Cyber Resilience Act (CRA)

Sie entwickeln oder vertreiben Software in der EU?

Noch 68 Tage, bis die neue CRA-Meldepflicht in Kraft tritt.

Ab dem 11. September 2026 müssen Sie aktiv ausgenutzte Schwachstellen binnen 24 Stunden ans BSI melden — bei Verstoß drohen bis zu 15 Mio. € Bußgeld.

Pflicht ist, was das Gesetz fordert. Die Kompetenz dazu liefern wir.

Der CRA ist kein "Set-and-Forget"-Projekt – es ist ein operativer Ernstfall.

Ab dem 11. September 2026 ändert sich die Spielregel für Software-Anbieter drastisch. Es reicht nicht mehr, ein SBOM-Verzeichnis zu pflegen. Sie müssen im Ernstfall reagieren – schnell und fehlerfrei. Ein einziger Schwachstellen-Alarm kann Ihr gesamtes Team lähmen, wenn die operative Fähigkeit zur Meldung fehlt. Unwissenheit über die Prozesse schützt nicht vor Bußgeldern.

So werden Sie meldefähig für den Cyber Resilience Act

Die meisten Software-Teams unterschätzen die operative Komplexität. Es geht nicht um die Theorie der Meldung, sondern um die Fähigkeit, sie in 24 Stunden durchzuführen.

  1. 1. Transparenz

    Herausforderung

    Wir wissen nicht, welche Software in allen Kunden-Versionen steckt.

    Lösung

    Bestandsaufnahme-Modul: visualisiert jede SBOM-Version und identifiziert kritische Komponenten.

  2. 2. Wachsamkeit

    Herausforderung

    Wir übersehen Schwachstellen oder identifizieren sie zu spät.

    Lösung

    Echtzeit-Monitoring: überwacht kontinuierlich alle erfassten SBOMs auf neue Sicherheitslücken (CVEs).

  3. 3. Automatisierung

    Herausforderung

    Wir brauchen Stunden, um die Meldung an das BSI zu formulieren.

    Lösung

    Automatisierter Meldeprozess: generiert auf Knopfdruck vorkonfigurierte Berichte für das BSI-Portal.

Mehr als nur Bußgelder: Schützen Sie Ihre Lieferkette und Reputation

15 Mio. € sind schmerzhaft. Aber das ist nur die Spitze des Eisbergs. Was kostet es Sie, wenn ein Großkunde Sie aus der Lieferkette entfernt, weil Sie nicht CRA-konform sind?

Häufige Fragen zum Cyber Resilience Act

Betrifft mich der Cyber Resilience Act überhaupt, wenn ich nur B2B verkaufe?

Ja, der CRA unterscheidet nicht nach B2B/B2C, nur nach Produktkategorie und Vertriebsweg.

Was passiert, wenn ich nicht rechtzeitig melde?

Das BSI und die Marktaufsicht können Maßnahmen bis hin zu Bußgeldern verhängen; die Meldepflicht selbst gilt unabhängig von der internen Vorbereitung.

Reicht eine SBOM einmal jährlich?

Nein, relevant ist der Stand je ausgelieferter Version — nicht ein statischer Jahres-Snapshot.

Was ist der Unterschied zwischen der 24h-, 72h- und 14-Tage-Frist?

24h: erste Meldung einer aktiv ausgenutzten Schwachstelle. 72h: erste Bewertung. 14 Tage: abschließender Bericht.

Ist dieser Check eine Rechtsberatung?

Nein, siehe Disclaimer — es ist eine strukturierte Selbsteinschätzung auf Basis Ihrer Angaben.

Wie viel Zeit spare ich durch den Check?

Unser Check dauert 2 Minuten. Er spart Ihnen Wochen der Recherche und operative Panik im Ernstfall.

Welchen konkreten Fahrplan erhalten wir nach dem Check?

Sie erhalten eine detaillierte Auswertung Ihrer Meldefähigkeit, konkrete Handlungsempfehlungen für Ihre SBOM-Pflege und einen Plan zur operativen Umsetzung der Meldung.

Was ist, wenn wir ein sehr kleines Team sind?

Der Check ist auf kleine und mittlere Teams optimiert. Er zeigt Ihnen, wie Sie mit minimalen Ressourcen die operativen Anforderungen erfüllen können.

Wie sicher sind unsere Daten beim Check?

Wir behandeln alle Daten streng vertraulich. Der Check dient ausschließlich dazu, Ihre Compliance-Lücken aufzuzeigen.

Nutzen Sie die verbleibende Zeit. Schaffen Sie jetzt Sicherheit.

In nur 2 Minuten erhalten Sie einen klaren Fahrplan, wie Ihr Team die 24-Stunden-Meldepflicht operativ meistern kann.