Wann fällt eine SaaS-Lösung unter den CRA?

Eine SaaS-Lösung fällt unter den CRA, wenn sie die Kriterien der Datenfernverarbeitung erfüllt: Die Software wird vom Hersteller eines Produkts mit digitalen Elementen entwickelt und ohne sie könnte das Produkt eine seiner Funktionen nicht erfüllen. Beispiele sind eine Cloud-Plattform zur Fernsteuerung eines Smart-Home-Geräts oder eine App, die zwingend eine herstellerseitige Datenbank benötigt. Rein eigenständige Cloud-Dienste ohne funktionale Produktbindung fallen dagegen unter NIS-2, nicht unter den CRA.

Was ist der Unterschied zwischen CRA und NIS-2 für Softwareanbieter?

Der CRA reguliert Produkte mit digitalen Elementen — also Software, die auf dem Markt bereitgestellt wird. NIS-2 reguliert Cloud-Computing-Dienste und Dienstmodelle wie SaaS, PaaS und IaaS. Die Abgrenzung hängt davon ab, ob Ihre Lösung ein verteilbares Produkt ist oder ein reiner Dienst. Wenn Ihre SaaS-Lösung als notwendige Datenfernverarbeitung eines Produkts fungiert, greifen zusätzlich CRA-Anforderungen an Schwachstellenmanagement, Security by Design und die 24-Stunden-Meldepflicht an die ENISA.

Wie gehe ich mit Open-Source-Abhängigkeiten im SBOM um?

Sie sind als Hersteller für den vollständigen SBOM Ihres Produkts verantwortlich, einschließlich aller Open-Source-Abhängigkeiten. Das bedeutet: Jede direkte und transitive Abhängigkeit muss erfasst, versioniert und kontinuierlich auf Schwachstellen überwacht werden. Kunnus automatisiert diesen Prozess und integriert sich in gängige Paketmanager.

Welche Pflichten hat ein Hersteller, wenn seine SaaS-Lösung unter den CRA fällt?

Wenn eine SaaS-Lösung als Teil eines Produkts unter den CRA fällt, muss der Hersteller die Cloud-Komponente nach Security-by-Design-Prinzipien entwickeln, sie in die Risikobewertung des Gesamtprodukts einbeziehen, während des Unterstützungszeitraums (i. d. R. 5 Jahre) Sicherheitsupdates für die Cloud-Schnittstellen bereitstellen und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden.

Alle Branchen

Software & SaaS-Produkte

Software ist das Herzstück des Cyber Resilience Act: Ob Desktop-Anwendung, mobile App oder Cloud-basierte Plattform, Softwareprodukte sind explizit als Produkte mit digitalen Elementen erfasst. Für Softwarehersteller und SaaS-Anbieter bedeutet das neue Pflichten bei der Schwachstellenbehandlung, SBOM-Erstellung und Sicherheitsdokumentation, die mit agilen Release-Zyklen in Einklang gebracht werden müssen.

Jetzt CRA-Assessment starten

CRA-Relevanz für Software & SaaS

Standalone-Software ist im CRA explizit als Produkt mit digitalen Elementen definiert. SaaS-Lösungen fallen dann unter den CRA, wenn sie eine notwendige Komponente für die Funktion eines Produkts mit digitalen Elementen darstellen — das entscheidende Kriterium ist die sogenannte Datenfernverarbeitung. Rein eigenständige Cloud-Dienste ohne funktionale Bindung an ein Produkt fallen primär unter NIS-2.

Desktop-Anwendungen, mobile Apps und Bibliotheken sind als eigenständige Produkte mit digitalen Elementen direkt CRA-pflichtig
SaaS-Lösungen fallen unter den CRA, wenn sie als Datenfernverarbeitung für ein Produkt dienen — also vom Hersteller entwickelt wurden und ohne sie das Produkt eine seiner Funktionen nicht erfüllen könnte (z. B. Cloud-Steuerung eines Smart-Home-Geräts)
Rein eigenständige Cloud-Dienste (SaaS, PaaS, IaaS) ohne funktionale Produktbindung werden primär durch NIS-2 reguliert, nicht durch den CRA
Wird Software über ein SaaS-Modell vertrieben und ist die Cloud-Komponente für die Kernfunktion essenziell, greifen CRA-Anforderungen an Schwachstellenmanagement und Security by Design
Die Verbreitung über App Stores oder Package Registries entbindet nicht von der CRA-Pflicht: Der Hersteller bleibt als Inverkehrbringer verantwortlich

Compliance-Herausforderungen für Softwarehersteller

Continuous Deployment vs. Compliance-Anforderungen

Agile Teams liefern täglich oder wöchentlich neue Releases. Die CRA-Anforderungen an Dokumentation, Risikobewertung und SBOM-Aktualität müssen in bestehende CI/CD-Prozesse integriert werden, ohne die Entwicklungsgeschwindigkeit zu bremsen.

Open-Source-Abhängigkeitsmanagement

Moderne Software basiert auf hunderten Open-Source-Bibliotheken mit transitiven Abhängigkeiten. Die vollständige Erfassung, Lizenzprüfung und Schwachstellenüberwachung dieser Abhängigkeitsbäume ist ohne Automatisierung nicht leistbar.

Vulnerability Disclosure für Cloud-gehostete Produkte

Bei SaaS-Produkten verschwimmt die Grenze zwischen Produkt und Infrastruktur. Die Koordination von Schwachstellenmeldungen, wenn sowohl serverseitige als auch clientseitige Komponenten betroffen sind, erfordert klare Prozesse.

Produktgrenzen bei SaaS definieren

Der CRA bezieht sich auf Produkte, doch bei SaaS ist die Abgrenzung zwischen Produkt und Dienstleistung komplex. Hersteller müssen klar definieren, welche Komponenten unter den CRA fallen und welche als reine Dienstleistung gelten.

Wie Kunnus Softwarehersteller unterstützt

Automatisierte SBOM-Generierung aus CI/CD-Pipelines

Kunnus integriert sich direkt in Ihre Build-Pipelines und generiert bei jedem Release automatisch einen aktuellen SBOM. Änderungen an Abhängigkeiten werden sofort erkannt und dokumentiert.

Kontinuierliche Schwachstellenüberwachung

Kunnus überwacht alle Abhängigkeiten in Ihren SBOMs in Echtzeit gegen bekannte Schwachstellendatenbanken und priorisiert Handlungsbedarf nach Schweregrad und Erreichbarkeit der betroffenen Komponente.

Release-synchrone Compliance-Dokumentation

Die Plattform hält Ihre CRA-Dokumentation automatisch mit Ihren Releases synchron. Risikobewertungen, Sicherheitshinweise und Konformitätsnachweise werden bei jeder Produktänderung aktualisiert.

Strukturierte Vulnerability-Disclosure-Prozesse

Kunnus implementiert den gesamten Vulnerability-Disclosure-Workflow: Von der Entgegennahme externer Meldungen über die interne Bewertung bis zur fristgerechten Meldung an die ENISA und die Benachrichtigung betroffener Nutzer.

Alle Funktionen entdecken

Das könnte Sie auch interessieren

CRA erklärt — Vollständiger Leitfaden CRA-Countdown: Ihre 2026–2027-Compliance-Roadmap Praktische Schritte zur CRA-Compliance für OEMs

Häufig gestellte Fragen

Häufige Fragen zur CRA-Compliance in dieser Branche.

CRA-Readiness Ihrer Software prüfen

Ermitteln Sie in wenigen Minuten, wie gut Ihre Softwareprodukte und SaaS-Angebote auf den Cyber Resilience Act vorbereitet sind und welche Schritte als Nächstes anstehen.

Jetzt CRA-Assessment starten

Software & SaaS-Produkte

CRA-Relevanz für Software & SaaS