EU Cyber Resilience Act

CRA Evidence muss aktuell bleiben, während sich Ihr Produkt verändert.

Der Cyber Resilience Act verlangt von Herstellern, dokumentierte Evidence zu Cybersecurity-Prozessen über Produktversionen hinweg vorzuhalten. Die volle Anwendung beginnt im Dezember 2027. CRA Ledger hilft Teams, diese Workflows zu organisieren, ohne rechtliche Bewertung zu ersetzen.

CRA kurz erklärt

Gilt für

Hersteller, Importeure und Distributoren von Produkten mit digitalen Elementen in der EU

Durchsetzung

Dezember 2027 (Reporting ab September 2026)

Bußgelder

bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes

Zeitplan- und Bußgeldangaben dienen der Orientierung. Lesen Sie den CRA Guide für Quellenhinweise und offizielle Referenzen.

CRA Evidence Problem

CRA ist nicht nur eine Dokumentationsaufgabe.

Product-Security Evidence muss aktuell bleiben, während sich Produkte, Vulnerabilities, Remediation-Arbeit und Review-Entscheidungen verändern.

Produktversionen ändern sich.

Evidence muss Release Candidates, ausgelieferten Versionen und aktualisierten SBOMs folgen.

Vulnerabilities erscheinen nach Release.

Teams brauchen einen wiederholbaren Weg, neue Findings zu reviewen und festzuhalten, was passiert ist.

Review-Entscheidungen brauchen Traceability.

Disposition, Ownership und Remediation-Entscheidungen sollten nicht nur in Tickets leben.

Evidence muss verfügbar bleiben.

Audit-Historie, Original-Uploads und Review-Aktivität müssen langfristig reviewfähig bleiben.

Betroffene Teams

Wer braucht Product-Security Evidence?

CRA-Readiness-Arbeit betrifft häufig Commercial, Security, Engineering und Compliance. CRA Ledger unterstützt Evidence-Organisation, ohne rechtliche Feststellungen zu treffen.

Hersteller

Product-Version Evidence und Security-Review-Historie erhalten.

Importeure und Distributoren

Product-Security Records koordinieren, ohne rechtliche Schlussfolgerungen zu überzeichnen.

Product-Security-Teams

Vulnerability Handling mit erhaltenem Review-Kontext betreiben.

Compliance-Teams

Records für Readiness Reviews und Customer Evidence Requests organisieren.

Engineering-/Plattform-Teams

Sehen, was sich geändert hat, was blockiert ist und was Aktion braucht.

Was CRA Ledger unterstützt

Operative Evidence Workflows für CRA-Readiness.

CRA Ledger hilft Teams, Product-Security Evidence zu organisieren, ohne rechtliche Bewertungen vorzunehmen.

Product-Version Evidence

Halten Sie SBOMs, Findings, Entscheidungen und Remediation-Kontext an die richtige Produktversion gebunden.

SBOM Intake und Retention

Laden oder registrieren Sie CycloneDX/SPDX Records und behalten Sie Original-Artefakt-Metadaten.

Vulnerability Review History

Verfolgen Sie CVE Review State, Begründung, Severity, Ownership und Review-Aktivität.

Remediation und SLA-Kontext

Halten Sie Remediation Updates, blockierte Arbeit und SLA-Druck neben Findings sichtbar.

Audit Activity

Bewahren Sie User Activity, Review Changes, Imports und Evidence Events für Traceability.

Readiness Summaries

Bereiten Sie Product-Security Summaries für CRA-Readiness Gespräche vor, ohne rechtliche Zertifizierung zu behaupten.

Grenzen

Was es nicht ersetzt.

CRA Ledger unterstützt operative Readiness und Evidence Workflows. Es bietet keine Rechtsberatung, keine rechtliche Zertifizierung, keine Notified-Body-Freigabe und keinen Ersatz für formale Rechts- oder Compliance-Bewertung.

Next step

Mappen Sie Ihren Product-Security Workflow auf CRA Evidence.

Prüfen Sie, wie SBOM Intake, Vulnerability Handling, Remediation Status und erhaltene Evidence zu Ihrem Produktportfolio passen.