Verordnung (EU) 2024/2847 · Cyber Resilience Act

7 Monate, bis das Bußgeld echt wird.

Ab dem 11. September 2026 müssen Softwarehersteller aktiv ausgenutzte Schwachstellen binnen 24 Stunden an ENISA melden. Ab Dezember 2027 droht ohne CE-Kennzeichnung der Marktrückzug — und Bußgelder von bis zu 15 Millionen Euro. Wir machen Sie compliant, ohne dass Sie ein eigenes Compliance-Team aufbauen müssen.

Kostenlos: Bin ich betroffen? → 30-Min-Demo buchen

On-Premise möglich — Ihr Code bleibt bei Ihnen DSGVO & nDSG konform Bis zu 50 % Förderung für KMU

€15 Mio

Maximale Bußgelder bei Verstößen — oder 2,5 % des weltweiten Jahresumsatzes (Art. 64 CRA).

24 h

Meldefrist bei aktiv ausgenutzten Schwachstellen ab 11.09.2026.

11.12.2027

Ab diesem Datum darf in der EU nichts mehr ohne CE-Kennzeichnung verkauft werden.

~50 %

Anteil förderfähiger Kosten für CRA-Compliance über Bundes- und Länderprogramme.

Klingt das vertraut?

Sie kennen die Verordnung. Sie wissen, dass die Uhr läuft. Aber wer setzt das jetzt um?

Genau hier stehen die meisten KMU heute — irgendwo zwischen „Wir kümmern uns nächstes Quartal" und „Mein Entwicklungsteam hat keine Zeit für Compliance".

Keine SBOM, keine CE-Kennzeichnung. Eine Software-Stückliste in CycloneDX 1.5 / SPDX 2.3 ist Pflicht — und Voraussetzung für nahezu jede weitere Compliance-Anforderung.
Niemand weiß, ob Sie überhaupt CRA-pflichtig sind. Cloud-only? Mit Desktop-Komponente? Die Abgrenzung über Art. 3 Nr. 2 ist nicht trivial — und „nur SaaS" reicht nicht als Antwort.
Sie haben keinen Vulnerability-Disclosure-Prozess. Ab 11. September 2026 läuft die 24-Stunden-Uhr ab dem Moment, in dem ein Mitarbeiter Kenntnis hat. Ohne Prozess: Bußgeld.

Externer Beratungsaufwand sprengt das Budget. Eine vollumfängliche Gap-Analyse mit Kanzlei plus Audit kostet schnell 30 – 80 k €. Für den Mittelstand ist das ein eigenes Projekt.
Die Dokumentation ist nicht auditfertig. Annex VII verlangt eine technische Dokumentation, die direkt auf Artikel und Anhänge der Verordnung referenziert. Word-Dokumente reichen nicht.
Niemand weiß, was bei einem Vorfall passieren muss. 24h Frühwarnung → 72h Detailmeldung → 14 Tage Abschlussbericht. Drei Formulare, zwei Behörden, eine Lieferkette zum Informieren.

Was Sie davon haben

Sie behalten Ihren Fokus auf Ihrem Produkt. Wir liefern alles, was die EU verlangt.

Klare Antwort in 30 Minuten

Statt einer 80-seitigen Kanzlei-Analyse: Ein KI-gestützter Onboarding-Wizard sagt Ihnen heute, ob Ihr Produkt CRA-pflichtig ist, in welche Klasse es gehört und welches Konformitätsverfahren passt.

Auditfertige SBOM in 8 Minuten

Aus Ihrem Repository erzeugen wir CycloneDX 1.5 + SPDX 2.3 automatisch — konform zu BSI TR-03183-2, archiviert für 10+ Jahre. Statt 8 Wochen Excel-Krieg.

Sie wissen es vor ENISA

Täglicher Abgleich gegen NVD, OSV, GitHub Advisory, CISA KEV. KI-priorisierte Alerts mit CVSS + EPSS — bevor die 24-h-Uhr beginnt.

EU-Konformitätserklärung per Knopfdruck

Annex VII, Annex V, CE-Vorbereitung — die Plattform schreibt die Dokumente, Sie prüfen. Inklusive Artikel-Referenz pro Abschnitt.

Geführter 24h-Meldeworkflow

3-Stufen-Workflow mit vorausgefüllten ENISA-Formularen für BSI (DE), CERT.at (AT), CERT-CH (CH). Fristtracking, Audit-Log, automatische Eskalation.

Ihr Code verlässt nie Ihre Infrastruktur

On-Premise-Modus für Codeanalyse und SBOM-Generierung. Keine Uploads, keine Drittanbieter-Cloud. Source ist Ihr wertvollstes Gut — bei uns bleibt das so.

So sieht das bei Ihnen aus

Drei Wege durch den CRA — je nachdem, was Sie bauen.

Die Pflichten unterscheiden sich. Und damit auch unsere Empfehlung.

SaaS mit Desktop-Agent

„Wir sind doch nur Cloud."

„Sobald Sie eine Desktop-App, einen Agenten oder ein Browser-Plugin haben, wird Ihr Cloud-Backend zur Datenfernverarbeitungslösung. Sie sind RDPS — und damit voll CRA-pflichtig."

Beispiel: Ein Logging-Tool mit Agent auf den Endgeräten der Kunden. Konsequenz: SBOM-Pflicht für Agent und Backend, Schwachstellenmanagement für die gesamte Pipeline, Meldepflicht ab 09/2026.

SaaS-Abgrenzung im Detail →

Embedded / IoT-Hersteller

„Hardware mit kleiner Software-Schicht."

„IoT-Geräte sind nahezu immer CRA-pflichtig — und bei Sicherheitsfunktionen schnell in Klasse I oder II nach Anhang III."

Beispiel: Vernetzte Sensoren, Smart-Home-Hubs, Industrial Gateways. Konsequenz: Konformitätsbewertung durch notifizierte Stelle möglich, SBOM und Update-Mechanismus über die gesamte Lebensdauer.

Klassen-Check starten →

Software-Hersteller mit Komponenten-Geschäft

„Wir liefern eine Komponente, kein Endprodukt."

„Auch wer keine RDPS betreibt, hat unter Art. 13 CRA abgestufte Pflichten — Due-Diligence für Drittanbieter und Risikobewertung für nicht-funktionale Datenverbindungen."

Beispiel: SDK, Library, OEM-Software, White-Label-Lösung. Konsequenz: Vertragliche Weitergabe, Komponenten-SBOM, Lieferketten-Sicherheit.

Art. 13 erklärt →

Selbst machen vs. mit codAIx

Was kostet Sie eigentlich der Status quo?

Realität

Selbst aufbauen

Mit codAIx

CRA-Klassifizierung Ihres Produkts

2 – 6 Wochen Kanzlei-Beratung

30 Minuten geführter Wizard

SBOM-Generierung & Pflege

Manuell, Excel, ständig veraltet

Automatisch aus Ihrem Code, täglich

Schwachstellen-Monitoring

CVE-Newsletter und Glück

NVD + OSV + GitHub Advisory + CISA KEV, KI-priorisiert

Technische Dokumentation Annex VII

Word-Vorlage, 80 Seiten, manuell pflegen

KI-generiert, Artikel-referenziert, auditfertig

Vorfallmeldung an ENISA / BSI

Excel-Template, 24h-Stress, Risiko

3-Stufen-Workflow mit vorausgefüllten Formularen

Personentage bis Audit-Reife (typ. KMU)

90 – 180 PT

15 – 30 PT — und davon förderfähig bis 50 %

Wofür wir stehen

Sie kaufen keine Black Box. Sie kaufen Nachvollziehbarkeit.

Verordnungstreue Substanz

Jede Funktion ist direkt auf Artikel und Anhänge der Verordnung (EU) 2024/2847 zurückführbar. Keine vagen „Best Practices" — sondern Verordnungstext mit Spalten-Verweis.

KI mit Augenmaß

Unsere KI generiert Dokumente, klassifiziert Produkte und priorisiert Schwachstellen. Aber kritische Entscheidungen treffen Sie. Wir streben ISO 42001 an und entwickeln die Plattform selbst AI-Act-konform.

Wir leben, was wir predigen

Als Cybersecurity-Unternehmen arbeiten wir auf ISO 27001, ISO 27701 und ISO 42001 hin. Daten bleiben in der EU/CH, On-Premise möglich, Verschlüsselung in Transit und at Rest.

Förderung

Bis zu 50 % der CRA-Compliance-Kosten werden gefördert.

Über das EU-Programm SECURE, KfW ERP-Digitalisierung, go-digital, Digitalbonus Bayern, MID NRW, DIGI-Zuschuss Hessen und weitere Programme. Ein Enterprise-Paket inklusive Onboarding und Gap-Analyse kann so auf effektiv ca. 6.500 € sinken.

Förderprogramme entdecken →

Wissen rund um den CRA

Wir nehmen den Verordnungstext ernst — und schreiben darüber.

Acht Tiefenartikel zu RDPS-Abgrenzung, SBOM-Praxis, AI-Act-Schnittstelle, Meldepflichten und Hochrisiko-KI. Geschrieben für Entscheider, die wissen wollen, was wirklich gilt.

24.04.2026

CRA-Meldepflichten ab September 2026: 24-h-Frist im Detail

Wie die einheitliche Meldeplattform funktioniert, warum die Auslegung von „Kenntnis" entscheidend ist und welche dreistufigen Regimes parallel laufen.

CRAVulnerability DisclosureENISA

20.04.2026

SBOM für Softwarehersteller — was der CRA verlangt und wie man sie umsetzt

SBOM ist nicht optional. Welche Formate akzeptiert sind und wie Sie SBOM-Generierung in Ihre CI/CD-Pipeline integrieren.

SBOMCycloneDXSPDX

17.04.2026

Hochrisiko-KI unter dem CRA: Warum Art. 12 kein Freifahrtschein ist

Drei praktische Hürden, vier KI-spezifische Angriffsvektoren und drei Compliance-Szenarien direkt am Verordnungstext.

AI ActHochrisiko-KIArt. 12

Alle Artikel ansehen →

In 30 Minuten wissen Sie, was der CRA für Ihr Produkt bedeutet.

Kostenlose Erstberatung: Wir prüfen gemeinsam, ob Ihr Produkt unter den CRA fällt, in welche Klasse es gehört und welche nächsten Schritte sinnvoll sind.

CRA-Quick-Check starten → Demo anfragen