Neu: lynkctl — SBOM-Generator für Embedded-C/C++

⚡ EU-Cyberresilienzgesetz

CRA-konform. Vor der Frist. Mit jedem Build.

Die Frist für die Schwachstellenmeldung im September 2026 ist nur noch 97 Tage entfernt. Interlynk automatisiert die SBOM-, Schwachstellenmanagement- und Dokumentationsanforderungen, die Sie erfüllen müssen.

Kostenloser CRA-SBOM-Check

NÄCHSTE CRA-FRIST

Verpflichtende Schwachstellenmeldung

Beginnt am 11. September 2026

000DAYS

00HOURS

00MINUTES

bis die 24-Stunden-Meldepflicht in Kraft tritt

NÄCHSTE CRA-FRIST

Verpflichtende Schwachstellenmeldung

Beginnt am 11. September 2026

000DAYS

00HOURS

00MINUTES

bis die 24-Stunden-Meldepflicht in Kraft tritt

NÄCHSTE CRA-FRIST

Verpflichtende Schwachstellenmeldung

Beginnt am 11. September 2026

000DAYS

00HOURS

00MINUTES

bis die 24-Stunden-Meldepflicht in Kraft tritt

Was ist der Cyber Resilience Act?

Der EU Cyber Resilience Act (CRA) ist die erste horizontale EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Hardware- und Softwareprodukte mit digitalen Elementen vorschreibt. Er verlangt Secure-by-Design-Prinzipien, den Umgang mit Schwachstellen und Transparenz über den gesamten Lebenszyklus für jedes Produkt, das auf dem EU-Markt verkauft wird – unabhängig davon, wo der Hersteller ansässig ist.

EURO 15 Mio.

Maximale Geldstrafen bei Nichteinhaltung

24 Stunden

Frist für Schwachstellenmeldung

10 Jahre

Aufbewahrungspflicht für SBOMs

90%

Produkte für Selbstbewertung qualifiziert

CRA-Compliance-Zeitplan

Wen betrifft das CRA?

Hersteller

Jede Partei, die Produkte mit digitalen Elementen unter eigenem Namen oder eigener Marke entwickelt, herstellt oder entwickeln lässt.

Importeure

In der EU ansässige Unternehmen, die ein Produkt mit digitalen Elementen unter dem Namen eines Herstellers aus einem Drittland auf dem EU-Markt in Verkehr bringen.

Händler

Jede Partei in der Lieferkette — außer dem Hersteller oder Importeur — die ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt.

Hinweis: Ein Importeur oder Vertreiber wird zum Hersteller, wenn er ein Produkt unter seinem eigenen Namen in Verkehr bringt oder es wesentlich verändert.

Hinweis: Ein Importeur oder Händler wird zum Hersteller, wenn er ein Produkt unter seinem

eigenen Namen in Verkehr bringt oder es wesentlich verändert.

Produktklassifizierung gemäß CRA

Standard (~90%)

Intelligente Lautsprecher, Festplatten, Bildbearbeitungssoftware

Wichtig, Klasse I

Passwortmanager, Antivirensoftware, VPNs, Netzwerkschnittstellen

Wichtig, Klasse II

Firewalls, IDS/IPS, Hypervisoren, Container-Laufzeiten

Kritisch

Hardware-Sicherheitsmodule, Smart-Meter-Gateways, Chipkarten

SBOM-Anforderungen im Rahmen des CRA

Der Cyber Resilience Act schreibt eine umfassende Dokumentation der Software-Stückliste vor. Hier sind die wichtigsten Anforderungen, die Sie erfüllen müssen:

☑️ Maschinenlesbares SBOM-Format (CycloneDX oder SPDX)
☑️ Alle direkten Abhängigkeiten enthalten
☑️ Genaue Versionsnummern für alle Komponenten
☑️ Eindeutige Identifikatoren für jede Komponente
☑️ 10-jährige Aufbewahrungspflicht für die Dokumentation
☑️ Regelmäßige Aktualisierungen bei Komponentenänderungen
☑️ Sichere Weitergabemechanismen an autorisierte Parteien
☑️ Integration mit Schwachstellenüberwachungssystemen

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "timestamp": "2026-01-15T10:00:00Z",
    "tools": [{
      "vendor": "Interlynk",
      "name": "SBOM-Generator"
    }]
  },
  "components": [
    {
      "type": "library",
      "name": "example-lib",
      "version": "2.1.0",
      "purl": "pkg:npm/example-lib@2.1.0"
    }
  ]
}

Meldepflichten bei Schwachstellen

Das CRA führt strenge Fristen für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an die ENISA und Ihr CSIRT ein.

24 Std.

Frühwarnmeldung

72 Std.

Vollständige Schwachstellenmeldung

14 Tage

Abschlussbericht nach Behebung

1 Monat

Meldung schwerwiegender Vorfälle

Meldungen müssen über die von der ENISA verwaltete CRA Single Reporting Platform eingereicht werden — mit gleichzeitiger Benachrichtigung Ihres nationalen CSIRT.

Wie Interlynk hilft

Wir bilden jede CRA-Anforderung auf eine konkrete Plattformfunktion ab — damit Sie Compliance nachweisen können, nicht nur behaupten.

CRA Requirement

Interlynk Capability

SBOM-Erstellung und -Pflege

Automatisierte SBOM-Verwaltung

Identifikation von Schwachstellen

Kontinuierliche Schwachstellenüberwachung

Nachverfolgung von Abhängigkeiten

Open-Source-Management

Verwaltung von Sicherheitsupdates

Lieferantenüberwachung

Technische Dokumentation

SBOM-Export in CycloneDX / SPDX

10-jährige Aufbewahrung

SBOM-Lebenszyklusverwaltung

CRA Requirement

Interlynk Capability

SBOM-Erstellung und -Pflege

Automatisierte SBOM-Verwaltung

Identifikation von Schwachstellen

Kontinuierliche Schwachstellenüberwachung

Nachverfolgung von Abhängigkeiten

Open-Source-Management

Verwaltung von Sicherheitsupdates

Lieferantenüberwachung

Technische Dokumentation

SBOM-Export in CycloneDX / SPDX

10-jährige Aufbewahrung

SBOM-Lebenszyklusverwaltung

Häufig gestellte Fragen

Weitere Fragen? Kontaktieren Sie uns jetzt.

Das CRA ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt, die in der Europäischen Union verkauft werden. Es umfasst Hardware und Software und verlangt eine Entwicklung nach dem Prinzip Security-by-Design, einen strukturierten Umgang mit Schwachstellen sowie laufende Sicherheitsupdates über den gesamten Produktlebenszyklus hinweg.

Das CRA ist im Dezember 2024 in Kraft getreten. Die Meldepflichten für Schwachstellen beginnen im September 2026, die vollständige Anwendung aller Anforderungen im Dezember 2027.

Reine SaaS-Angebote liegen grundsätzlich außerhalb des direkten Anwendungsbereichs des CRA. Softwarekomponenten und Lösungen zur Datenfernverarbeitung, die ein Produkt mit digitalen Elementen unterstützen sollen, sind hingegen erfasst. Die Abgrenzung ist im Einzelfall nuanciert und hängt davon ab, ob die Software für die Funktion des Produkts wesentlich ist.

Das CRA verlangt SBOMs in einem gängigen maschinenlesbaren Format. CycloneDX und SPDX sind die beiden Industriestandards, die diese Anforderung erfüllen — und beide werden von Interlynk standardmäßig unterstützt.

Nicht-kommerzielle Open-Source-Software ist ausgenommen. Open-Source-Komponenten, die in kommerzielle Produkte integriert werden, jedoch nicht — Hersteller bleiben für die Sicherheit aller Komponenten verantwortlich, die sie ausliefern, einschließlich Open-Source-Abhängigkeiten.

Bei den schwerwiegendsten Verstößen können Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängt werden — je nachdem, welcher Betrag höher ist. Geringere Verstöße werden mit niedrigeren, aber immer noch erheblichen Bußgeldern geahndet.

NIS2 richtet sich an Betreiber wesentlicher und wichtiger Dienste und fokussiert die organisatorische Cybersicherheit. Das CRA hingegen richtet sich an die Produkte selbst und reguliert Hersteller von Hardware und Software, die auf dem EU-Markt in Verkehr gebracht werden.

Ja. Jedes Unternehmen — unabhängig vom Hauptsitz — das Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringt, muss das CRA einhalten. Hersteller außerhalb der EU benennen üblicherweise einen Bevollmächtigten mit Sitz in der EU.

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

SBOM-Automatisierung, richtig gemacht.

Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quantum-Zeitalter vor — alles auf einer vertrauenswürdigen Plattform.

Neu: lynkctl — SBOM-Generator für Embedded-C/C++

⚡ EU-Cyberresilienzgesetz

CRA-konform. Vor der Frist. Mit jedem Build.

Verpflichtende Schwachstellenmeldung

Verpflichtende Schwachstellenmeldung

Verpflichtende Schwachstellenmeldung

Was ist der Cyber Resilience Act?

EURO 15 Mio.

Maximale Geldstrafen bei Nichteinhaltung

Maximale Geldstrafen bei Nichteinhaltung

24 Stunden

Frist für Schwachstellenmeldung

Frist für Schwachstellenmeldung

10 Jahre

Aufbewahrungspflicht für SBOMs

Aufbewahrungspflicht für SBOMs

90%

Produkte für Selbstbewertung qualifiziert

Produkte für Selbstbewertung qualifiziert

CRA-Compliance-Zeitplan

Wen betrifft das CRA?

Hersteller

Jede Partei, die Produkte mit digitalen Elementen unter eigenem Namen oder eigener Marke entwickelt, herstellt oder entwickeln lässt.

Importeure

In der EU ansässige Unternehmen, die ein Produkt mit digitalen Elementen unter dem Namen eines Herstellers aus einem Drittland auf dem EU-Markt in Verkehr bringen.

Händler

Jede Partei in der Lieferkette — außer dem Hersteller oder Importeur — die ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt.

Produktklassifizierung gemäß CRA

Standard (~90%)

Intelligente Lautsprecher, Festplatten, Bildbearbeitungssoftware

Intelligente Lautsprecher, Festplatten, Bildbearbeitungssoftware

Wichtig, Klasse I

Passwortmanager, Antivirensoftware, VPNs, Netzwerkschnittstellen

Passwortmanager, Antivirensoftware, VPNs, Netzwerkschnittstellen

Wichtig, Klasse II

Firewalls, IDS/IPS, Hypervisoren, Container-Laufzeiten

Firewalls, IDS/IPS, Hypervisoren, Container-Laufzeiten

Kritisch

Hardware-Sicherheitsmodule, Smart-Meter-Gateways, Chipkarten

Hardware-Sicherheitsmodule, Smart-Meter-Gateways, Chipkarten

SBOM-Anforderungen im Rahmen des CRA

Der Cyber Resilience Act schreibt eine umfassende Dokumentation der Software-Stückliste vor. Hier sind die wichtigsten Anforderungen, die Sie erfüllen müssen:

Meldepflichten bei Schwachstellen

Das CRA führt strenge Fristen für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an die ENISA und Ihr CSIRT ein.

24 Std.

Frühwarnmeldung

72 Std.

Vollständige Schwachstellenmeldung

14 Tage

Abschlussbericht nach Behebung

1 Monat

Meldung schwerwiegender Vorfälle

Wie Interlynk hilft

Wir bilden jede CRA-Anforderung auf eine konkrete Plattformfunktion ab — damit Sie Compliance nachweisen können, nicht nur behaupten.

Häufig gestellte Fragen

Weitere Fragen? Kontaktieren Sie uns jetzt.

SBOM-Automatisierung, richtig gemacht.

SBOM-Automatisierung, richtig gemacht.

Lösungen

SBOM-Automatisierung

Open-Source-Management

Lieferantenüberwachung

Post-Quantum-Bereitschaft

Cyber-Resilienz-Gesetz

Embedded-SBOM-Generator

Ressourcen

Blogs

Open-Source-Toolset

Nachrichten

Vergleichen mit Dependency Track

Firma

Über uns

Datenschutzerklärung

Dokumente

Lösungen

SBOM-Automatisierung

Open-Source-Management

Lieferantenüberwachung

Post-Quantum-Bereitschaft

Cyber-Resilienz-Gesetz