Cyber Resilience Act
CRA Compliance.
Software auch nach dem
11.12.27 verkaufen!
Der Cyber Resilience Act ist die bedeutendste europäische Cybersicherheitsgesetzgebung für Softwaresicherheit. Ab dem 11. Dezember 2027 muss jeder Hersteller, der Software auf dem EU-Markt anbietet, die Konformität nachweisen.
Ohne CRA Compliance bedeutet das:
Kein Verkauf in der EU.
Geltungsbereich
Wen betrifft der CRA?
Der CRA gilt für Hersteller von Produkten mit digitalen Elementen, die mit dem Internet verbunden sind. Das bedeutet: Jedes Unternehmen, das Software auf dem europäischen Markt anbietet und nicht bereits unter bestehende Regulierung fällt, muss CRA Compliance nachweisen. Firmware, Desktop-Anwendungen, SDKs, IoT-Geräte — ohne Konformität kein Vertrieb.
CEOs & CTOs
Fehlende Compliance bedeutet finanzielles Risiko:
Produkte ohne CRA Compliance dürfen nach Ablauf der Frist nicht mehr verkauft werden. Strafen bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes können die Folge sein.
Entwickler & DevSecOps Engineers
Der Entwicklungsprozess muss nachweisbar sicher werden:
Der CRA verlangt einen sicheren Softwareentwicklungslebenszyklus (SSDLC), kontinuierliches Schwachstellenmanagement und maschinenlesbare SBOMs — alles auditierbar und dokumentiert.
Anhang I
Was fordert der CRA?
Der Cyber Resilience Act definiert wesentliche Cybersicherheitsanforderungen.
Hier sind die zentralen Pflichten, die Ihren Softwareentwicklungsprozess direkt betreffen.
Secure by Design & Default
Produkte müssen so konzipiert, entwickelt und hergestellt werden, dass ein angemessenes Cybersicherheitsniveau entsprechend der jeweiligen Risiken gewährleistet ist. Dazu gehören die Minimierung von Angriffsflächen, die Umsetzung des Least-Privilege-Prinzips und sichere Standardkonfigurationen.
In der Praxis: Sie brauchen einen dokumentierten Secure Development Lifecycle — nicht als PDF in der Schublade, sondern als gelebten Prozess, der sich in Ihrer CI/CD-Pipeline und Ihrem Entwicklungsworkflow widerspiegelt.
Schwachstellenmanagement
Hersteller müssen Schwachstellen identifizieren und dokumentieren — auch in Drittanbieter-Komponenten. Sie müssen Schwachstellen unverzüglich beheben, regelmäßige Sicherheitstests durchführen und eine koordinierte Schwachstellenoffenlegung (CVD) bereitstellen.
In der Praxis: Sie benötigen kontinuierliches Vulnerability Scanning über Quellcode, Abhängigkeiten, Container und Infrastruktur hinweg — inklusive eines Triage- und Behebungsworkflows mit lückenloser, auditierbarer Dokumentation.
Software Bill of Materials (SBOM)
Der CRA verpflichtet Hersteller, Komponenten und Abhängigkeiten ihrer Produkte zu identifizieren und zu dokumentieren — unter anderem durch die Erstellung einer SBOM in einem gängigen, maschinenlesbaren Format wie CycloneDX oder SPDX.
In der Praxis: SBOMs müssen für jedes Release erzeugt werden, korrekt sein und sowohl direkte als auch transitive Abhängigkeiten abdecken. Außerdem müssen neu veröffentlichte CVEs gegen vergangene SBOMs abgeglichen werden, um betroffene, bereits ausgelieferte Produkte zu erkennen.
Sicherheitsupdates & Patch-Management
Hersteller müssen sicherstellen, dass Schwachstellen durch Sicherheitsupdates behoben werden können. Updates sind kostenlos bereitzustellen, und Nutzer müssen über die sicherheitsrelevanten Auswirkungen informiert werden.
In der Praxis: Sie brauchen einen Prozess, der erkannte Schwachstellen mit direkten Patches verknüpft, den Behebungsstatus nachverfolgt und sicherstellt, dass Updates Ihre Kunden zeitnah erreichen.
Konformitätsbewertung & technische Dokumentation
Je nach Produktkategorie kann die CRA Compliance eine Selbstbewertung, eine Drittanbieterbewertung oder eine EU-Baumusterprüfung erfordern. In jedem Fall muss der Hersteller eine technische Dokumentation vorhalten, die die Konformität nachweist.
In der Praxis: Sie brauchen Nachweise. Jeder Scan, jede Triage-Entscheidung, jede durchgesetzte Richtlinie — alles muss dokumentiert und abrufbar sein. „Das machen wir schon, vertrauen Sie uns" ist keine Antwort für einen Auditor.
DevGuard & CRA
So ermöglicht DevGuard Ihre CRA Compliance
DevGuard ist eine Open-Source-Plattform für moderne Software Security. Sie macht kontinuierliche Sicherheit — und deren Nachweis — zum natürlichen Nebenprodukt Ihres Entwicklungsprozesses, nicht zur nachträglichen Mehrarbeit.
Automatisiertes Vulnerability Scanning über den gesamten Stack
SCA, SAST, Container-Scanning, IaC-Scanning, Secret Detection und DAST — alles in einer einheitlichen Pipeline integriert, die in Ihrer bestehenden CI/CD läuft.
SBOM-Erstellung & Lifecycle-Management
CycloneDX-SBOMs werden automatisch als Teil Ihrer CI/CD-Pipeline erzeugt. Pro Release gespeichert und kontinuierlich gegen neu veröffentlichte CVEs abgeglichen — auch rückwirkend.
Risikobasierter Triage- & Behebungsworkflow
Findings bewerten, priorisieren und deren Behebung nachverfolgen. Jede Triage-Entscheidung wird mit Zeitstempel, Begründung und verantwortlicher Person dokumentiert.
Policy-as-Code & automatisierte Compliance-Prüfungen
Definieren Sie Sicherheitsrichtlinien, die automatisch über alle Ihre Projekte hinweg durchgesetzt werden. Nicht-konformer Code erreicht niemals die Produktion — durchgesetzt durch Code, nicht durch Vertrauen auf die Entwickler-Disziplin.
Signierte Attestierungen & verifizierbare Nachweise
In-toto-Attestierungen und Sigstore-basierte Signaturen erzeugen kryptographisch verifizierbare, manipulationssichere Audit-Trails, die Ihre Konformitätsdokumentation stärken.
Native GitHub- & GitLab-Integration
Integriert sich direkt in Ihre bestehenden Repos und CI/CD-Pipelines. Kein separates Portal — CRA Compliance wird zum natürlichen Nebenprodukt Ihres Workflows.
Wichtige Termine
Die Uhr tickt.
Unternehmen, die erst Ende 2027 mit der Implementierung eines sicheren Entwicklungslebenszyklus, eines Schwachstellenmanagements und einer SBOM-Verwaltung beginnen, werden sich in einem Wettlauf befinden, den sie nicht gewinnen können. CRA Compliance erfordert Prozessreife, Tooling-Integration und Team-Adoption — nichts davon geschieht über Nacht.
CRA in Kraft getreten
2024-11-20
Veröffentlichung im Amtsblatt der EU
Meldepflichten beginnen
2026-09-11
Die Meldung aktiv ausgenutzter Schwachstellen wird verpflichtend
Vollständige Anwendung
2027-12-11
Alle CRA-Anforderungen werden für jedes Produkt verbindlich
Praxisbeweis
Wir nutzen DevGuard selbst für unsere CRA Compliance
Wir leben, was wir predigen. DevGuard selbst wird mit DevGuard entwickelt. Jede Anforderung, die der CRA an Hersteller von Produkten mit digitalen Elementen stellt, erfüllen wir in unserem eigenen Entwicklungsprozess.
Kontinuierliches Vulnerability Scanning
Jeder Commit in der DevGuard-Codebasis löst automatisch SCA, SAST, Container-Scanning und Secret Detection aus.
Automatisierte SBOM-Erstellung
Jedes DevGuard-Release enthält eine CycloneDX-SBOM, die automatisch in unserer CI/CD-Pipeline erzeugt wird.
Risikobasierter Triage-Workflow
Gefundene Schwachstellen durchlaufen unseren Triage-Workflow. Jedes Finding wird bewertet, priorisiert, zugewiesen und bis zur Behebung nachverfolgt.
Richtliniendurchsetzung
Wir definieren Sicherheitsrichtlinien, die unsere Releases absichern. Diese werden automatisch in der Pipeline durchgesetzt und sorgen für eine konsequente Compliance-Einhaltung aller Projekte.
Signierte Attestierungen
Unsere Build- und Sicherheitsartefakte werden mit in-toto und Sigstore signiert und liefern kryptographische Nachweise für die Integrität unseres Sicherheitsprozesses.
Sichern Sie Ihre Anwendungen in Minuten ab — nicht in Monaten.
Mit DevGuard starten Sie die Absicherung Ihrer Anwendungen in wenigen Minuten. Kein komplexes Setup, keine Code-Änderungen — sofortige Transparenz und Schutz.