24.04.2026
Am 11. September 2026 treten die ersten CRA-Meldepflichten in Kraft. Softwarehersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden melden — über zwei parallele dreistufige Regimes. Erfahren Sie, welche Fristen gelten, wie die einheitliche Meldeplattform funktioniert und warum die Auslegung des Begriffs 'Kenntnis' entscheidend ist.
CRAVulnerability DisclosureIncident ReportingENISA
20.04.2026
Die Software Bill of Materials (SBOM) ist nicht optional – sie ist eine Kernpflicht des Cyber Resilience Act. Wir zeigen, was der CRA konkret verlangt, welche Formate akzeptiert sind, und wie Sie SBOM-Generierung praktisch in Ihre CI/CD-Pipeline integrieren.
CRASBOMCyber Resilience ActSoftware Bill of Materials
17.04.2026
Art. 12 CRA verspricht eine elegante Abkürzung: CRA-Compliance deckt die Cybersicherheitsanforderungen des AI Act ab. Doch die drei Bedingungen der Konformitätsvermutung sind anspruchsvoller, als sie klingen — die Vermutung gilt nicht für Genauigkeit und Robustheit, Erwägungsgrund (51) verlangt die Berücksichtigung KI-spezifischer Angriffsvektoren, und harmonisierte Normen fehlen noch. Wir analysieren die drei praktischen Hürden, vier KI-spezifische Angriffsvektoren und drei Compliance-Szenarien direkt am Verordnungstext.
CRAAI ActHochrisiko-KIArt. 12 CRA
13.04.2026
Wer ein KI-Produkt auf dem EU-Markt anbietet, steht ab 2027 vor zwei Verordnungen gleichzeitig: dem CRA für Cybersicherheit und dem AI Act für KI-Risiken. Doch der Gesetzgeber hat Brücken gebaut — Art. 12 CRA und Art. 95 AI Act ermöglichen eine Konformitätsvermutung, die Doppelarbeit bei der Cybersicherheit vermeidet. Wir erklären die drei tatsächlichen Rechtsvoraussetzungen aus dem Verordnungstext, die kritische Einschränkung bei Genauigkeit und Robustheit — und warum die Vorbereitung auf beide Verordnungen parallel laufen muss.
CRAAI ActKIHochrisiko-KI
10.04.2026
Electron-Apps, Feature-gated SaaS, Browser-Extensions, SDKs mit Cloud-Backend: Zwischen dem klaren 'CRA-pflichtig' und dem klaren 'nur NIS-2' liegt eine Grauzone, in der sich zahlreiche DACH-Softwarehersteller bewegen. Wir analysieren fünf der schwierigsten Abgrenzungsfälle gegen die Primärquelle der EU-Kommission — und zeigen, warum die Antwort oft nicht 'keine Pflicht' lautet, sondern 'abgestufte Pflicht nach Art. 13 CRA'.
CRARDPSGrauzoneSaaS
03.04.2026
Ihr Produkt ist nach dem Zwei-Fragen-Test keine RDPS? Das heisst nicht, dass der CRA Sie nicht betrifft. Art. 13 CRA definiert drei abgestufte Pflichtniveaus — von voller RDPS-Compliance über Due-Diligence-Pflichten für Drittanbieter-Komponenten bis zur Risikobewertung für nicht-funktionale Datenverbindungen. Wir zeigen anhand konkreter Szenarien, was jede Stufe in der Praxis bedeutet, welche Verträge Sie brauchen und wie Sie die operative Umsetzung organisieren.
CRAArt. 13 CRADue DiligenceDrittanbieter
01.04.2026
Ab wann ist Server-Kommunikation CRA-pflichtig? Die EU-Kommission hat in ihrer Draft Communication erstmals einen strukturierten Test veröffentlicht, der die Abgrenzung zwischen CRA-pflichtiger Datenfernverarbeitung (RDPS) und reinen Cloud-Diensten operationalisiert. Wir zerlegen den kumulativen Zwei-Fragen-Test anhand der Primärquelle — einschliesslich der drei abgestuften Ergebnisse, die weit über ein simples Ja/Nein hinausgehen.
CRARDPSComplianceSaaS
28.03.2026
Ab Dezember 2027 gelten die CRA-Anforderungen für alle Produkte mit digitalen Elementen auf dem EU-Markt. Viele SaaS-Anbieter wiegen sich in Sicherheit — aber sobald eine Desktop-App, ein Agent oder ein Browser-Plugin existiert, wird das Cloud-Backend zur Datenfernverarbeitungslösung. Wir erklären die Abgrenzung, zeigen warum deutlich mehr Softwarehersteller betroffen sind als erwartet, und nennen drei Sofortmassnahmen.
CRASaaSCloudRDPS
