Verordnung (EU) 2024/2847 · Cyber Resilience Act

CE-Kennzeichnung für Software — ohne dass Ihr Engineering-Team blockiert wird.

KI-gestützt klassifizieren, SBOM automatisch erzeugen, Schwachstellen vor ENISA erkennen, EU-Konformitätserklärung als Entwurf vorbereiten — Sie prüfen und unterzeichnen. Auf einer Plattform, die jede Änderung protokolliert.

Kostenloser Quick-Check (5 Min.) CRA Quick Assessment (Festpreis) →

In 5 Minuten Erstindikation, in einem geführten Wizard die vollständige Klassifizierung gegen Anhang III/IV CRA — alle einschlägigen Produktkategorien.

On-Premise möglich¹ — Ihr Code bleibt bei Ihnen DSGVO & nDSG konform Bis zu 30.000 € Zuschuss pro KMU

¹ On-Premise-Deployment auf Anfrage; Standard-Bereitstellung als SaaS in der Schweiz.

11.09.2026

Ab diesem Datum gilt die 24-h-Meldepflicht für aktiv ausgenutzte Schwachstellen (Art. 14 CRA).

11.12.2027

Ab diesem Datum darf kein Produkt mit digitalen Elementen ohne CE-Kennzeichnung in Verkehr gebracht werden (Art. 6, 30 CRA).

€15 Mio

Maximale Bussgelder ab 11.12.2027 — oder 2,5 % des weltweiten Jahresumsatzes (Art. 64 Abs. 2 CRA).

bis 30.000 €

Maximaler Zuschuss pro KMU über EU-, Bundes- und Länderprogramme zur CRA-Compliance.

Klingt das vertraut?

Sie kennen die Verordnung. Sie wissen, dass die Uhr läuft. Aber wer setzt das jetzt um?

Genau hier stehen die meisten KMU heute — irgendwo zwischen „Wir kümmern uns nächstes Quartal" und „Mein Entwicklungsteam hat keine Zeit für Compliance".

Keine SBOM, keine CE-Kennzeichnung. Eine Software-Stückliste in CycloneDX 1.6 (ECMA-424) oder SPDX 2.3 (ISO/IEC 5962:2021) ist Pflicht — und Voraussetzung für nahezu jede weitere Compliance-Anforderung.
Niemand weiss, ob Sie überhaupt CRA-pflichtig sind. Cloud-only? Mit Desktop-Komponente? Die Abgrenzung über Art. 3 Nr. 2 ist nicht trivial — und „nur SaaS" reicht nicht als Antwort.
Sie haben keinen Vulnerability-Disclosure-Prozess. Ab 11. September 2026 läuft die 24-Stunden-Meldepflicht ab dem Moment, in dem ein Mitarbeiter Kenntnis hat. Ab 11.12.2027 ist der Verstoss mit bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes bewehrt (Art. 64 Abs. 2 CRA). Kleinst- und Kleinunternehmen sind für die 24-h-Frühwarnung nach Art. 64 Abs. 10 lit. a CRA von Bussgeldern ausgenommen — die Pflicht selbst gilt für alle.

Externer Beratungsaufwand bindet Budget. Die IW-Köln-Studie zu CRA, NIS-2 und KI-Verordnung schätzt für mittelständische Hersteller Erstimplementierungskosten zwischen 50.000 und 200.000 €. In unseren eigenen Projekten 2024/2025 sehen wir typische Bandbreiten von 30 bis 80 k € für Gap-Analyse plus externes Audit, 90 bis 180 PT für die operative Umsetzung — abhängig von Produktkomplexität und Reifegrad.
Die Dokumentation ist nicht auditfertig. Anhang VII CRA verlangt eine technische Dokumentation, die direkt auf Artikel und Anhänge der Verordnung referenziert. Word-Dokumente reichen nicht.
Niemand weiss, was bei einem Vorfall passieren muss. 24h Frühwarnung → 72h Detailmeldung → 14 Tage Abschlussbericht. Drei Formulare, zwei Behörden, eine Lieferkette zum Informieren.

Was Sie davon haben

Sie behalten Ihren Fokus auf Ihrem Produkt. Wir liefern alles, was die EU verlangt.

Klare Antwort statt 80 Seiten Kanzlei-Analyse

Ein KI-gestützter Onboarding-Wizard sagt Ihnen heute, ob Ihr Produkt CRA-pflichtig ist, in welche Klasse es gehört und welches Konformitätsverfahren passt — entlang Anhang III/IV CRA und DVO (EU) 2025/2392.

Auditfertige SBOM aus Ihrem Code

CycloneDX 1.6 (ECMA-424) und SPDX 2.3 (ISO/IEC 5962:2021) automatisch aus Ihren Repositories — orientiert an BSI TR-03183 Teil 2 (v2.0.0, 09/2024), archiviert für 10+ Jahre.

Sie wissen es vor ENISA

Täglicher Abgleich gegen NVD, OSV, GitHub Advisory, CISA KEV. KI-priorisierte Alerts mit CVSS + EPSS — bevor die 24-h-Uhr beginnt.

EU-Konformitätserklärung als Entwurf

Anhang VII CRA, Anhang V CRA, CE-Vorbereitung — die Plattform schreibt die Entwürfe automatisiert aus Ihren Daten. Vom Hersteller zu prüfen und zu unterzeichnen (Art. 28 CRA).

Geführter 24h-Meldeworkflow

3-Stufen-Workflow mit vorausgefüllten ENISA-Formularen für BSI (DE), CERT.at (AT), CERT-CH (CH). Fristtracking, Audit-Log, automatische Eskalation.

Ihr Code verlässt nie Ihre Infrastruktur

On-Premise-Modus für Codeanalyse und SBOM-Generierung. Keine Uploads, keine Drittanbieter-Cloud. Source ist Ihr wertvollstes Gut — bei uns bleibt das so.

Ihr Einstieg

CRA Quick Assessment — Festpreis, kein Beratungsverhältnis.

In 5–7 Werktagen erhalten Sie einen belastbaren Bericht: wo Sie heute stehen, welche Lücken kritisch sind, welche Top-10-Massnahmen Sie zuerst angehen sollten — gegen Ihre konkreten Produkte und Ihre konkrete Lieferkette.

In drei Schritten

Kick-off-Gespräch (60 Min.) — wir lernen Ihr Produkt-Portfolio kennen.
Strukturierte Analyse über die Plattform — Klassifizierung, SBOM-Stichprobe, Pflichten-Mapping.
Bericht (max. 20 Seiten) inkl. priorisiertem Massnahmen-Backlog.

Was Sie bekommen

Klassifizierung Ihrer Produkte (Anhang III/IV CRA)
Konkretes Konformitätsbewertungsverfahren
Top-10-Massnahmen mit Aufwandsschätzung
30-Min-Abschlussgespräch mit Q&A

Quick Assessment buchen — 4.500 € → Festpreis netto · zzgl. MwSt. · förderfähig über Digitalbonus Bayern Plus, BAFA u. a.

So sieht das bei Ihnen aus

Drei Wege durch den CRA — je nachdem, was Sie bauen.

Wir arbeiten primär mit SaaS-Anbietern, deren Produkt eine Desktop- oder Mobile-Komponente hat — und die zwischen 30 und 150 Mitarbeitende beschäftigen. Für andere Profile ist die Plattform ebenso einsetzbar; ein klarer Fit ist aber dort, wo der CRA frühzeitig schmerzt.

Primärfokus · 30–150 Mitarbeitende · EU/DACH

SaaS-Anbieter mit Desktop-Agent

„Sobald Sie eine Desktop-App, einen Agenten oder ein Browser-Plugin haben, fällt Ihr Cloud-Backend in vielen Fällen unter die RDPS-Definition (Drei-Elemente-Test der EU-Kommission). Die genaue Einordnung klären wir im Quick-Check."

Beispiel: Ein Logging-Tool mit Agent auf den Endgeräten der Kunden. Konsequenz: häufig volle CRA-Pflicht — SBOM-Pflicht für Agent und Backend, Schwachstellenmanagement für die gesamte Pipeline, Meldepflicht ab 09/2026.

SaaS-Abgrenzung im Detail →

Auch relevant für

Embedded / IoT-Hersteller

„IoT-Geräte sind nahezu immer CRA-pflichtig — und bei Sicherheitsfunktionen schnell in Klasse I oder II nach Anhang III CRA."

Klassen-Check starten →

Auch relevant für

Komponenten-Geschäft (SDK, Library, OEM)

„Auch ohne RDPS-Eigenschaft: Art. 13 Abs. 5–8 CRA — abgestufte Due-Diligence- und Risikobewertungs-Pflichten."

Art. 13 erklärt →

Selbst machen vs. mit crAIready

Was kostet Sie eigentlich der Status quo?

Realität

Selbst aufbauen

Mit crAIready

CRA-Klassifizierung Ihres Produkts

2 – 6 Wochen Kanzlei-Beratung

30 Minuten geführter Wizard

SBOM-Generierung & Pflege

Manuell, Excel, ständig veraltet

Automatisch aus Ihrem Code, täglich

Schwachstellen-Monitoring

Manuelle CVE-Sichtung ohne automatisches Matching auf SBOM-Komponenten

NVD + OSV + GitHub Advisory + CISA KEV, KI-priorisiert

Technische Dokumentation Anhang VII CRA

Word-Vorlage, 80 Seiten, manuell pflegen

KI-generiert, Artikel-referenziert, auditfertig

Vorfallmeldung an ENISA / BSI

Excel-Template, 24h-Stress, Risiko

3-Stufen-Workflow mit vorausgefüllten Formularen

Personentage bis Audit-Reife (typ. KMU, Erfahrungswert codAIx 2024/2025)

90 – 180 PT

15 – 30 PT — und davon förderfähig bis 70 % (neue Bundesländer) bzw. 50 %

Belegquellen: IW Köln 2024, Bitkom 2022/2026, ZVEI 2023, cep-Analyse zum CRA. Eigene Erfahrungswerte aus codAIx-Projekten 2024/2025.

Wofür wir stehen

Sie kaufen keine Black Box. Sie kaufen Nachvollziehbarkeit.

Verordnungstreue Substanz

Jede Funktion ist direkt auf Artikel und Anhänge der Verordnung (EU) 2024/2847 zurückführbar. Keine vagen „Best Practices" — sondern Verordnungstext mit Spalten-Verweis.

KI mit Augenmass

Unsere KI generiert Entwürfe, klassifiziert Produkte und priorisiert Schwachstellen. Aber kritische Entscheidungen treffen Sie. Wir streben ISO/IEC 42001 an und entwickeln die Plattform selbst AI-Act-konform (Art. 9–11, 14, 15 AI Act).

Wir leben, was wir predigen

Als Cybersecurity-Unternehmen arbeiten wir auf ISO/IEC 27001, ISO/IEC 27701 und ISO/IEC 42001 hin und prüfen unsere eigene NIS-2-Einordnung (Anhang I Nr. 8) laufend.

Förderung

50 % bundesweit, bis zu 70 % in den neuen Bundesländern.

Förderungen können zwischen maximal 50 % und 70 % (in den neuen Bundesländern) liegen — kombinierbar mit BAFA-Beratungsförderung und KfW-Krediten. Über das EU-Programm SECURE, KfW ERP-Digitalisierung, go-digital, Digitalbonus Bayern Plus, MID NRW, DIGI-Zuschuss Hessen und weitere Programme.

Förderprogramme entdecken →

Wissen rund um den CRA

Wir nehmen den Verordnungstext ernst — und schreiben darüber.

Acht Hintergrundartikel zu RDPS-Abgrenzung, SBOM-Praxis, AI-Act-Schnittstelle, Meldepflichten und Hochrisiko-KI. Geschrieben für Entscheider, die wissen wollen, was wirklich gilt.

24.04.2026

CRA-Meldepflichten ab September 2026: 24-h-Frist im Detail

Wie die einheitliche Meldeplattform funktioniert, warum die Auslegung von „Kenntnis" entscheidend ist und welche dreistufigen Regimes parallel laufen.

CRAVulnerability DisclosureArt. 14 CRA

20.04.2026

SBOM für Softwarehersteller — was der CRA verlangt und wie man sie umsetzt

SBOM ist nicht optional. Welche Formate akzeptiert sind und wie Sie SBOM-Generierung in Ihre CI/CD-Pipeline integrieren.

SBOMCycloneDXSPDX

17.04.2026

Hochrisiko-KI unter dem CRA: Warum Art. 12 kein Freifahrtschein ist

Drei praktische Hürden, vier KI-spezifische Angriffsvektoren und drei Compliance-Szenarien direkt am Verordnungstext.

AI ActHochrisiko-KIArt. 12 CRA

Alle Artikel ansehen →

In 30 Minuten wissen Sie, was der CRA für Ihr Produkt bedeutet.

Kostenlose Erstberatung: Wir prüfen gemeinsam, ob Ihr Produkt unter den CRA fällt, in welche Klasse es gehört und welche nächsten Schritte sinnvoll sind.

Kostenlosen Quick-Check starten → Demo anfragen