Ist mein Unternehmen vom CRA betroffen?

Wenn Sie Produkte mit digitalen Elementen auf dem EU-Markt vertreiben — Software, Hardware, IoT, Embedded Systems — dann ja. Rund 90 % der Produkte fallen in die Default-Kategorie (Self-Assessment). Im CRA Technical Assessment bestimmen wir Ihren exakten Scope und die relevanten Anforderungen.

Was ist eine SBOM und warum brauche ich eine?

Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Inventar aller Komponenten Ihrer Software — inklusive Open-Source-Dependencies und deren Versionen. Der CRA verlangt SBOMs in standardisierten Formaten (CycloneDX oder SPDX). Wir integrieren die Generierung direkt in Ihre CI/CD-Pipeline, sodass jedes Release automatisch eine aktuelle SBOM mitliefert.

Wo sitzt Krafteq und wie funktioniert die Zusammenarbeit?

Krafteq ist ein IT-Dienstleister aus Leverkusen im Rheinland. Als Softwareunternehmen in NRW arbeiten wir mit Unternehmen in Köln, Düsseldorf und der gesamten Region zusammen — vor Ort oder remote. Durch unsere Lage im Rheinland sind persönliche Workshops und Onsite-Termine kurzfristig möglich.

Was kostet DevSecOps & CRA-Compliance?

Das CRA Technical Assessment (2–3 Tage) hat einen Festpreis. Die Implementierung erfolgt projektbasiert als 2–4-Wochen-Sprint oder als laufender Managed Service. Kombinierbar mit SRE/DevOps & Platform Engineering. Im kostenlosen Erstgespräch klären wir Ihren Scope und geben eine Aufwandsschätzung.

Wie lange dauert die Umsetzung?

Ein CRA-Sprint (Assessment + Implementierung der kritischsten Gaps) dauert 2–4 Wochen. Für vollständige CRA-Readiness rechnen wir je nach Komplexität mit 6–12 Wochen. Der erste Schritt — das CRA Technical Assessment — liefert in 2–3 Tagen Klarheit über den Umfang.

Ersetzt Krafteq einen Compliance-Berater?

Nein. Krafteq ist technischer Implementierungspartner. Wir bauen die technischen Kontrollen und Prozesse — SBOMs, sichere Pipelines, Vulnerability Management, Incident-Reporting-Workflows. Für rechtliche Beratung und organisatorische Compliance empfehlen wir spezialisierte Kanzleien. Für die formale Konformitätsbewertung (Important Class II, Critical) sind Notified Bodies zuständig.

Welche Strafen drohen bei Nicht-Compliance?

Bis zu EUR 15 Millionen oder 2,5 % des weltweiten Jahresumsatzes. Dazu kommen mögliche Marktzugangsverbote und Ausschluss aus Lieferketten durch den Supply-Chain-Effekt — Einkaufsabteilungen fordern zunehmend CRA-Compliance von Zulieferern.

Kann ich DevSecOps mit anderen Krafteq-Services kombinieren?

Ja. DevSecOps & CRA-Compliance ist direkt kombinierbar mit SRE/DevOps & Platform Engineering für ganzheitliche Plattform-Härtung. Viele Kunden starten mit einem CRA-Sprint und erweitern dann auf laufendes Platform Engineering.

DevSecOps & CRA-Compliance

Q: Was ist der EU Cyber Resilience Act (CRA)?

Der CRA betrifft jeden Hersteller von Produkten mit digitalen Elementen (Software, Hardware, vernetzte Geräte), der auf dem EU-Markt verkauft. Ab September 2026 greifen Meldepflichten — aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an ENISA gemeldet werden. Vollständige Compliance (Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation) ist ab Dezember 2027 Pflicht.

Isometrische Illustration einer sicheren Software-Pipeline mit SBOM-Generierung, Vulnerability-Scanning und Compliance-Gates

CRA-Compliance als technische Realität — nicht als Papiertiger

Der EU Cyber Resilience Act greift ab September 2026. Meldepflichten, SBOMs, Vulnerability Management — die meisten produzierenden Unternehmen haben keine DevSecOps-Expertise, um das technisch umzusetzen. Krafteq implementiert Security by Design direkt in Ihrer bestehenden CI/CD-Infrastruktur: SBOM-Generierung, Vulnerability Management, DSGVO-konforme Software-Prozesse und Secure Development Lifecycle als Code. Sichere Softwareentwicklung als Engineering — kein Compliance-Theater.

Sept. 2026 CRA-Meldepflichten greifen

24 Stunden Meldefrist bei Schwachstellen

14 Tage Bis zum Start

Kostenloses CRA-Erstgespräch vereinbaren

CRA-Self-Assessment intern durchgeführt. SBOM-Generierung (CycloneDX 1.6) und Gap-Analyse gegen Annex I/II dokumentiert — hands-on Erfahrung.

HerausforderungenWarum der CRA produzierende Unternehmen vor ein Engineering-Problem stellt

Der EU Cyber Resilience Act betrifft jeden Hersteller von Produkten mit digitalen Elementen auf dem EU-Markt. Compliance-konforme Entwicklung erfordert technische Umsetzung — SBOMs, Vulnerability Handling, Incident Reporting — doch die meisten Unternehmen haben keine DevSecOps-Expertise intern.

Meldepflichten ab September 2026

Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an ENISA gemeldet werden. Ohne definierten Incident-Reporting-Workflow und Eskalationsketten ist das in der Praxis nicht umsetzbar.

Keine SBOM-Prozesse vorhanden

48 % der Security-Verantwortlichen hinken bei SBOM-Standards hinterher. SBOMs in maschinenlesbarem Format sind CRA-Pflicht, doch die wenigsten CI/CD-Pipelines generieren sie automatisch pro Release.

Vulnerability Management fehlt

Ohne automatisiertes Scanning und risiko-basierte Priorisierung bleiben Schwachstellen unentdeckt. Der CRA verlangt Vulnerability Handling über den gesamten Support-Zeitraum.

Kein Secure Development Lifecycle

Security Gates in der Pipeline — SAST, DAST, Secrets Detection — sind bei vielen Unternehmen nicht implementiert. Der CRA verlangt nachweisbare Cybersecurity-Risikobewertung vor Markteinführung.

Fehlende CRA-Dokumentation

Technische Dokumentation nach Annex II und Post-Market-Monitoring nach Annex VII erfordern strukturierte Prozesse. Manuell ist das nicht skalierbar.

Supply-Chain-Druck von allen Seiten

Auch Zulieferer müssen CRA-Compliance nachweisen. Einkaufsabteilungen fordern zunehmend SBOMs und Security-Nachweise — wer nicht liefert, fliegt aus der Lieferkette.

Delivery-ModelleDrei Wege zur CRA-Compliance — Sie entscheiden

Krafteq ist technischer Implementierungspartner, kein Compliance-Berater. Wir bauen die technischen Kontrollen und Prozesse. Das Delivery-Modell richtet sich nach Ihrem Bedarf und Zeitdruck.

CRA-Sprint — Projektbasierter Einstieg

2–4 Wochen intensives Assessment und Implementierung der kritischsten Gaps. Ideal als Einstieg: Sie erhalten eine Gap-Analyse gegen CRA Annex I, eine priorisierte Roadmap und die ersten technischen Kontrollen in der Pipeline.

Managed Service — laufende Compliance

Laufendes Vulnerability Monitoring, SBOM-Updates bei jedem Release und Incident-Response-Support als Subscription. Krafteq sorgt dafür, dass Ihre Compliance-Prozesse aktuell bleiben — auch wenn sich Anforderungen ändern.

Team-Enablement — internes Know-how aufbauen

Krafteq-Engineers arbeiten mit Ihrem Team, transferieren DevSecOps-Wissen und bauen interne Fähigkeiten auf. Das Ziel: Ihr Team wird befähigt, nicht abhängig gemacht.

SBOM-Integration in die Pipeline

CycloneDX- oder SPDX-Generierung als automatischer Pipeline-Step. Versionierte SBOMs pro Release. Dependency-Tracking und Vulnerability-Monitoring — alles integriert in Ihre bestehende CI/CD-Infrastruktur.

Incident-Reporting-Workflow

Implementierung des 24h/72h/14d-Melde-Workflows für die ENISA Single Reporting Platform. Eskalationsketten, Templates, Approval-Gates — damit Ihre Organisation im Ernstfall handlungsfähig ist.

Coordinated Vulnerability Disclosure

security.txt, öffentliche Disclosure-Policy, Intake-Formulare, Triage-Workflow und Advisory-Publishing. CRA-konform und praxistauglich.

ProzessSo machen wir Ihre Delivery-Pipeline CRA-ready

Unser Ansatz folgt einer klaren Struktur. Jeder Schritt liefert eigenständige Ergebnisse und bringt Sie näher an die CRA-Compliance.

CRA Technical Assessment (Tag 1–3)

Gap-Analyse der bestehenden SDLC-, CI/CD- und Dependency-Management-Prozesse gegen CRA Annex I Anforderungen. Scope-Bestimmung (Default / Important Class I / II / Critical). Sie erhalten eine priorisierte Roadmap mit konkreten Maßnahmen.

Klarheit über Ihren CRA-Scope und die kritischsten Lücken

SBOM und Vulnerability Management (Woche 1–2)

CycloneDX/SPDX-Generierung als Pipeline-Step implementieren. Automatisiertes Vulnerability Scanning in CI/CD einrichten. Risiko-basierte Priorisierung mit definierten Remediation-SLAs: Critical 24h, High 7d, Medium 30d, Low 90d.

Automatische SBOM-Generierung und Vulnerability-Tracking pro Release

Incident Reporting und Secure SDLC (Woche 2–4)

24h/72h/14d-Melde-Workflow implementieren. Security Gates in der Pipeline: SAST, DAST, Secrets Detection. Coordinated Vulnerability Disclosure aufsetzen. Technische Dokumentation nach Annex II/VII — auto-assembliert wo möglich.

Meldepflicht-ready und nachweisbar sicherer Entwicklungsprozess

Übergabe und Regelbetrieb (Woche 3–4)

Beim Managed Service übernimmt Krafteq das laufende Monitoring und die SBOM-Updates. Bei Projekten und Enablement übergeben wir an Ihr Team — mit dokumentierten Prozessen, Runbooks und Übergabe-Workshops.

Nachhaltige CRA-Compliance — intern oder durch Krafteq

LeistungenWas DevSecOps & CRA-Compliance umfasst

Sichere Softwareentwicklung erfordert technische Kontrollen und Prozesse, die der CRA verlangt — wir implementieren sie direkt in Ihrer bestehenden Infrastruktur. Engineering, kein Papier.

SBOM-Generierung

CycloneDX- und SPDX-Generierung als automatischer CI/CD-Pipeline-Step. Versionierte SBOMs pro Release. Dependency-Tracking und Vulnerability-Monitoring über den gesamten Produktlebenszyklus.

Vulnerability Management

Automatisiertes Scanning in CI/CD: Container, Dependencies, Code. Risiko-basierte Priorisierung mit CVSS, EPSS und Reachability-Analyse. Definierte Remediation-SLAs für jede Schweregrad-Stufe.

Incident Reporting Workflow

Implementierung des CRA-konformen 24h/72h/14d-Melde-Workflows für die ENISA Single Reporting Platform. Eskalationsketten, Templates und Approval-Gates.

Secure Development Lifecycle

Security by Design in der Pipeline: SAST, DAST, Secrets Detection als feste Gates. Secure-by-Default-Konfigurationen und dokumentierte Prozesse für CRA Annex II — DSGVO-konforme Software von Anfang an.

Coordinated Vulnerability Disclosure

security.txt, öffentliche Disclosure-Policy, Intake-Formulare, Triage-Workflow und Advisory-Publishing. Alles, was der CRA für den Umgang mit gemeldeten Schwachstellen verlangt.

CRA-Dokumentation

Technische Dokumentation nach Annex II/VII — auto-assembliert aus Pipeline-Artefakten, Service-Katalog und Git-Historie wo möglich. Kein manuelles Dokumentenmanagement.

ReferenzenErgebnisse, die für sich sprechen

CRA-ready

Interner Self-Assessment durchgeführt

Krafteq hat den CRA-Self-Assessment-Prozess intern durchlaufen und dokumentiert. SBOM-Generierung (CycloneDX 1.6), Vulnerability Scanning und Gap-Analyse gegen Annex I/II — hands-on Erfahrung, nicht Theorie.

< 15 Min.

Cycle Time nach Pipeline-Härtung

Security Gates in CI/CD-Pipelines integriert, ohne die Deployment-Geschwindigkeit zu opfern. SBOM-Generierung und Vulnerability Scanning als automatische Pipeline-Steps.

70 %

Cloud-Kostenreduktion

DevSecOps und Kostenoptimierung gehen Hand in Hand. Infrastruktur-Härtung und Rightsizing bei einem Enterprise-Kunden — Sicherheit und Effizienz sind kein Widerspruch.

10+ Jahre

Erfahrung pro Engineer

Erfahrene Senior Engineers mit langjähriger Praxis (10+ Jahre). DevSecOps-Expertise aus der Praxis — CI/CD-Pipelines, Kubernetes-Security, Compliance-Automation.