Als CRA-Compliance-Plattform, die selbst als SaaS betrieben wird, kennen wir bei Kunnus die Fragestellung aus erster Hand: Wie betrifft der Cyber Resilience Act Software-as-a-Service? Die Antwort ist differenzierter, als sie auf den ersten Blick erscheint – und hat weitreichende Konsequenzen für SaaS-Anbieter in ganz Europa.
Der Grundsatz: SaaS fällt nicht direkt unter den CRA
Der CRA reguliert "Produkte mit digitalen Elementen", die auf dem EU-Markt "in Verkehr gebracht" werden. Software-as-a-Service wird nicht im klassischen Sinne in Verkehr gebracht – sie wird als Dienstleistung bereitgestellt. Nutzer installieren keine Software lokal, sondern greifen über den Browser oder eine API auf die Anwendung zu.
Diese Unterscheidung ist bewusst gewählt: Der CRA soll Produkte regulieren, nicht Dienste. Für die Regulierung von Diensten und Betreibern hat die EU die NIS2-Richtlinie geschaffen. SaaS-Anbieter, die als wesentliche oder wichtige Einrichtungen eingestuft werden, fallen unter NIS2 – nicht unter den CRA.
Doch diese klare Trennung hat Grenzen. In der Praxis verschwimmt die Linie zwischen Produkt und Dienst zunehmend, und der CRA adressiert einige dieser Grauzonen explizit.
Wann SaaS doch unter den CRA fällt
Es gibt drei wichtige Szenarien, in denen SaaS-Anbieter direkt oder indirekt vom CRA betroffen sind.
Szenario 1: Fernverarbeitung als Teil eines Produkts. Wenn ein SaaS-Dienst als Fernverarbeitung (Remote Data Processing) für ein Hardware-Produkt fungiert und vom selben Hersteller bereitgestellt wird, fällt diese Fernverarbeitung mit unter den CRA. Das betrifft zum Beispiel Cloud-Backends für IoT-Geräte, bei denen die Cloud-Komponente für die Kernfunktion des Geräts erforderlich ist. Ein Smart-Home-Hub, der ohne Cloud-Dienst des Herstellers nicht funktioniert, zieht den Cloud-Dienst in den CRA-Anwendungsbereich.
Die entscheidenden Kriterien: Die Fernverarbeitung muss vom Hersteller des Produkts konzipiert und bereitgestellt werden, und das Produkt muss diese Fernverarbeitung für seine wesentlichen Funktionen benötigen. Rein optionale Cloud-Features oder Dienste von Drittanbietern sind nicht erfasst.
Szenario 2: Downloadbare Software. Wenn ein SaaS-Anbieter neben dem Cloud-Dienst auch eine lokal installierbare Softwarekomponente bereitstellt – etwa eine Desktop-App, ein Browser-Plugin oder eine Mobile App – fällt diese Komponente als eigenständiges Produkt unter den CRA. Das SaaS-Backend selbst bleibt außerhalb des Anwendungsbereichs, aber der lokale Client wird als Produkt mit digitalen Elementen behandelt.
Szenario 3: SaaS als Bestandteil der Lieferkette. Auch wenn ein SaaS-Produkt nicht direkt unter den CRA fällt, können Hersteller von CRA-pflichtigen Produkten ihre Lieferantenanforderungen an SaaS-Anbieter weitergeben. Wenn Ihr SaaS-Dienst als Komponente in den Entwicklungsprozess oder die Infrastruktur eines CRA-pflichtigen Produkts eingebunden ist, werden Kunden zunehmend Sicherheitsnachweise und SBOM-Informationen verlangen.
Auswirkungen auf den SaaS-Markt
Auch SaaS-Anbieter, die nicht direkt unter den CRA fallen, spüren die Auswirkungen der Verordnung.
Erhöhte Kundenanforderungen. Hersteller, die den CRA einhalten müssen, werden von ihren Software-Zulieferern – einschließlich SaaS-Anbietern – zunehmend Sicherheitsnachweise einfordern. Dazu gehören Informationen über eingesetzte Open-Source-Komponenten, Schwachstellenmanagement-Prozesse und Sicherheitszertifizierungen. SaaS-Anbieter, die diese Informationen proaktiv bereitstellen, haben einen Wettbewerbsvorteil.
SBOM-Nachfrage. Der CRA etabliert die SBOM als Standard für Transparenz über Softwarekomponenten. Diese Erwartungshaltung wird sich auch auf SaaS ausweiten, selbst wenn es keine direkte gesetzliche Pflicht gibt. Kunden werden fragen: Welche Bibliotheken und Frameworks setzt Ihr SaaS-Produkt ein? Wie schnell reagieren Sie auf Schwachstellen in diesen Komponenten?
Security by Design als Marktstandard. Die CRA-Prinzipien – Security by Design, sichere Standardeinstellungen, kontinuierliches Schwachstellenmanagement – werden sich als Branchenstandard etablieren. SaaS-Anbieter, die diese Prinzipien nicht umsetzen, werden es schwerer haben, Enterprise-Kunden zu gewinnen.
Was SaaS-Anbieter jetzt tun sollten
Auch wenn der CRA nicht direkt greift, sollten SaaS-Anbieter proaktiv handeln.
NIS2-Status klären. Prüfen Sie, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt. Viele SaaS-Anbieter, insbesondere im Bereich digitale Infrastruktur und Cloud-Computing, sind als wesentliche oder wichtige Einrichtungen einzustufen und müssen die NIS2-Anforderungen erfüllen.
Lokale Softwarekomponenten identifizieren. Wenn Sie neben Ihrem Cloud-Dienst Desktop-Apps, Mobile Apps, Browser-Extensions, CLI-Tools oder SDKs bereitstellen, fallen diese unter den CRA. Erstellen Sie eine vollständige Liste und beginnen Sie mit der Konformitätsbewertung.
SBOM-Fähigkeit aufbauen. Bauen Sie die Fähigkeit auf, SBOMs für Ihre Softwareprodukte zu erstellen und zu pflegen – auch wenn es für SaaS (noch) keine gesetzliche Pflicht gibt. Das wird zum Hygienefaktor im Enterprise-Vertrieb.
Schwachstellenmanagement formalisieren. Etablieren Sie einen dokumentierten Schwachstellenmanagement-Prozess, einschließlich koordinierter Offenlegung. Veröffentlichen Sie eine security.txt-Datei und machen Sie es Sicherheitsforschern leicht, Schwachstellen zu melden.
Fernverarbeitung prüfen. Wenn Ihr SaaS-Dienst als Backend für Hardwareprodukte dient, klären Sie mit den Hardwareherstellern, ob Ihre Dienste als Fernverarbeitung im Sinne des CRA gelten. Falls ja, müssen Sie die CRA-Anforderungen für diesen Teil Ihres Dienstes erfüllen.
Wie Kunnus als SaaS-Plattform CRA-Compliance ermöglicht
Kunnus ist selbst ein SaaS-Produkt – und unterstützt gleichzeitig Hersteller dabei, die CRA-Compliance für ihre Produkte umzusetzen. Wir kennen die Herausforderungen von beiden Seiten: als SaaS-Anbieter, der den Sicherheitserwartungen seiner Kunden gerecht werden muss, und als Plattform, die den gesamten CRA-Compliance-Prozess digitalisiert.
Von der SBOM-Verwaltung über das Schwachstellenmonitoring bis zur Dokumentation und Audit-Vorbereitung – Kunnus bringt alle CRA-relevanten Prozesse in einer Plattform zusammen. So können sich Hersteller auf ihre Kernkompetenz konzentrieren, während die Compliance-Verwaltung automatisiert im Hintergrund läuft.
Sind Sie unsicher, ob und wie der CRA Ihr SaaS-Produkt betrifft? Starten Sie mit unserer kostenlosen CRA-Reifegradanalyse – sie gibt Ihnen innerhalb weniger Minuten Klarheit über Ihre Situation und die nächsten Schritte.