vielen Bausteinen
Die CRA-Compliance ist kein einzelnes Thema, das sich mit einem Tool lösen lässt. Sie umfasst mindestens fünf miteinander verzahnte Bereiche: SBOM-Erstellung und -Verwaltung, kontinuierliches Schwachstellenmonitoring, Konformitätsbewertung und Dokumentation, Meldeprozesse für Schwachstellen sowie die laufende Pflege über den gesamten Produktlebenszyklus.
Die meisten Anbieter am Markt fokussieren sich auf einen oder zwei dieser Bereiche. Das führt dazu, dass Hersteller mehrere Tools kombinieren müssen – mit den typischen Problemen fragmentierter Toolchains: Datensilos, fehlende Integration, manueller Übertragungsaufwand und die Gefahr, dass zwischen den Tools Informationen verloren gehen.
Die typischen Teillösungen am Markt
Auf dem Markt für CRA-relevante Software finden sich verschiedene Kategorien von Anbietern, die jeweils einen spezifischen Aspekt adressieren.
Reine SBOM-Tools wie FOSSA, Snyk Open Source oder Black Duck (Synopsys) sind stark in der Software Composition Analysis (SCA) und der Generierung von SBOMs aus Quellcode. Sie erkennen Open-Source-Komponenten, prüfen Lizenzen und erstellen SBOMs in SPDX- oder CycloneDX-Format. Was ihnen fehlt: der Kontext zur CRA-Konformitätsbewertung, die Integration mit dem Meldewesen und die Verwaltung der technischen Dokumentation. Sie beantworten die Frage "Was ist in meinem Produkt?", aber nicht "Ist mein Produkt CRA-konform?".
Vulnerability-Scanner und -Management-Plattformen wie Qualys, Tenable oder Rapid7 sind stark im Erkennen und Priorisieren von Schwachstellen. Sie bieten umfangreiche Datenbanken und automatisiertes Scanning. Allerdings sind sie primär auf IT-Infrastruktur ausgerichtet, nicht auf Produktsicherheit im CRA-Sinne. Sie helfen bei der Schwachstellenerkennung, aber nicht bei der SBOM-Verwaltung pro Produktversion, der CRA-spezifischen Meldepflicht oder der Konformitätsdokumentation.
GRC-Plattformen (Governance, Risk, Compliance) wie ServiceNow GRC, OneTrust oder Archer bieten breite Compliance-Frameworks, in die der CRA grundsätzlich eingebettet werden kann. Sie sind stark in Prozessmanagement und Dokumentation. Aber sie sind generisch – es fehlen die spezifischen CRA-Funktionen wie SBOM-Handling, automatisierter Schwachstellenabgleich gegen Produktkomponenten und die Verknüpfung zwischen Produktversionen und ihren Sicherheitsständen.
DevSecOps-Tools wie Dependabot, Renovate oder GitHub Advanced Security integrieren sich gut in den Entwicklungsprozess und erkennen Schwachstellen in Abhängigkeiten während der Entwicklung. Für die CRA-Compliance reichen sie jedoch nicht aus, weil sie nur den Entwicklungsprozess abdecken, nicht den gesamten Produktlebenszyklus. Post-Market-Surveillance, Meldepflichten und die Verwaltung bereits ausgelieferter Produkte liegen außerhalb ihres Fokus.
Warum Integration entscheidend ist
Die CRA-Anforderungen sind miteinander verzahnt – und genau das macht fragmentierte Lösungen problematisch.
Ein Beispiel: Eine neue Schwachstelle wird in einer Open-Source-Bibliothek bekannt. Um CRA-konform zu reagieren, müssen Sie innerhalb von Minuten wissen, welche Ihrer Produkte diese Bibliothek in welcher Version einsetzen (SBOM), ob die Schwachstelle in Ihrem Produktkontext relevant ist (Risikobewertung), ob sie aktiv ausgenutzt wird (Meldepflicht innerhalb von 24 Stunden) und welche Kunden informiert werden müssen (Nutzerinformation). Wenn SBOM-Daten in Tool A liegen, die Schwachstellenbewertung in Tool B stattfindet und die Kundenkommunikation über Tool C läuft, kostet die Koordination wertvolle Zeit – Zeit, die Sie bei einer 24-Stunden-Meldefrist nicht haben.
Worauf Sie bei der Auswahl achten sollten
Bei der Bewertung von CRA-Compliance-Software sind folgende Kriterien entscheidend.
SBOM-Management über den gesamten Lebenszyklus. Das Tool muss SBOMs nicht nur generieren, sondern über alle Produktversionen hinweg verwalten können. Jede ausgelieferte Version muss mit ihrer SBOM verknüpft sein, und bei einem Schwachstellenalarm muss sofort erkennbar sein, welche Versionen betroffen sind.
Automatisierter Schwachstellenabgleich. Die SBOM-Daten müssen kontinuierlich gegen aktuelle Schwachstellendatenbanken geprüft werden – automatisiert und in Echtzeit, nicht als manueller Prozess.
CRA-spezifische Dokumentation. Das Tool muss die CRA-spezifischen Dokumentationsanforderungen kennen: technische Dokumentation nach Anhang VII, EU-Konformitätserklärung, Nutzerinformationen und die Dokumentation des Schwachstellenmanagement-Prozesses.
Meldeprozess-Unterstützung. Ab September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden gemeldet werden. Das Tool sollte diesen Prozess unterstützen – von der Erkennung über die Bewertung bis zur Generierung der Meldung.
Audit-Fähigkeit. Marktüberwachungsbehörden können jederzeit die technische Dokumentation anfordern. Das Tool muss in der Lage sein, alle relevanten Informationen schnell und vollständig zusammenzustellen.
Kunnus: CRA-Compliance als integrierte Plattform
Kunnus wurde von Anfang an als integrierte CRA-Compliance-Plattform konzipiert – nicht als SBOM-Tool, dem nachträglich weitere Funktionen angehängt wurden. Wir verbinden SBOM-Management, Schwachstellenüberwachung, Konformitätsdokumentation und Meldeprozesse in einem System.
Der Unterschied zu Teillösungen: Bei Kunnus fließen alle CRA-relevanten Daten in einer Plattform zusammen. Wenn eine neue Schwachstelle bekannt wird, wissen Sie sofort, welche Produkte betroffen sind, ob Meldepflicht besteht und welche Schritte als nächstes nötig sind. Die technische Dokumentation wird kontinuierlich aktualisiert, statt kurz vor einem Audit zusammengestellt werden zu müssen.
Für Hersteller, die bereits Tools für Teilbereiche einsetzen, bietet Kunnus Integrationsmöglichkeiten: Bestehende SBOM-Generatoren, CI/CD-Pipelines und Vulnerability-Datenbanken können angebunden werden. Kunnus ergänzt diese Tools um die CRA-spezifische Orchestrierung, die den Unterschied zwischen "Wir haben Tools" und "Wir sind CRA-compliant" ausmacht.
Wollen Sie sehen, wo Sie heute stehen? Unsere kostenlose CRA-Reifegradanalyse zeigt Ihnen in wenigen Minuten, welche Bereiche abgedeckt sind und wo die größten Lücken in Ihrem aktuellen Toolset bestehen.