Eine Plattform. Hunderte Produktvarianten. CRA-konform.
Bei 50, 100 oder 500 Produktvarianten bricht die EU-CRA-Compliance in jeder Excel-Tabelle zusammen. Kunnus ist die Plattform, die Multi-Produkt-Hersteller ohne exponentiellen Mehraufwand compliant hält.
Warum CRA-Aufwand pro Produkt nicht linear skaliert
Die Konformitätsbewertung unter dem CRA gilt pro Produkt. Auf dem Papier bedeuten zehn Produkte zehnmal Aufwand. In der Praxis ist die Beziehung super-linear — aus drei strukturellen Gründen.
Geteilte Software, multiplizierter Aufwand
60–80% der Software-Komponenten sind über Varianten geteilt. Ohne Plattform wird dasselbe SBOM-Update 500 Mal wiederholt. Mit Plattform fließt ein Upgrade automatisch in alle betroffenen Varianten.
CVE-Fan-out ohne Koordination
Eine Schwachstelle in OpenSSL 3.0.x betrifft jede Variante mit dieser Version. Ohne produktübergreifendes CVE-zu-SBOM-Matching vervielfacht sich der Triage-Aufwand — und die 24-Stunden-ENISA-Uhr tickt weiter.
Wesentliche-Änderungs-Kaskaden
Eine Änderung an einer geteilten Komponente löst die Konformitätsbewertung für jedes Produkt damit erneut aus. Ohne Dependency-Graph ist das Identifizieren der Kaskade eine manuelle Querreferenz-Übung.
Was Kunnus für Multi-Produkt-Portfolios leistet
Sechs Funktionsbausteine, gebaut für Portfolios, in denen ein Produkt-Update auf dutzende oder hunderte Varianten fließen muss — ohne die Nachvollziehbarkeit pro Produkt zu verlieren.
Produktkatalog mit Varianten-Vererbung
Produktfamilien mit gemeinsamen Baselines. Varianten erben SBOM-Basis, Schwachstellenbehandlungs-Prozess und Unterstützungszeitraum-Policy — und ergänzen nur das Varianten-Spezifische. Die 51. Variante hinzuzufügen dauert Stunden, nicht Wochen.
Variantübergreifende SBOM-Aggregation
SBOMs pro Build-Artefakt (CycloneDX oder SPDX). Komponenten über das Portfolio aggregieren, um geteilte Abhängigkeiten, Versions-Drift und End-of-Life-Risiken zu identifizieren. „Welche Produkte enthalten log4j 2.14.x?“ in Sekunden beantworten.
Zentrale Schwachstellen-Triage mit produktbewusstem Routing
Neue CVEs werden jeder betroffenen Variante automatisch zugeordnet. Severity wird im Produktkontext berechnet. Tickets routen zum verantwortlichen Owner. Per-Produkt-Nachvollziehbarkeit ohne manuelle Per-Produkt-Arbeit.
Wesentliche-Änderungs-Impact-Analyse
Bevor ein Entwickler eine Änderung an einer geteilten Komponente committet: Welche Varianten sind betroffen, welche Konformitätsbewertungen brauchen Neu-Validierung, wie sieht der kumulative Aufwand aus?
Risikoklassifizierung pro Produkt
Anhang-III-Risikoklassen variieren je Produkt. Eine vernetzte Industriesteuerung kann Klasse II sein, während ihr Zubehör in die Standardkategorie fällt. Die Plattform unterstützt varianten-spezifische Risikoklassen und Konformitätsmodul-Zuordnung.
Audit-fertige Nachweis-Erstellung
Vollständige Technische Dokumentation, EU-Konformitätserklärung, SBOM, Testberichte und Schwachstellenbehandlungs-Logs für jede Variante auf Knopfdruck. Zehn Jahre aufbewahrt. Bereit, wenn die Marktaufsicht anfragt.
Häufige Fragen
Ab wie vielen Produktvarianten lohnt sich eine Multi-Produkt-Plattform?+
Manuelle Werkzeuge (Excel und Shared-Drives) halten typischerweise bis etwa 10 Varianten durch. Zwischen 10 und 50 wird der manuelle Ansatz zur Dauerlast. Ab 50 wächst der Per-Varianten-Aufwand super-linear, und eine Plattform wird zur einzig nachhaltigen Option.
Können wir von Excel zu einer Plattform migrieren, ohne unsere Compliance-Historie zu verlieren?+
Ja, mit einer Fünf-Phasen-Migration: aktuellen Stand snapshotten, Datenmodell abbilden, aktives Portfolio zuerst migrieren, 30 Tage Parallelbetrieb und plattform-eigenen Audit-Trail festschreiben. Die vollständige Historie bleibt erhalten und wird für die zehn Jahre CRA-Aufbewahrungspflicht vorgehalten.
Bedeuten geteilte Komponenten geteilte Haftung über alle Varianten?+
Die Haftung unter dem CRA gilt pro Produkt, aber die Nachweise sind geteilt. Eine Schwachstelle in einer geteilten Komponente muss in jedem Produkt damit adressiert werden. Die Aufgabe der Plattform ist, die Per-Produkt-Nachvollziehbarkeit zu erzwingen, während die geteilte Arbeit effizient bleibt.
Wie geht Varianten-Vererbung mit Produkten unterschiedlicher Risikoklasse um?+
Varianten-Vererbung greift bei gemeinsamen Attributen (SBOM-Basis, Schwachstellenbehandlung, Unterstützungszeitraum). Die Risikoklasse wird pro Variante gesetzt, weil Anhang-III-Klassifizierung von produktspezifischen Faktoren abhängt wie Konnektivität, bestimmungsgemäßer Gebrauch und Kritikalität.
Wie hängt der Multi-Produkt-Ansatz mit dem Kunnus-Enterprise-Plan zusammen?+
Die hier beschriebenen Multi-Produkt-Fähigkeiten sind über Pläne hinweg verfügbar. Der Kunnus-Enterprise-Plan ergänzt rollenbasierte Zugriffsebenen, Multi-Team-Workflows, Integration in PLM- und CI/CD-Systeme und dedizierten Implementierungs-Support — für Portfolios mit hunderten von Varianten und mehreren Entwicklungs-Teams.
Bereit, das an Ihrem Portfolio zu sehen?
Sprechen Sie mit unserem Team über einen Walkthrough, der auf Ihre Variantenzahl zugeschnitten ist. Wir modellieren Ihr Portfolio, bilden die geteilten Komponenten ab und zeigen die Compliance-Kaskade in Echtzeit.
Kein Demo-Call nötig — wir können mit Ihrer Produktliste starten.