Produktversionen ändern sich.
Evidence muss Release Candidates, ausgelieferten Versionen und aktualisierten SBOMs folgen.
EU Cyber Resilience Act
Der Cyber Resilience Act verlangt von Herstellern, dokumentierte Evidence zu Cybersecurity-Prozessen über Produktversionen hinweg vorzuhalten. Die volle Anwendung beginnt im Dezember 2027. CRA Ledger hilft Teams, diese Workflows zu organisieren, ohne rechtliche Bewertung zu ersetzen.
CRA kurz erklärt
Gilt für
Hersteller, Importeure und Distributoren von Produkten mit digitalen Elementen in der EU
Durchsetzung
Dezember 2027 (Reporting ab September 2026)
Bußgelder
bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes
Zeitplan- und Bußgeldangaben dienen der Orientierung. Lesen Sie den CRA Guide für Quellenhinweise und offizielle Referenzen.
CRA Evidence Problem
Product-Security Evidence muss aktuell bleiben, während sich Produkte, Vulnerabilities, Remediation-Arbeit und Review-Entscheidungen verändern.
Evidence muss Release Candidates, ausgelieferten Versionen und aktualisierten SBOMs folgen.
Teams brauchen einen wiederholbaren Weg, neue Findings zu reviewen und festzuhalten, was passiert ist.
Disposition, Ownership und Remediation-Entscheidungen sollten nicht nur in Tickets leben.
Audit-Historie, Original-Uploads und Review-Aktivität müssen langfristig reviewfähig bleiben.
Betroffene Teams
CRA-Readiness-Arbeit betrifft häufig Commercial, Security, Engineering und Compliance. CRA Ledger unterstützt Evidence-Organisation, ohne rechtliche Feststellungen zu treffen.
Product-Version Evidence und Security-Review-Historie erhalten.
Product-Security Records koordinieren, ohne rechtliche Schlussfolgerungen zu überzeichnen.
Vulnerability Handling mit erhaltenem Review-Kontext betreiben.
Records für Readiness Reviews und Customer Evidence Requests organisieren.
Sehen, was sich geändert hat, was blockiert ist und was Aktion braucht.
Was CRA Ledger unterstützt
CRA Ledger hilft Teams, Product-Security Evidence zu organisieren, ohne rechtliche Bewertungen vorzunehmen.
Halten Sie SBOMs, Findings, Entscheidungen und Remediation-Kontext an die richtige Produktversion gebunden.
Laden oder registrieren Sie CycloneDX/SPDX Records und behalten Sie Original-Artefakt-Metadaten.
Verfolgen Sie CVE Review State, Begründung, Severity, Ownership und Review-Aktivität.
Halten Sie Remediation Updates, blockierte Arbeit und SLA-Druck neben Findings sichtbar.
Bewahren Sie User Activity, Review Changes, Imports und Evidence Events für Traceability.
Bereiten Sie Product-Security Summaries für CRA-Readiness Gespräche vor, ohne rechtliche Zertifizierung zu behaupten.
Grenzen
CRA Ledger unterstützt operative Readiness und Evidence Workflows. Es bietet keine Rechtsberatung, keine rechtliche Zertifizierung, keine Notified-Body-Freigabe und keinen Ersatz für formale Rechts- oder Compliance-Bewertung.
Next step
Prüfen Sie, wie SBOM Intake, Vulnerability Handling, Remediation Status und erhaltene Evidence zu Ihrem Produktportfolio passen.