⚡ EU-Cyberresilienzgesetz

CRA-konform. Vor der Frist. Mit jedem Build.

Die Frist für die Schwachstellenmeldung im September 2026 ist nur noch 62 Tage entfernt. Interlynk automatisiert die SBOM-, Schwachstellenmanagement- und Dokumentationsanforderungen, die Sie erfüllen müssen.
NÄCHSTE CRA-FRIST

Verpflichtende Schwachstellenmeldung

Beginnt am 11. September 2026

000DAYS
00HOURS
00MINUTES

bis die 24-Stunden-Meldepflicht in Kraft tritt

NÄCHSTE CRA-FRIST

Verpflichtende Schwachstellenmeldung

Beginnt am 11. September 2026

000DAYS
00HOURS
00MINUTES

bis die 24-Stunden-Meldepflicht in Kraft tritt

NÄCHSTE CRA-FRIST

Verpflichtende Schwachstellenmeldung

Beginnt am 11. September 2026

000DAYS
00HOURS
00MINUTES

bis die 24-Stunden-Meldepflicht in Kraft tritt

ZUSAMMENFASSEND

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist das Gesetz der Europäischen Union, das eine Software Bill of Materials verpflichtend macht.

Wenn Sie ein Produkt mit digitalen Elementen in der EU verkaufen, müssen Sie eine maschinenlesbare SBOM erstellen, aktuell halten und immer dann vorlegen, wenn eine Marktüberwachungsbehörde danach fragt.

Zwei Daten sind entscheidend. Die Meldung von Schwachstellen beginnt am 11. September 2026, und die übrigen Pflichten, einschließlich der SBOM, gelten ab dem 11. Dezember 2027. Das Gesetz verlangt nur Ihre Top-Level-Abhängigkeiten. Doch genau das ist die Lücke, durch die Log4Shell durchgerutscht ist.

Was ist der Cyber Resilience Act?

Der EU Cyber Resilience Act (CRA) ist die erste horizontale EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Hardware- und Softwareprodukte mit digitalen Elementen vorschreibt. Er verlangt Secure-by-Design-Prinzipien, den Umgang mit Schwachstellen und Transparenz über den gesamten Lebenszyklus für jedes Produkt, das auf dem EU-Markt verkauft wird – unabhängig davon, wo der Hersteller ansässig ist.

EURO 15 Mio.

Maximale Geldstrafen bei Nichteinhaltung
Maximale Geldstrafen bei Nichteinhaltung

24 Stunden

Frist für Schwachstellenmeldung
Frist für Schwachstellenmeldung

10 Jahre

Aufbewahrungspflicht für SBOMs
Anforderung an die
SBOM-Aufbewahrung

90%

Produkte für Selbstbewertung qualifiziert
Produkte für Selbstbewertung qualifiziert

CRA-Compliance-Zeitplan

Wen betrifft das CRA?

Hersteller

Jede Partei, die Produkte mit digitalen Elementen unter eigenem Namen oder eigener Marke entwickelt, herstellt oder entwickeln lässt.

Importeure

In der EU ansässige Unternehmen, die ein Produkt mit digitalen Elementen unter dem Namen eines Herstellers aus einem Drittland auf dem EU-Markt in Verkehr bringen.

Händler

Jede Partei in der Lieferkette — außer dem Hersteller oder Importeur — die ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt.

Hinweis: Ein Importeur oder Vertreiber wird zum Hersteller, wenn er ein Produkt unter seinem eigenen Namen in Verkehr bringt oder es wesentlich verändert.

Hinweis: Ein Importeur oder Händler wird zum Hersteller, wenn er ein Produkt unter seinem

eigenen Namen in Verkehr bringt oder es wesentlich verändert.

Produktklassifizierung gemäß CRA

Standard (~90%)

Intelligente Lautsprecher, Festplatten, Bildbearbeitungssoftware
Intelligente Lautsprecher, Festplatten, Bildbearbeitungssoftware

Wichtig, Klasse I

Passwortmanager, Antivirensoftware, VPNs, Netzwerkschnittstellen
Passwortmanager, Antivirensoftware, VPNs, Netzwerkschnittstellen

Wichtig, Klasse II

Firewalls, IDS/IPS, Hypervisoren, Container-Laufzeiten
Firewalls, IDS/IPS, Hypervisoren, Container-Laufzeiten

Kritisch

Hardware-Sicherheitsmodule, Smart-Meter-Gateways, Chipkarten
Hardware-Sicherheitsmodule, Smart-Meter-Gateways, Chipkarten

SBOM-Anforderungen im Rahmen des CRA

Der Cyber Resilience Act schreibt eine umfassende Dokumentation der Software Bill of Materials vor. Die Verpflichtung ergibt sich aus Artikel 13 Absatz 1 Buchstabe h in Verbindung mit Anhang I Teil II Nummer 1 der Verordnung (EU) 2024/2847.
Hier sind die wichtigsten Anforderungen, die Sie erfüllen müssen:
☑️ Maschinenlesbares SBOM-Format (CycloneDX oder SPDX)
☑️ Alle direkten Abhängigkeiten enthalten
☑️ Genaue Versionsnummern für alle Komponenten
☑️ Eindeutige Identifikatoren für jede Komponente
☑️ 10-jährige Aufbewahrungspflicht für die Dokumentation
☑️ Regelmäßige Aktualisierungen bei Komponentenänderungen
☑️ Sichere Weitergabemechanismen an autorisierte Parteien
☑️ Integration mit Schwachstellenüberwachungssystemen
☑️ Maschinenlesbares SBOM-Format (CycloneDX oder SPDX)
☑️ Alle direkten Abhängigkeiten enthalten
☑️ Genaue Versionsnummern für alle Komponenten
☑️ Eindeutige Identifikatoren für jede Komponente
☑️ 10-jährige Aufbewahrungspflicht für die Dokumentation
☑️ Regelmäßige Aktualisierungen bei Komponentenänderungen
☑️ Sichere Weitergabemechanismen an autorisierte Parteien
☑️ Integration mit Schwachstellenüberwachungssystemen
☑️ Maschinenlesbares SBOM-Format (CycloneDX oder SPDX)
☑️ Alle direkten Abhängigkeiten enthalten
☑️ Genaue Versionsnummern für alle Komponenten
☑️ Eindeutige Identifikatoren für jede Komponente
☑️ 10-jährige Aufbewahrungspflicht für die Dokumentation
☑️ Regelmäßige Aktualisierungen bei Komponentenänderungen
☑️ Sichere Weitergabemechanismen an autorisierte Parteien
☑️ Integration mit Schwachstellenüberwachungssystemen
{
"bomFormat": "CycloneDX",
"specVersion": "1.5",
"serialNumber": "urn:uuid:...",
"version": 1,
"metadata": {
"timestamp": "2026-01-15T10:00:00Z",
"tools": [{
"vendor": "Interlynk",
"name": "SBOM-Generator"
}]
},
"components": [
{
"type": "library",
"name": "example-lib",
"version": "2.1.0",
"purl": "pkg:npm/example-lib@2.1.0"
}
]
}

Meldepflichten bei Schwachstellen

Das CRA führt strenge Fristen für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an die ENISA und Ihr CSIRT ein.

24 Std.

Frühwarnmeldung

72 Std.

Vollständige Schwachstellenmeldung

14 Tage

Abschlussbericht nach Behebung

1 Monat

Meldung schwerwiegender Vorfälle

Meldungen müssen über die von der ENISA verwaltete CRA Single Reporting Platform eingereicht werden — mit gleichzeitiger Benachrichtigung Ihres nationalen CSIRT.

Meldungen müssen über die von der ENISA verwaltete CRA Single Reporting Platform eingereicht werden — mit gleichzeitiger Benachrichtigung Ihres nationalen CSIRT.

NEU • KOSTENLOSE RESSOURCE

Sie wählen eine SBOM-Plattform für die CRA aus?

Sie wählen eine SBOM-Plattform für die CRA aus?

Finden Sie mit unserer kostenlosen Bewertungsrubrik die Plattform, die zu Ihnen passt.

Vorschau der Interlynk SBOM Platform Evaluation Scorecard
Eine Demo und ein Vertriebsgespräch sagen Ihnen nicht, ob eine SBOM-Plattform den Anforderungen der CRA standhält. Deshalb haben wir diese Rubrik entwickelt. Sie bietet eine herstellerneutrale Möglichkeit, jede Plattform zu prüfen, auch Ihre eigene, und zwar an dem, was die CRA und die BSI TR-03183-2 verlangen. Es gibt 66 Prüfpunkte in sieben Bereichen, jeder mit einer konkreten Anforderung aus der CRA oder dem BSI verknüpft, und der Übersichtsreiter übernimmt die Berechnung. Am Ende sehen Sie, wo jedes Tool stark ist und wo es Schwächen hat. Kritische Punkte werden markiert, damit kein K.-o.-Kriterium übersehen wird.

Generierung

Inhalt & Qualität

Lebenszyklus

Schwachstellen & VEX

Format

Integration

Über die CRA hinaus

Rubrik anfordern

Sagen Sie uns, wohin wir sie senden sollen, und wir schicken sie Ihnen per E-Mail.

Wie Interlynk hilft?

Wir bilden jede CRA-Anforderung auf eine konkrete Plattformfunktion ab — damit Sie Compliance nachweisen können, nicht nur behaupten.
CRA Requirement
Interlynk Capability
SBOM-Erstellung und -Pflege
Automatisierte SBOM-Verwaltung
Identifikation von Schwachstellen
Kontinuierliche Schwachstellenüberwachung
Nachverfolgung von Abhängigkeiten
Open-Source-Management
Verwaltung von Sicherheitsupdates
Lieferantenüberwachung
Technische Dokumentation
SBOM-Export in CycloneDX / SPDX
10-jährige Aufbewahrung
SBOM-Lebenszyklusverwaltung
CRA Requirement
Interlynk Capability
SBOM-Erstellung und -Pflege
Automatisierte SBOM-Verwaltung
Identifikation von Schwachstellen
Kontinuierliche Schwachstellenüberwachung
Nachverfolgung von Abhängigkeiten
Open-Source-Management
Verwaltung von Sicherheitsupdates
Lieferantenüberwachung
Technische Dokumentation
SBOM-Export in CycloneDX / SPDX
10-jährige Aufbewahrung
SBOM-Lebenszyklusverwaltung

Häufig gestellte Fragen

Was ist der EU Cyber Resilience Act?

Der CRA ist eine EU-Verordnung, die verpflichtende Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, die in der Europäischen Union verkauft werden. Er umfasst Hardware und Software und verlangt Secure-by-Design-Entwicklung, den Umgang mit Schwachstellen und fortlaufende Sicherheitsupdates über den gesamten Produktlebenszyklus.

Wann tritt der CRA in Kraft?

Ist SaaS vom CRA erfasst?

Welches SBOM-Format verlangt der CRA?

Ist Open-Source-Software vom CRA ausgenommen?

Wie hoch sind die Strafen bei Nichteinhaltung des CRA?

Wie unterscheidet sich der CRA von NIS2?

Müssen US-Unternehmen den CRA einhalten?

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

SBOM-Automatisierung, richtig gemacht.

SBOM-Automatisierung, richtig gemacht.

Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quantum-Zeitalter vor — alles auf einer vertrauenswürdigen Plattform.