Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA, EU 2024/2847) führt EU-weite Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein — von vernetzten Geräten bis hin zu Software. Erstmals stehen damit Hersteller über den gesamten Produktlebenszyklus in der Pflicht.
Was der CRA verlangt
Abschnitt betitelt „Was der CRA verlangt“Zu den Kernpflichten für Hersteller zählen:
- Security by Design und sichere Voreinstellungen,
- ein dokumentierter Prozess zur Schwachstellenbehandlung über die gesamte Lebensdauer,
- die Bereitstellung einer Software-Bill-of-Materials (SBOM),
- das Melden aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle,
- die Bereitstellung von Sicherheitsupdates.
Die Rolle der SBOM
Abschnitt betitelt „Die Rolle der SBOM“Der CRA macht die SBOM von einer guten Praxis zur Anforderung. Wer Produkte mit digitalen Elementen in Verkehr bringt — oder solche Produkte von Lieferanten bezieht — muss wissen, welche Komponenten darin stecken und ob diese bekannte Schwachstellen aufweisen.
Wie Compliance-Cloud unterstützt
Abschnitt betitelt „Wie Compliance-Cloud unterstützt“| CRA-Anforderung | Funktion in Compliance-Cloud |
|---|---|
| SBOM verwalten | SBOM-Upload (CycloneDX/SPDX) |
| Schwachstellen erkennen | Automatischer Abgleich gegen CVE-Datenbank |
| Funde priorisieren & nachhalten | Schweregrad-Sortierung, Aufgaben, Workflows |
| Bei neuen Funden alarmieren | Warnregeln & Benachrichtigungen |
| Lieferanten-Reife abfragen | Fragebögen zur Produktsicherheit |
| Nachweise dokumentieren | Berichte & Protokolle für Audits |
Schwachstellen über den Lebenszyklus behandeln
Abschnitt betitelt „Schwachstellen über den Lebenszyklus behandeln“Der CRA denkt in Lebenszyklen, nicht in Momentaufnahmen. Genau dafür ist die Kombination aus SBOM-Analyse, Warnregeln und Workflows gebaut: Taucht in einer bereits hochgeladenen SBOM eine neue Schwachstelle auf, werden Sie benachrichtigt — auch lange nach dem ursprünglichen Upload — und können den Fund strukturiert abarbeiten.