End-to-End CRA-Compliance
Die Verordnung (EU) 2024/2847 führt die umfassendsten Cybersicherheitsanforderungen ein, die je für Produkte mit digitalen Elementen erlassen wurden. Kunnus bildet jede Pflicht in einen umsetzbaren Workflow ab.
Was der CRA von Herstellern fordert
Der EU Cyber Resilience Act legt grundlegende Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen fest. Als Hersteller tragen Sie die Hauptverantwortung gemäß Artikel 13.
Produktklassifizierung (Artikel 6, Anhang III/IV)
Jedes Produkt muss in eine von vier Kategorien eingestuft werden: Standard, Wichtig Klasse I, Wichtig Klasse II oder Kritisch. Kunnus bietet automatisierte Klassifizierung basierend auf Produktattributen.
Security by Design (Anhang I, Teil I)
Produkte müssen mit angemessener Cybersicherheit entworfen werden. Kunnus bietet 50+ vordefinierte CRA-Kontrollen, direkt auf Anhang-I-Anforderungen gemappt.
Schwachstellenmanagement (Artikel 14, Anhang I Teil II)
Kontinuierliche Pflichten über die erwartete Produktlebensdauer (mind. 5 Jahre): Schwachstellen identifizieren, unverzüglich beheben, Fixes veröffentlichen, CVD-Richtlinie pflegen.
Meldepflicht an die ENISA (Artikel 14 Absatz 2)
Verpflichtende Meldung: 24-Stunden-Frühwarnung, 72-Stunden-Detailmeldung, 14-Tage-Abschlussbericht für aktiv ausgenutzte Schwachstellen.
Technische Dokumentation (Anhang VII)
Vollständige Dokumentation mit 13 Kategorien vor dem Inverkehrbringen, mindestens 10 Jahre aufzubewahren. Kunnus generiert exportfertige Pakete.
Konformitätsbewertung & CE-Kennzeichnung (Artikel 24–30)
Modul A für Standardprodukte, Modul B+C für Wichtige/Kritische Produkte. Kunnus trackt Ihren Konformitätspfad und bereitet die Dokumentation vor.
Fristen, die Sie nicht verpassen dürfen
Der CRA folgt einem gestaffelten Durchsetzungszeitplan. Jede verpasste Frist setzt Ihre Produkte und Organisation regulatorischen Maßnahmen aus.
10. Dezember 2024 – CRA tritt in Kraft
Die Verordnung ist veröffentlicht und die Uhr tickt. Die Vorbereitung sollte sofort beginnen.
11. September 2026 – Meldepflichten beginnen
Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden.
11. Dezember 2027 – Vollständige Durchsetzung
Alle Produkte müssen vollständig konform sein. Bußgelder: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
Warum eine Plattform – nicht Tabellen
Fragmentierte Prozesse scheitern an kontinuierlichen Pflichten
Der CRA ist keine einmalige Checklisten-Übung. Schwachstellen-Monitoring, SBOM-Updates, Meldepflichten und Nachweissammlung müssen parallel und unbefristet laufen.
Regulatorische Querverweise erzeugen unsichtbare Lücken
Ein einzelnes Produkt muss Anhang I Teil I, Anhang I Teil II, Anhang VII und Anhang VIII gleichzeitig erfüllen. Ohne systematisches Mapping bleiben Lücken unsichtbar.
Lieferketten-Komplexität potenziert die Herausforderung
Artikel 13(6) fordert Sorgfalt bei Drittkomponenten. Im großen Maßstab ist das ohne Automatisierung nicht beherrschbar.
Starten Sie Ihre CRA-Compliance-Reise heute
Ob Sie bei null anfangen oder manuelle Prozesse ersetzen – Kunnus bietet die Struktur und Automatisierung für effiziente Compliance.