CRA Software

CRA Software: Cyber Resilience Act Compliance verwalten

Was eine CRA-Software leisten muss — und wie Kunnus als Plattform SBOM, Schwachstellenbehandlung, ENISA-Meldung, Technische Dokumentation und EU-Konformitätserklärung an einem Ort abdeckt.

Schnellantwort

CRA-Software ist ein Werkzeug, mit dem Hersteller ihre Pflichten aus dem EU Cyber Resilience Act (Verordnung (EU) 2024/2847) verwalten: Produktinventar mit Risikoklassifizierung, SBOM-Erstellung, Schwachstellenüberwachung mit 24-Stunden-ENISA-Meldung, Technische Dokumentation nach Anhang VII und die EU-Konformitätserklärung — pro Produkt, über den gesamten Unterstützungszeitraum.

Was muss ein CRA-Tool abdecken?

Der CRA definiert Pflichten über den gesamten Produktlebenszyklus. Ein CRA-Tool, das nur einen Ausschnitt löst — etwa die SBOM-Erstellung — lässt die übrigen Pflichten manuell. Diese sechs Bausteine bilden den vollständigen Umfang:

Produktinventar & Risikoklassifizierung

Jedes Produkt mit digitalen Elementen, klassifiziert gegen Anhang III: Standardkategorie, wichtig (Klasse I/II) oder kritisch. Die Klassifizierung entscheidet den Bewertungsweg — Selbstbewertung oder notifizierte Stelle.

SBOM je Produkt (CycloneDX & SPDX)

Eine maschinenlesbare Software Bill of Materials gehört zu den Schwachstellenbehandlungs-Anforderungen aus Anhang I. Das Tool muss SBOMs pro Produkt erzeugen, versionieren und aktualisieren — nicht einmalig, sondern mit jedem Release.

Schwachstellenüberwachung & 24h-ENISA-Meldung

Neue CVEs müssen laufend den betroffenen Produkten zugeordnet werden. Bei aktiv ausgenutzten Schwachstellen ist die Frühwarnung an die ENISA binnen 24 Stunden fällig — ab dem 11. September 2026, auch für Produkte, die bereits auf dem Markt sind.

Technische Dokumentation nach Anhang VII

Produktbeschreibung, Design- und Entwicklungsdokumentation, Risikobewertung, angewandte Normen, Testberichte — strukturiert nach Anhang VII und über die Produktlebensdauer aktuell gehalten.

EU-Konformitätserklärung

Der Artikel-28-Output: eine Erklärung pro Produkt, gestützt auf die Technische Dokumentation. Sie trägt ab dem 11. Dezember 2027 Ihren EU-Marktzugang.

Zehn Jahre Audit-Trail

Technische Dokumentation und Konformitätserklärung sind mindestens zehn Jahre aufzubewahren. Die Marktaufsicht kann jederzeit anfragen — das Tool muss vollständige Nachweise auf Abruf liefern.

CRA-Software oder manuelle Compliance — was ändert sich wirklich?

Manuelle CRA-Compliance arbeitet mit Excel, Netzlaufwerken und Kalender-Erinnerungen. Das trägt bis etwa 10 Produktvarianten — darüber wächst der Aufwand super-linear. Der Vergleich je Pflicht — rechts das, was eine CRA-Software wie Kunnus übernimmt:

PflichtManuell (Excel)Mit CRA-Software
SBOM je Produkt-ReleaseStunden pro Release, wiederholt für jede VarianteJe Build-Artefakt erzeugt, fließt in alle betroffenen Varianten
CVE-ÜberwachungTägliche manuelle Sichtung von Advisories gegen KomponentenlistenAutomatisches CVE-zu-SBOM-Matching mit produktbezogenen Alerts
ENISA-24h-FrühwarnungFristrisiko — die Uhr startet mit Kenntnis, nicht mit BürozeitenVorbereitete Workflows: betroffene Produkte, Vorlagen, Meldeweg
Anhang-VII-DokumentationDasselbe Gerüst kopiert und driftet je Produkt auseinanderEine Struktur, produktspezifische Nachweise werden eingerendert
Zehn-Jahre-AufbewahrungOrdnerstrukturen, die mit jeder Umorganisation erodierenVersionierter Audit-Trail mit Zuordnung
Skalierung auf viele VariantenSuper-linearer Aufwand ab ~10 VariantenVarianten-Vererbung — die 51. Variante dauert Stunden, nicht Wochen

Kosten-Sicht: Unser Business-Case-Rechner modelliert beide Wege mit Ihrer Produktanzahl, Komponenten-Situation und Ihren Team-Sätzen — inklusive der Mehrkosten je Zulieferer-Komponente ohne SBOM. EU CRA Business Case & ROI-Rechner

Worauf sollten Hersteller bei der Auswahl von CRA-Software achten?

Der Markt für CRA-Tools ist jung und bewegt sich schnell. Fünf Kriterien trennen eine vollständige Lösung von einem Punkt-Werkzeug:

  1. 1

    Voller Pflichten-Umfang statt nur SBOM

    SBOM-Generatoren und CI/CD-Security-Tools decken die Artefakt-Ebene ab. Der CRA verlangt zusätzlich Risikobewertung, Meldeprozesse, Anhang-VII-Dokumentation und die Konformitätserklärung — prüfen Sie jeden Anbieter gegen die vollständige Liste oben.

  2. 2

    Für die EU-Verordnung gebaut, nicht daran angepasst

    Generische GRC-Suiten setzen den CRA auf Frameworks auf, die für andere Gesetze gebaut wurden. Ein CRA-natives Datenmodell (Anhang-III-Klassen, Unterstützungszeiträume, Artikel-14-Fristen) erspart die Übersetzungsarbeit.

  3. 3

    Europäisches Hosting und Datensouveränität

    Ihre SBOMs und Schwachstellendaten beschreiben Ihre Angriffsfläche. Hosting in Europa unter EU-Recht ist für viele Hersteller eine harte Anforderung — fragen Sie, wo die Daten liegen.

    So hostet Kunnus in Deutschland & Europa
  4. 4

    Skaliert über Produktvarianten

    Bei dutzenden Varianten macht produktweise Handpflege den Nutzen zunichte. Achten Sie auf geteilte Komponentenverfolgung und Varianten-Vererbung.

  5. 5

    Meldefähigkeit vor September 2026

    Die Artikel-14-Meldepflichten greifen zuerst — ab dem 11. September 2026, auch für Bestandsprodukte. Das Tool muss die 24h/72h/14-Tage-Kaskade jetzt unterstützen, nicht erst zur 2027-Deadline.

Kunnus: eine CRA-Software, gebaut als Plattform

Kunnus ist eine CRA-native Compliance-Plattform für Hersteller von Produkten mit digitalen Elementen, gehostet in Europa. Sie managt die Pflichten, führt die Workflows durch und gibt Ihrem Team das Tooling an die Hand: Produktinventar mit Anhang-III-Klassifizierung, SBOM-Management (CycloneDX & SPDX), laufende Schwachstellenüberwachung, ENISA-Meldung, Anhang-VII-Dokumentation und EU-Konformitätserklärung — mit zehn Jahren Audit-Trail.

Häufige Fragen zu CRA-Software

Was ist CRA-Software?+

CRA-Software ist ein Compliance-Werkzeug für den EU Cyber Resilience Act (Verordnung (EU) 2024/2847). Sie verwaltet die Hersteller-Pflichten pro Produkt: Risikoklassifizierung, SBOM-Erstellung, Schwachstellenbehandlung mit ENISA-Meldung, Technische Dokumentation nach Anhang VII und die EU-Konformitätserklärung — aufbewahrt über zehn Jahre.

Reicht ein SBOM-Tool für die CRA-Compliance?+

Nein. Die SBOM ist eine Anforderung innerhalb von Anhang I Teil II. Der CRA verlangt zusätzlich eine Cybersicherheits-Risikobewertung, einen Schwachstellenbehandlungs-Prozess, Meldungen an die ENISA binnen 24 Stunden, Technische Dokumentation nach Anhang VII und eine Konformitätserklärung nach Artikel 28. Reine SBOM-Tools decken die Artefakt-Ebene ab, nicht die Pflichten drumherum.

Ab wann brauchen Hersteller CRA-Software?+

Die Meldepflichten aus Artikel 14 gelten ab dem 11. September 2026 — auch für Produkte, die bereits auf dem Markt sind. Die vollen Pflichten gelten für jedes ab dem 11. Dezember 2027 in Verkehr gebrachte Produkt. Rückwärts gerechnet von einem 9–12-monatigen Compliance-Projekt gehört die Tool-Entscheidung ins Jahr 2026.

Was kostet CRA-Software im Vergleich zur manuellen Compliance?+

Der Treiber ist die Portfolio-Größe. Manuelle Compliance trägt Kosten pro Produkt, die sich mit jedem Release und jeder Zulieferer-Komponente ohne SBOM wiederholen. Unser Business-Case-Rechner modelliert beide Wege — gegen Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Umsatzes bei Nicht-Compliance.

Kann CRA-Software die Konformitätsbewertung ersetzen?+

Nein. Software erstellt und pflegt die Nachweise — Risikobewertung, SBOM, Dokumentation, Erklärung. Für wichtige Produkte (Klasse I ohne vollständig angewandte harmonisierte Normen sowie Klasse II) bleibt eine notifizierte Stelle beteiligt. Die Aufgabe der Software ist, diese Bewertung schnell und wiederholbar zu machen.

Lohnt sich CRA-Software auch für kleine Hersteller?+

Ja, mit passender Dimensionierung. Der CRA gilt unabhängig von der Unternehmensgröße; Kleinst- und Kleinunternehmen erhalten Erleichterungen (vereinfachte Dokumentation, Unterstützungsprogramme), aber keine Ausnahme. Bei kleinem Portfolio nimmt das Tool vor allem das Melde- und Dokumentationsrisiko — die Pflichten, an denen Bußgelder hängen.

Kunnus live sehen — 10 Minuten, ohne Login

Der Walkthrough zeigt die Plattform an einem realistischen Hersteller-Portfolio: Inventar, SBOMs, ein echter CVE-Treffer und der Weg zur Konformitätserklärung.

Walkthrough starten

Lieber geführt? Vereinbaren Sie eine Demo mit unserem Team.