Die Plattform

Eine Plattform. Fünf Module. Volle CRA-Abdeckung.

Der Cyber Resilience Act stellt sechs Kernpflichten an Hersteller — Risikobewertung, SBOM, Schwachstellenmanagement, Dokumentation, Konformitätserklärung, Meldepflichten. crAIready bildet jede einzelne in einem aufeinander abgestimmten Modul ab. Sie wählen, was Sie heute brauchen, und wachsen mit.

Live-Demo buchen → Preise ansehen
Modul 1 — CRA-Navigator

Klassifizierung in 30 Minuten — von der Erstbewertung zur klaren Konformitäts-Empfehlung.

Fällt Ihr Produkt unter den CRA? In welche Risikoklasse? Welches Konformitätsbewertungsverfahren brauchen Sie? Unser KI-gestützter Onboarding-Wizard führt Sie in 30 Minuten von der Erstbewertung zur klaren Handlungsempfehlung — auf Basis aller einschlägigen Produktkategorien aus Anhang III (Klasse I und II) und Anhang IV CRA, gemäss der Durchführungsverordnung (EU) 2025/2392 der Kommission vom 28. November 2025 (ABl. L vom 01.12.2025, in Kraft seit 21.12.2025), die die technischen Beschreibungen der Kategorien konkretisiert.

  • Geführter Klassifizierungs-Wizard entlang Anhang III Teil I (Klasse I, 19 Kategorien), Anhang III Teil II (Klasse II, 4 Kategorien) und Anhang IV CRA (kritische Produkte, 3 Kategorien)
  • Klarer Output: Standard, Klasse I oder Klasse II nach Anhang III CRA
  • Empfehlung Konformitätsverfahren direkt am Ergebnis
  • Roadmap mit Fristen: was bis 2026, was bis 2027

KI-Transparenz nach Art. 50 AI Act: Sie nutzen ein KI-gestütztes Klassifizierungs-Tool. Output-Empfehlungen basieren auf der CRA, Anhang III/IV und Ihren Eingaben. Die finale Klassifizierung ist eine Hersteller-Entscheidung.

Modul 2 — SBOM-Manager

CycloneDX 1.5 + SPDX 2.3 automatisch aus Ihrem Code — keine Excel-Pflege, kein Versions-Drift.

Software-Stücklisten sind CRA-Pflicht (Anhang I Teil II Nr. 1). crAIready generiert SBOMs automatisch aus Ihrem Code im Format CycloneDX 1.5 (ECMA-424) und SPDX 2.3 (ISO/IEC 5962:2021), verwaltet sie zentral und archiviert sie für 10+ Jahre — orientiert an BSI TR-03183 Teil 2 (v2.0.0, 09/2024).

  • Automatische Generierung aus Ihren Repositories — keine Excel-Pflege
  • Maschinenlesbar: CycloneDX 1.5 (ECMA-424), SPDX 2.3 (ISO/IEC 5962:2021)
  • Archivierung CRA-konform für 10+ Jahre
  • Lieferkette: SBOMs Ihrer Komponenten verknüpft mit Ihrer Master-SBOM
Modul 3 — Vulnerability Scanner

Täglicher Abgleich gegen NVD, OSV, GitHub Advisory und CISA KEV — Sie wissen es vor ENISA.

Anhang I Teil II CRA verlangt rasche Identifikation und Behebung von Schwachstellen. Ab September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden gemeldet werden — Sie brauchen ein System, das erkennt, bevor die Uhr beginnt.

  • Täglicher Abgleich aller SBOM-Komponenten gegen NVD, OSV, GitHub Advisory, CISA KEV
  • KI-gestützte Priorisierung mit kombiniertem CVSS + EPSS + Kontext-Score
  • Alerting bei neuen CVEs — bevor die Frist läuft
  • Patch-Tracking: behoben, geplant, akzeptiert
Modul 4 — Dokumentation & Audit

Anhang VII komplett, EU-Konformitätserklärung als Entwurf — versionsgenau, audit-fest.

KI-generierte technische Dokumentation nach Anhang VII CRA. Automatische Erstellung der EU-Konformitätserklärung als Entwurf — vom Hersteller zu prüfen und zu unterzeichnen (Art. 28 CRA, Anhang V CRA). Interaktive Checkliste für die wesentlichen Cybersicherheitsanforderungen aus Anhang I CRA.

  • Anhang VII komplett: Produktbeschreibung, Risikoanalyse, angewandte Normen
  • EU-DoC-Entwurf nach Anhang V CRA: maschinell aus Ihren Daten erzeugt
  • CE-Vorbereitung mit interaktiver Checkliste je Anforderung
  • Audit-Trail: jede Änderung versioniert, jeder Beleg verlinkt
Modul 5 — Incident Reporting

24h → 72h → 14 Tage in einem Workflow — drei Klicks, eine Plattform, vorbefüllte ENISA-Formulare.

Geführter 3-Stufen-Meldeworkflow (24h → 72h → 14 Tage) mit vorausgefüllten ENISA-Formularen. CSIRT-Meldevorlagen für DE (BSI), AT (CERT.at), CH (CERT-CH). Fristtracking mit automatischer Eskalation. Audit-Log als Nachweis.

  • 24h Frühwarnung → automatisch ans richtige CSIRT plus ENISA
  • 72h Detailmeldung mit Felder-Vorbefüllung aus Schritt 1
  • 14 Tage Abschlussbericht inklusive Lessons-Learned-Vorlage
  • Lieferketten-Information an betroffene Nutzer dokumentiert
Wie es zusammenwirkt

Jedes Modul kann einzeln genutzt werden — aber den vollen Wert entfaltet die Plattform im Zusammenspiel.

1

Klassifizieren mit Modul 1

Der Navigator liefert die Klassifizierung — die alle anderen Module konfiguriert.

2

SBOM aus Modul 2 speist Modul 3

Jede neue Komponente wird automatisch in den Schwachstellen-Scan aufgenommen.

3

Modul 4 bezieht aus 1, 2 und 3

Die Dokumentation wird live aus Klassifikation, SBOM und Vulnerability-Status erzeugt.

4

Modul 5 löst aus, wenn 3 Alarm schlägt

Eine kritische CVE startet automatisch den Meldeworkflow — mit allen Daten vorgefüllt.

Bereit für den nächsten Schritt?

Sehen Sie die Plattform in Aktion — in einer persönlichen 30-Minuten-Demo.

Demo anfragen →