Kunnus
About CRA
AssessmentFeaturesBlog
Sign InGet Started
Back to Blog
CRAComplianceSBOMSchwachstellenmanagementSecurity by DesignMaschinenbauIoTIndustrie 4.0CRA PlattformProduktsicherheit

EU Cyber Resilience Act: Warum manuelle Compliance scheitert und was Hersteller jetzt brauchen

Der EU Cyber Resilience Act stellt Hersteller digitaler Produkte vor umfassende Compliance-Anforderungen. Warum manuelle Umsetzung scheitert und wie Kunnus den Prozess automatisiert.

February 11, 2026
4 min read
Think Ahead Team

EU Cyber Resilience Act: Warum manuelle Compliance scheitert und was Hersteller jetzt brauchen

Die Deadline steht. Die Vorbereitung fehlt.

Am 11. September 2026 tritt die erste verbindliche Anforderung des EU Cyber Resilience Act (Verordnung (EU) 2024/2847) in Kraft: Hersteller von Produkten mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die zentrale Single Reporting Platform an den zuständigen CSIRT und ENISA melden. Die Fristen sind gestaffelt: Early Warning innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von 14 Tagen bei Schwachstellen bzw. einem Monat bei Vorfällen.

Ab dem 11. Dezember 2027 müssen alle CRA-Anforderungen vollständig erfüllt sein. Nicht-konforme Produkte dürfen nicht mehr in der EU in Verkehr gebracht werden. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Der CRA gilt branchenübergreifend für alle Produkte mit digitalen Elementen. Ausgenommen sind Sektoren mit bestehender spezifischer Regulierung: Medizinprodukte (MDR/IVDR), Fahrzeuge (UN R155/EU 2019/2144), Luftfahrt (EASA) und Marineausrüstung. Für Hersteller in der Industrieautomation, im Maschinenbau, in der IoT-Branche, der Energie- und Gebäudetechnik, der Landwirtschaftstechnik und der Telekommunikation bedeutet das: Der CRA gilt für Sie.

Was der CRA konkret verlangt

Die Anforderungen gehen weit über das hinaus, was die meisten Unternehmen heute abbilden. Im Kern verlangt die Verordnung:

  • Eine Software Bill of Materials (SBOM) für jedes Produkt
  • Dokumentierte Security-by-Design-Prozesse mit Risikoanalyse und Bedrohungsmodellierung
  • Kontinuierliches Schwachstellen-Monitoring mit Abgleich gegen öffentliche Datenbanken
  • Die mehrstufige Meldepflicht gemäß Artikel 14
  • Lieferantenbewertungen und Absicherung der Lieferkette
  • Sicherheitsunterstützung für die gesamte angegebene Produktlebensdauer
  • Lückenlose Nachweisdokumentation für Audits und Konformitätserklärungen

Entscheidend: Die Meldepflicht ab September 2026 gilt auch für Produkte, die bereits vor dem 11. Dezember 2027 auf dem Markt sind (Artikel 69 Absatz 3). Es gibt keinen Bestandsschutz für bestehende Produkte.

Warum manuelle CRA-Compliance nicht funktioniert

Ein mittelständischer Hersteller mit 50 Produktvarianten, die jeweils Dutzende Softwarekomponenten enthalten, steht vor folgender Realität: Jede Komponente muss in einem SBOM in standardisierten Formaten erfasst, kontinuierlich gegen Schwachstellendatenbanken abgeglichen und bei Bedarf innerhalb enger Fristen gemeldet werden. Gleichzeitig muss nachverfolgt werden, welche Produkte betroffen sind, wie die Behebung priorisiert wird und wie der gesamte Vorgang lückenlos dokumentiert wird.

Mit tabellenbasierten Ansätzen, fragmentierten Einzellösungen und manuellen Prozessen lässt sich das bei komplexen Produktportfolios mit gemeinsam genutzten Komponenten und tiefen Abhängigkeitsbäumen nicht zuverlässig abbilden. Die Konsequenz: Informationslücken, verzögerte Schwachstellenbehandlung, gefährdete Meldefristen und erhöhtes Auditrisiko.

Das ist die Rückmeldung, die wir in Hunderten Gesprächen mit Herstellern erhalten — unabhängig von Branche und Unternehmensgröße.

Die Kunnus-Plattform: CRA-Compliance als durchgängiger Prozess

Kunnus wurde für genau dieses Problem entwickelt: eine All-in-One-Plattform, die den gesamten CRA-Compliance-Prozess in einer Lösung abbildet.

Produktinventar und CRA-Klassifizierung

Das Produktinventar verwaltet Produktfamilien, Varianten und Versionen in hierarchischer Struktur. Ein geführter Klassifizierungsassistent ordnet jedes Produkt automatisch der richtigen CRA-Kategorie zu (Default, Klasse I, Klasse II, Kritisch). Bestehende Produktdaten lassen sich per CSV-Import oder über die Anbindung an vorhandene PLM-Systeme synchronisieren.

SBOM-Management

Das SBOM-Management unterstützt CycloneDX (JSON/XML) und SPDX (JSON/YAML/RDF) mit vollständiger Abhängigkeitsvisualisierung. Über die CI/CD-Integration werden SBOMs automatisch bei jedem Build aktualisiert. Lizenzrisiken und -konflikte werden automatisch identifiziert.

Schwachstellen-Tracking und Meldepflicht

Das Schwachstellen-Tracking gleicht SBOM-Komponenten automatisch gegen öffentliche Schwachstellendatenbanken ab. Konfigurierbares SLA-Tracking pro Schweregrad und die Verwaltung der mehrstufigen CRA-Artikel-14-Meldefristen (24h/72h/14 Tage) stellen sicher, dass keine Frist verpasst wird. Formale Risikoakzeptanz-Workflows mit Genehmigungsprozess und Audit-Trail dokumentieren bewusste Risikoentscheidungen. Eine Auswirkungsanalyse zeigt, welche Produkte betroffen sind, und ermöglicht produktspezifische Behebungsstrategien.

Sicherheitskontrollen und Dokumentation

Über 50 vordefinierte CRA-Sicherheitskontrollen mit automatischer Gap-Analyse beschleunigen die Implementierung. Kontrollen lassen sich gleichzeitig auf IEC 62443 und ISO 27001 mappen. Nachweise werden zentral verwaltet, Berichte und Konformitätserklärungen auf Knopfdruck generiert. Echtzeit-Benachrichtigungen über E-Mail, Slack und Microsoft Teams halten das Team auf dem Laufenden.

Lieferkette und Kundenportal

Das Lieferantenportal bewertet die CRA-Reife von Zulieferern anhand anpassbarer Frameworks. Das Kundenportal stellt Sicherheitshinweise und Produktsicherheitsinformationen über individuell gestaltete Portale bereit. Die Plattform ist als Cloud- oder On-Premise-Lösung verfügbar.

In vier Phasen zur Compliance

Der Einstieg folgt einem strukturierten Prozess:

Assess — Produkte importieren, gegen CRA-Anforderungen abgleichen und nach Risiko klassifizieren.

Implement — SBOM-Erstellung, Security-by-Design-Dokumentation und Bedrohungsmodellierung.

Monitor — Kontinuierliches Schwachstellen-Scanning, automatisierte ENISA-Meldung und Verfolgung regulatorischer Änderungen.

Support — Dedizierter Customer Success Manager, Onboarding mit Team-Training und laufende Plattform-Updates.

Das Ergebnis

Bis zu 70 Prozent weniger Compliance-Kosten. 10x schnellere Audits. Über 50 vordefinierte CRA-Kontrollen. Volle ENISA-Meldefähigkeit in unter 24 Stunden.

Jetzt starten

Der CRA wartet nicht. Die September-2026-Deadline für die Meldepflicht ist in weniger als sieben Monaten. Testen Sie Kunnus 14 Tage kostenlos — ohne Kreditkarte, EU-gehostet.

Kostenlos testen →

Kontakt: kunnus@think-ahead.tech

Share:

Continue Reading

EU Cyber Resilience Act: Why Manual Compliance Fails and What Manufacturers Need Now

The EU Cyber Resilience Act introduces sweeping compliance requirements for manufacturers of digital products. Why manual approaches fail at scale and how Kunnus automates the entire process.

Read more

Beyond the Hype: Practical Steps for OEMs to Achieve CRA Compliance

Moving from CRA awareness to action: A step-by-step guide for equipment manufacturers to achieve compliance with the EU Cyber Resilience Act, based on BSI TR-03183-1 guidelines.

Read more

The CRA is Coming: Why Equipment OEMs Can't Afford to Wait

The EU Cyber Resilience Act is set to transform how equipment manufacturers approach product security. With enforcement beginning in 2027, OEMs must act now to avoid penalties and market exclusion.

Read more

Ready to assess your CRA readiness?

Take our free readiness assessment and find out where your organization stands with CRA compliance — in just 15 minutes.

Start Free Assessment
Kunnus by Think Ahead

The complete EU CRA compliance platform for companies building products with digital elements. Reduce cost and time by 70%.

Kunnus is a product and brand by Think Ahead.

Features

  • Risk Analysis
  • SBOM Management
  • Vulnerability Tracking
  • Compliance Documentation

Industries

  • Industrial Machinery
  • IoT & Consumer Products
  • Energy & Building Tech
  • Industrial Components
  • Smart Farming
  • Telecom & Networking
  • Software & SaaS
  • Embedded Systems
  • Smart Home & Consumer

Resources

  • Assessment
  • CRA Guide
  • Blog

Company

  • About
  • Imprint

© 2026 Think Ahead Technologies GmbH. All rights reserved.

PrivacyCookiesImprint