← Zurück zum Blog

Noch 7 Monate bis zum CRA — Wissen Sie, wo Ihre CVEs sind?

· Verimu
CRA-ComplianceCyber Resilience ActCVE-MonitoringSBOMEU-Regulierung

Der 11. September 2026 ist nicht der Tag, an dem der EU Cyber Resilience Act vollständig in Kraft tritt. Das ist der 11. Dezember 2027. Aber der 11. September 2026 ist der Zeitpunkt, ab dem die Schwachstellen-Meldepflichten des CRA rechtlich verbindlich werden — und diese Frist ist jetzt nur noch etwa sieben Monate entfernt.

Ab diesem Datum muss jeder Hersteller von Produkten mit digitalen Elementen, die in der EU verkauft werden, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntnisnahme an ENISA melden. Eine vollständige Benachrichtigung folgt innerhalb von 72 Stunden. Ein Abschlussbericht ist innerhalb von 14 Tagen nach Verfügbarkeit einer Korrekturmaßnahme fällig.

Dies gilt für bereits auf dem Markt befindliche Produkte. Es gilt für Software, die Sie im Jahr 2020 ausgeliefert haben. Es gilt unabhängig davon, ob Sie mit Ihrer CRA-Compliance begonnen haben.

Die versteckte Abhängigkeit, die die meisten Teams übersehen

Die meisten Organisationen planen rund um das Datum der vollständigen Compliance am 11. Dezember 2027. Dann treten SBOM-Anforderungen, Konformitätsbewertungen und CE-Kennzeichnungspflichten in Kraft. Die Überlegung lautet also: Wir haben Zeit.

Aber hier liegt das Problem. Um eine aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden zu melden, müssen Sie wissen:

  1. Welche Software-Komponenten in Ihrem Produkt enthalten sind
  2. Welche dieser Komponenten von einem bestimmten CVE betroffen sind
  3. Ob dieser CVE aktiv ausgenutzt wird

Ohne ein SBOM und einen Prozess zur Schwachstellenüberwachung können Sie nichts davon leisten. In der Praxis ist SBOM-Bereitschaft eine Voraussetzung für September 2026, auch wenn SBOMs formal erst ab Dezember 2027 vorgeschrieben sind.

Wie das Sicherheitsteam von Keysight es formuliert hat: „Man kann nicht melden, was man nicht kennt."

Wie der Meldezeitplan aussieht

Wenn ein Hersteller von einer aktiv ausgenutzten Schwachstelle in seinem Produkt erfährt, verlangt der CRA:

Frist Anforderung
24 Stunden Frühwarnung an CSIRT über ENISAs Single Reporting Platform
72 Stunden Vollständige Benachrichtigung einschließlich Schweregradbewertung und betroffener Produkte
14 Tage Abschlussbericht, sobald eine Korrektur- oder Minderungsmaßnahme verfügbar ist

ENISAs Single Reporting Platform wird bis September 2026 betriebsbereit sein. Sobald sie aktiv ist, gibt es keine Übergangsfrist.

Die Strafberechnung

Nichteinhaltung des CRA kann Bußgelder von bis zu €15 Millionen oder 2,5 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Zur Einordnung: Ein mittelgroßes europäisches Softwareunternehmen mit einem Jahresumsatz von €100 Mio. steht vor einer potenziellen Strafe von €2,5 Mio. — für eine einzige versäumte Meldung.

Selbst für Unternehmen deutlich unter dieser Umsatzschwelle kann der Reputationsschaden einer versäumten CRA-Meldung schlimmer sein als die Strafe selbst.

Die aktuelle Landschaft: Was es gibt

Wenn Sie beginnen, Werkzeuge zu evaluieren, lässt sich der Markt grob wie folgt einteilen:

Enterprise-SCA-Plattformen — Tools wie Snyk, Sonatype und FOSSA bieten Software Composition Analysis mit SBOM-Generierung als Feature. Diese Plattformen sind leistungsfähig und ausgereift, wurden aber für amerikanische Sicherheitsteams entwickelt und kosten oft €2.000–5.000+/Monat. CRA-spezifische Workflows (24h→72h→14d-Meldung, EUVD-Integration, ENISA-Berichterstattung) sind in der Regel nicht integriert.

SBOM-Lifecycle-Manager — Tools wie Cybeats SBOM Studio und sbomify konzentrieren sich auf SBOM-Verwaltung, Archivierung und Austausch. Sie sind stark auf der Dokumentationsseite, erfordern aber möglicherweise separate Tools für Schwachstellenerkennung und Alarmierung.

Open-Source-Generatoren — Syft, cdxgen und npm-sbom können SBOMs in CI/CD-Pipelines generieren. Sie sind kostenlos und flexibel, aber Sie müssen das CVE-Monitoring, die Alarmierung und den Meldeworkflow selbst aufbauen.

CRA-fokussierte Plattformen — eine neuere Kategorie von Tools, die speziell um CRA-Zeitpläne und -Anforderungen herum entwickelt wurden. ScanDog und Verimu fallen in diese Kategorie: speziell für europäische Compliance entwickelt, mit SBOM-Generierung, Schwachstellenüberwachung und regulatorischer Berichterstattung als Kernfunktionen statt als Add-ons.

Die Frage ist nicht, ob Sie ein Tool brauchen. Sondern welche Kompromisse Sie eingehen wollen: bauen vs. kaufen, Kosten vs. Abdeckung, CRA-nativ vs. nachgerüstet.

Was „CRA-ready" bis September wirklich bedeutet

Bis zum 11. September 2026 sollten Sie mindestens haben:

  1. Ein vollständiges SBOM für jedes Produkt auf dem Markt — das alle direkten und transitiven Abhängigkeiten im CycloneDX- oder SPDX-Format abdeckt
  2. Automatisierte Schwachstellenüberwachung — die Ihre SBOMs gegen NVD, EUVD und idealerweise CISA KEV für Signale zu aktiv ausgenutzten Schwachstellen abgleicht
  3. Einen Alarmierungsworkflow — der die richtigen Personen innerhalb von Stunden benachrichtigt, nicht Tagen
  4. Einen Meldeprozess — abgebildet auf den CRA-Zeitplan von 24h/72h/14d, mit Vorlagen für die ENISA Single Reporting Platform
  5. Dokumentation — die zeigt, dass dieser Prozess existiert, getestet wurde und vor der Frist operativ war

Wenn irgendetwas davon fehlt, sind Sie angreifbar.

Wie Verimu reinpasst

Verimu wurde speziell für dieses Problem entwickelt. Wir sind ein Team aus Medizintechnik- und Industriesoftware-Ingenieuren, die selbst durch die CRA-Compliance-Planung gegangen sind und festgestellt haben, dass die Werkzeuglücke enorm war — besonders für kleine und mittelgroße europäische Softwareteams, die kein €50.000/Jahr-Budget für Sicherheitstools haben.

Das kann Verimu heute:

  • SBOM-Generierung — CycloneDX 1.7, NTIA-konform, automatisch bei jedem Commit über GitHub App generiert
  • CVE-Monitoring — Abgleich gegen NVD, EUVD und CISA KEV
  • Echtzeit-Alarmierung — E-Mail-Benachrichtigungen an Ihr Team, wenn eine Schwachstelle Ihre Abhängigkeiten betrifft
  • CRA-Berichtsvorlagen — abgebildet auf den 24h/72h/14d-Benachrichtigungszeitplan
  • EU-gehostete Infrastruktur — Ihre Daten bleiben in Europa

Ab €49/Monat — nicht tausende.

Wir starten mit GitHub und npm/Node.js, mit C#, Java, Go und Rust auf der Roadmap.

Wenn Sie sehen möchten, wie ein konformes SBOM aussieht, bevor Sie sich festlegen, können Sie jetzt eines in Ihrem Browser erstellen — keine Anmeldung nötig.

Sieben Monate sind weniger Zeit, als es klingt. Besonders wenn der erste Monat für die Evaluierung draufgeht, der zweite für die Beschaffung, der dritte für die Integration, und Sie mindestens ein Quartal Vorlauf vor der Frist haben wollen.

Kostenlos starten → oder Demo buchen, um zu sehen, wie Verimu Sie vor September CRA-ready machen kann.