Die Plattform

Eine Plattform, die jede CRA-Pflicht abdeckt. Sechs Module + Fundament.

Vom ersten Klassifizierungs-Check bis zur unterschriftsreifen Konformitätserklärung. Sechs aufeinander abgestimmte Module, getragen von einer auditierten, KI-transparenten Plattform-Basis. Sie wählen, was Sie heute brauchen — und wachsen mit.

Live-Demo buchen → Preise ansehen
Modul 1 — CRA-Navigator (Klassifizierung)

Klassifizierung in einem geführten Wizard — von der Erstbewertung zur klaren Handlungsempfehlung.

Fällt Ihr Produkt unter den CRA? In welche Risikoklasse? Welches Konformitätsbewertungsverfahren brauchen Sie? Der KI-gestützte Onboarding-Wizard führt Sie von der Erstindikation bis zur konkreten Empfehlung — auf Basis aller einschlägigen Produktkategorien aus Anhang III (Klasse I und II) und Anhang IV CRA, gemäss der Durchführungsverordnung (EU) 2025/2392 der Kommission vom 28. November 2025 (ABl. L vom 01.12.2025, in Kraft seit 21.12.2025), die die technischen Beschreibungen der Kategorien konkretisiert.

  • Klassen-Check gegen Anhang III Teil I (Klasse I, 19 Kategorien), Anhang III Teil II (Klasse II, 4 Kategorien) und Anhang IV CRA (kritische Produkte, 3 Kategorien)
  • Empfehlung des passenden Konformitätsverfahrens direkt am Ergebnis
  • Roadmap mit Fristen: was bis 2026, was bis 2027

KI-Transparenz nach Art. 50 AI Act: Die Empfehlungen basieren auf CRA, Anhang III/IV und Ihren Eingaben. Die finale Klassifizierung ist eine Hersteller-Entscheidung.

Modul 2 — SBOM & Lieferkette

CycloneDX 1.6 + SPDX 2.3 automatisch aus Ihrem Code — inklusive Lieferanten-Sorgfalt.

Software-Stücklisten sind CRA-Pflicht (Anhang I Teil II Nr. 1). crAIready erzeugt SBOMs automatisch aus Ihren Repositories, verwaltet sie zentral und archiviert sie 10+ Jahre — orientiert an BSI TR-03183 Teil 2. Und es bleibt nicht beim eigenen Code: Für jede eingebundene Drittkomponente unterstützt die Plattform die abgestufte Due Diligence nach Art. 13 Abs. 5.

  • Automatische Generierung aus Ihren Repositories — keine Excel-Pflege
  • Maschinenlesbar: CycloneDX 1.6 (ECMA-424), SPDX 2.3 (ISO/IEC 5962:2021)
  • Lieferantenbewertung: CVD-Politik, SBOM-Verfügbarkeit, Reaktions-SLA, Vorfallhistorie — oder Lifecycle-Check (Upstream aktiv, EOL-Datum, Release-Kadenz)
  • CRA-konforme Archivierung für 10+ Jahre
Modul 3 — Schwachstellen & CVD

Sie wissen es vor ENISA — und haben den Offenlegungsprozess gleich mit dabei.

Täglicher Abgleich aller SBOM-Komponenten gegen NVD, OSV, GitHub Advisory und CISA KEV, KI-priorisiert nach CVSS + EPSS — bevor die 24-h-Uhr beginnt. Plus der vollständige Prozess der koordinierten Schwachstellenoffenlegung nach Anhang I Teil II Nr. 5–6.

  • Schwachstellenregister mit Triage, KEV/EPSS/CWE, Status-Tracking (behoben, geplant, akzeptiert)
  • Alerting bei neuen CVEs, bevor die Frist läuft
  • Einbettbares öffentliches Meldeformular für Security Researcher (per JavaScript in Ihre Website)
  • CVD-Richtlinien-Generator und veröffentlichungsfertige Advisories (CVE JSON 5.0)
Modul 4 — Dokumentation & Konformität

Anhang VII komplett, EU-Konformitätserklärung als Entwurf — versionsgenau und behördenfertig.

KI-generierte technische Dokumentation nach Anhang VII, automatischer Entwurf der EU-Konformitätserklärung nach Anhang V — vom Hersteller zu prüfen und zu unterzeichnen (Art. 28 CRA). Dazu Benutzerinformation (Anhang II), Konformitätsbewertung (Anhang VIII, Verfahren A/B/C/H) und ein Behörden-Dossier auf Knopfdruck.

  • Anhang VII: Produktbeschreibung, Risikoanalyse, angewandte Normen
  • EU-DoC-Entwurf nach Anhang V, maschinell aus Ihren Daten
  • Benutzerinformation nach Anhang II (25 Pflichtangaben)
  • Konformitätsbewertung Anhang VIII — Lückenmatrix und Nachweise
  • Kombiniertes CRA-Dossier als ein PDF für Marktüberwachungsbehörden und Notifizierte Stellen (Art. 31, Art. 52/53)
Modul 5 — Meldepflicht & Incident Response

Geführter 24h/72h/14d-Workflow — mit CSAF-Export zur Einreichung. Keine Excel-Stress-Aktion.

Bei einem aktiv ausgenutzten Sicherheitsvorfall erstellt die Plattform die Meldungen für die Fristen 24 h Frühwarnung → 72 h Detailmeldung → 14 Tage Abschlussbericht (Felder vorbefüllt) und exportiert sie CSAF-konform. Die Einreichung bei ENISA bzw. Ihrem nationalen CSIRT nehmen Sie über das offizielle Portal vor — mit Fristtracking und Audit-Log als Nachweis.

  • 3-Stufen-Workflow mit Felder-Vorbefüllung und CSAF/PDF-Export
  • Fristtracking und Audit-Log als Nachweis
  • Lieferketten-Information an betroffene Nutzer dokumentiert
  • Incident-Response-Pläne vorbereiten — für CRA und NIS-2

Hinweis: crAIready bereitet Ihre Meldung vollständig vor und exportiert sie CSAF-konform. Die Übermittlung an die Behörde erfolgt durch Sie über das offizielle CSIRT-Portal (optional automatisierbar bei konfiguriertem Übermittlungs-Endpunkt).

Modul 6 — Rollen & Wirtschaftsakteure (neu)

Nicht nur für Hersteller. Auch für Bevollmächtigte, Einführer und Händler.

Auch Bevollmächtigte, Einführer und Händler haben eigene CRA-Pflichten (Art. 18–21). crAIready liefert den passenden Pflichtenkatalog je Rolle — und erkennt, wann Sie nach Art. 21 (eigener Markenname, wesentliche Veränderung, geänderte Zweckbestimmung) selbst zum Hersteller für das betroffene Produkt werden.

  • Eigene Checklisten für Bevollmächtigten (Art. 18), Einführer (Art. 19), Händler (Art. 20)
  • Übernahme-Erkennung nach Art. 21: Markenname, wesentliche Veränderung, geänderte Zweckbestimmung
Plattform-Fundament

Auf Nachweisbarkeit gebaut. Compliance, die sich belegt.

Jedes Modul läuft auf einer Basis, die Compliance nicht nur erzeugt, sondern belegt — in jedem Tier enthalten.

Audit-Log

Jede Änderung manipulationssicher protokolliert, 10 Jahre aufbewahrt (Art. 13 Abs. 13 CRA). Für Marktüberwachungsbehörden und Notifizierte Stellen nachvollziehbar.

KI-Protokoll

Jeder KI-Vorschlag wird mit Modell, Anfrage und Antwort dokumentiert (Art. 50 AI Act). Kritische Entscheidungen treffen immer Sie.

Kontinuierliches Compliance-Monitoring

14 automatische Checker überwachen laufend SBOM-Aktualität, Doku-Vollständigkeit, Support-Ende, Aufbewahrung (Art. 23) und erkennen wesentliche Änderungen (Art. 3(32)).

Wie es zusammenwirkt

Jedes Modul kann einzeln genutzt werden — aber den vollen Wert entfaltet die Plattform im Zusammenspiel.

1

Klassifizieren

Der Navigator (Modul 1) liefert das Ergebnis, das alle anderen Module konfiguriert.

2

SBOM & Lieferkette speist die Schwachstellenanalyse

Jede Komponente (Modul 2) landet automatisch im Scan von Modul 3.

3

Schwachstellen & CVD liefern den Live-Status

Modul 3 speist Dokumentation und Meldungen — kein doppeltes Pflegen.

4

Dokumentation & Konformität entsteht live

Modul 4 baut aus Klassifikation, SBOM und Schwachstellen-Status — versionsgenau und behördenfertig.

5

Meldepflicht wird ausgelöst

Sobald eine aktiv ausgenutzte Schwachstelle erkannt wird, ist die Meldung (Modul 5) vorbefüllt und der CSAF-Export bereit.

6

Rollen ergänzen die Pflichten

Modul 6 deckt ab, wenn Sie nicht (nur) Hersteller sind.

Über allem: Audit-Log, KI-Protokoll und Monitoring dokumentieren jeden Schritt.

Bereit für den nächsten Schritt?

Sehen Sie die Plattform in Aktion — in einer persönlichen 30-Minuten-Demo.

Demo anfragen →