CRA Software: Cyber Resilience Act Compliance verwalten
Was eine CRA-Software leisten muss — und wie Kunnus als Plattform SBOM, Schwachstellenbehandlung, ENISA-Meldung, Technische Dokumentation und EU-Konformitätserklärung an einem Ort abdeckt.
Schnellantwort
CRA-Software ist ein Werkzeug, mit dem Hersteller ihre Pflichten aus dem EU Cyber Resilience Act (Verordnung (EU) 2024/2847) verwalten: Produktinventar mit Risikoklassifizierung, SBOM-Erstellung, Schwachstellenüberwachung mit 24-Stunden-ENISA-Meldung, Technische Dokumentation nach Anhang VII und die EU-Konformitätserklärung — pro Produkt, über den gesamten Unterstützungszeitraum.
Was muss ein CRA-Tool abdecken?
Der CRA definiert Pflichten über den gesamten Produktlebenszyklus. Ein CRA-Tool, das nur einen Ausschnitt löst — etwa die SBOM-Erstellung — lässt die übrigen Pflichten manuell. Diese sechs Bausteine bilden den vollständigen Umfang:
Produktinventar & Risikoklassifizierung
Jedes Produkt mit digitalen Elementen, klassifiziert gegen Anhang III: Standardkategorie, wichtig (Klasse I/II) oder kritisch. Die Klassifizierung entscheidet den Bewertungsweg — Selbstbewertung oder notifizierte Stelle.
SBOM je Produkt (CycloneDX & SPDX)
Eine maschinenlesbare Software Bill of Materials gehört zu den Schwachstellenbehandlungs-Anforderungen aus Anhang I. Das Tool muss SBOMs pro Produkt erzeugen, versionieren und aktualisieren — nicht einmalig, sondern mit jedem Release.
Schwachstellenüberwachung & 24h-ENISA-Meldung
Neue CVEs müssen laufend den betroffenen Produkten zugeordnet werden. Bei aktiv ausgenutzten Schwachstellen ist die Frühwarnung an die ENISA binnen 24 Stunden fällig — ab dem 11. September 2026, auch für Produkte, die bereits auf dem Markt sind.
Technische Dokumentation nach Anhang VII
Produktbeschreibung, Design- und Entwicklungsdokumentation, Risikobewertung, angewandte Normen, Testberichte — strukturiert nach Anhang VII und über die Produktlebensdauer aktuell gehalten.
EU-Konformitätserklärung
Der Artikel-28-Output: eine Erklärung pro Produkt, gestützt auf die Technische Dokumentation. Sie trägt ab dem 11. Dezember 2027 Ihren EU-Marktzugang.
Zehn Jahre Audit-Trail
Technische Dokumentation und Konformitätserklärung sind mindestens zehn Jahre aufzubewahren. Die Marktaufsicht kann jederzeit anfragen — das Tool muss vollständige Nachweise auf Abruf liefern.
CRA-Software oder manuelle Compliance — was ändert sich wirklich?
Manuelle CRA-Compliance arbeitet mit Excel, Netzlaufwerken und Kalender-Erinnerungen. Das trägt bis etwa 10 Produktvarianten — darüber wächst der Aufwand super-linear. Der Vergleich je Pflicht — rechts das, was eine CRA-Software wie Kunnus übernimmt:
| Pflicht | Manuell (Excel) | Mit CRA-Software |
|---|---|---|
| SBOM je Produkt-Release | Stunden pro Release, wiederholt für jede Variante | Je Build-Artefakt erzeugt, fließt in alle betroffenen Varianten |
| CVE-Überwachung | Tägliche manuelle Sichtung von Advisories gegen Komponentenlisten | Automatisches CVE-zu-SBOM-Matching mit produktbezogenen Alerts |
| ENISA-24h-Frühwarnung | Fristrisiko — die Uhr startet mit Kenntnis, nicht mit Bürozeiten | Vorbereitete Workflows: betroffene Produkte, Vorlagen, Meldeweg |
| Anhang-VII-Dokumentation | Dasselbe Gerüst kopiert und driftet je Produkt auseinander | Eine Struktur, produktspezifische Nachweise werden eingerendert |
| Zehn-Jahre-Aufbewahrung | Ordnerstrukturen, die mit jeder Umorganisation erodieren | Versionierter Audit-Trail mit Zuordnung |
| Skalierung auf viele Varianten | Super-linearer Aufwand ab ~10 Varianten | Varianten-Vererbung — die 51. Variante dauert Stunden, nicht Wochen |
Kosten-Sicht: Unser Business-Case-Rechner modelliert beide Wege mit Ihrer Produktanzahl, Komponenten-Situation und Ihren Team-Sätzen — inklusive der Mehrkosten je Zulieferer-Komponente ohne SBOM. EU CRA Business Case & ROI-Rechner
Worauf sollten Hersteller bei der Auswahl von CRA-Software achten?
Der Markt für CRA-Tools ist jung und bewegt sich schnell. Fünf Kriterien trennen eine vollständige Lösung von einem Punkt-Werkzeug:
- 1
Voller Pflichten-Umfang statt nur SBOM
SBOM-Generatoren und CI/CD-Security-Tools decken die Artefakt-Ebene ab. Der CRA verlangt zusätzlich Risikobewertung, Meldeprozesse, Anhang-VII-Dokumentation und die Konformitätserklärung — prüfen Sie jeden Anbieter gegen die vollständige Liste oben.
- 2
Für die EU-Verordnung gebaut, nicht daran angepasst
Generische GRC-Suiten setzen den CRA auf Frameworks auf, die für andere Gesetze gebaut wurden. Ein CRA-natives Datenmodell (Anhang-III-Klassen, Unterstützungszeiträume, Artikel-14-Fristen) erspart die Übersetzungsarbeit.
- 3
Europäisches Hosting und Datensouveränität
Ihre SBOMs und Schwachstellendaten beschreiben Ihre Angriffsfläche. Hosting in Europa unter EU-Recht ist für viele Hersteller eine harte Anforderung — fragen Sie, wo die Daten liegen.
So hostet Kunnus in Deutschland & Europa - 4
Skaliert über Produktvarianten
Bei dutzenden Varianten macht produktweise Handpflege den Nutzen zunichte. Achten Sie auf geteilte Komponentenverfolgung und Varianten-Vererbung.
- 5
Meldefähigkeit vor September 2026
Die Artikel-14-Meldepflichten greifen zuerst — ab dem 11. September 2026, auch für Bestandsprodukte. Das Tool muss die 24h/72h/14-Tage-Kaskade jetzt unterstützen, nicht erst zur 2027-Deadline.
Kunnus: eine CRA-Software, gebaut als Plattform
Kunnus ist eine CRA-native Compliance-Plattform für Hersteller von Produkten mit digitalen Elementen, gehostet in Europa. Sie managt die Pflichten, führt die Workflows durch und gibt Ihrem Team das Tooling an die Hand: Produktinventar mit Anhang-III-Klassifizierung, SBOM-Management (CycloneDX & SPDX), laufende Schwachstellenüberwachung, ENISA-Meldung, Anhang-VII-Dokumentation und EU-Konformitätserklärung — mit zehn Jahren Audit-Trail.
Häufige Fragen zu CRA-Software
Was ist CRA-Software?+
CRA-Software ist ein Compliance-Werkzeug für den EU Cyber Resilience Act (Verordnung (EU) 2024/2847). Sie verwaltet die Hersteller-Pflichten pro Produkt: Risikoklassifizierung, SBOM-Erstellung, Schwachstellenbehandlung mit ENISA-Meldung, Technische Dokumentation nach Anhang VII und die EU-Konformitätserklärung — aufbewahrt über zehn Jahre.
Reicht ein SBOM-Tool für die CRA-Compliance?+
Nein. Die SBOM ist eine Anforderung innerhalb von Anhang I Teil II. Der CRA verlangt zusätzlich eine Cybersicherheits-Risikobewertung, einen Schwachstellenbehandlungs-Prozess, Meldungen an die ENISA binnen 24 Stunden, Technische Dokumentation nach Anhang VII und eine Konformitätserklärung nach Artikel 28. Reine SBOM-Tools decken die Artefakt-Ebene ab, nicht die Pflichten drumherum.
Ab wann brauchen Hersteller CRA-Software?+
Die Meldepflichten aus Artikel 14 gelten ab dem 11. September 2026 — auch für Produkte, die bereits auf dem Markt sind. Die vollen Pflichten gelten für jedes ab dem 11. Dezember 2027 in Verkehr gebrachte Produkt. Rückwärts gerechnet von einem 9–12-monatigen Compliance-Projekt gehört die Tool-Entscheidung ins Jahr 2026.
Was kostet CRA-Software im Vergleich zur manuellen Compliance?+
Der Treiber ist die Portfolio-Größe. Manuelle Compliance trägt Kosten pro Produkt, die sich mit jedem Release und jeder Zulieferer-Komponente ohne SBOM wiederholen. Unser Business-Case-Rechner modelliert beide Wege — gegen Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Umsatzes bei Nicht-Compliance.
Kann CRA-Software die Konformitätsbewertung ersetzen?+
Nein. Software erstellt und pflegt die Nachweise — Risikobewertung, SBOM, Dokumentation, Erklärung. Für wichtige Produkte (Klasse I ohne vollständig angewandte harmonisierte Normen sowie Klasse II) bleibt eine notifizierte Stelle beteiligt. Die Aufgabe der Software ist, diese Bewertung schnell und wiederholbar zu machen.
Lohnt sich CRA-Software auch für kleine Hersteller?+
Ja, mit passender Dimensionierung. Der CRA gilt unabhängig von der Unternehmensgröße; Kleinst- und Kleinunternehmen erhalten Erleichterungen (vereinfachte Dokumentation, Unterstützungsprogramme), aber keine Ausnahme. Bei kleinem Portfolio nimmt das Tool vor allem das Melde- und Dokumentationsrisiko — die Pflichten, an denen Bußgelder hängen.
Kunnus live sehen — 10 Minuten, ohne Login
Der Walkthrough zeigt die Plattform an einem realistischen Hersteller-Portfolio: Inventar, SBOMs, ein echter CVE-Treffer und der Weg zur Konformitätserklärung.
Lieber geführt? Vereinbaren Sie eine Demo mit unserem Team.