Software & SaaS-Produkte
Software ist das Herzstück des Cyber Resilience Act: Ob Desktop-Anwendung, mobile App oder Cloud-basierte Plattform, Softwareprodukte sind explizit als Produkte mit digitalen Elementen erfasst. Für Softwarehersteller und SaaS-Anbieter bedeutet das neue Pflichten bei der Schwachstellenbehandlung, SBOM-Erstellung und Sicherheitsdokumentation, die mit agilen Release-Zyklen in Einklang gebracht werden müssen.
CRA-Relevanz für Software & SaaS
Standalone-Software ist im CRA explizit als Produkt mit digitalen Elementen definiert. SaaS-Lösungen fallen dann unter den CRA, wenn sie eine notwendige Komponente für die Funktion eines Produkts mit digitalen Elementen darstellen — das entscheidende Kriterium ist die sogenannte Datenfernverarbeitung. Rein eigenständige Cloud-Dienste ohne funktionale Bindung an ein Produkt fallen primär unter NIS-2.
- Desktop-Anwendungen, mobile Apps und Bibliotheken sind als eigenständige Produkte mit digitalen Elementen direkt CRA-pflichtig
- SaaS-Lösungen fallen unter den CRA, wenn sie als Datenfernverarbeitung für ein Produkt dienen — also vom Hersteller entwickelt wurden und ohne sie das Produkt eine seiner Funktionen nicht erfüllen könnte (z. B. Cloud-Steuerung eines Smart-Home-Geräts)
- Rein eigenständige Cloud-Dienste (SaaS, PaaS, IaaS) ohne funktionale Produktbindung werden primär durch NIS-2 reguliert, nicht durch den CRA
- Wird Software über ein SaaS-Modell vertrieben und ist die Cloud-Komponente für die Kernfunktion essenziell, greifen CRA-Anforderungen an Schwachstellenmanagement und Security by Design
- Die Verbreitung über App Stores oder Package Registries entbindet nicht von der CRA-Pflicht: Der Hersteller bleibt als Inverkehrbringer verantwortlich
Compliance-Herausforderungen für Softwarehersteller
Continuous Deployment vs. Compliance-Anforderungen
Agile Teams liefern täglich oder wöchentlich neue Releases. Die CRA-Anforderungen an Dokumentation, Risikobewertung und SBOM-Aktualität müssen in bestehende CI/CD-Prozesse integriert werden, ohne die Entwicklungsgeschwindigkeit zu bremsen.
Open-Source-Abhängigkeitsmanagement
Moderne Software basiert auf hunderten Open-Source-Bibliotheken mit transitiven Abhängigkeiten. Die vollständige Erfassung, Lizenzprüfung und Schwachstellenüberwachung dieser Abhängigkeitsbäume ist ohne Automatisierung nicht leistbar.
Vulnerability Disclosure für Cloud-gehostete Produkte
Bei SaaS-Produkten verschwimmt die Grenze zwischen Produkt und Infrastruktur. Die Koordination von Schwachstellenmeldungen, wenn sowohl serverseitige als auch clientseitige Komponenten betroffen sind, erfordert klare Prozesse.
Produktgrenzen bei SaaS definieren
Der CRA bezieht sich auf Produkte, doch bei SaaS ist die Abgrenzung zwischen Produkt und Dienstleistung komplex. Hersteller müssen klar definieren, welche Komponenten unter den CRA fallen und welche als reine Dienstleistung gelten.
Wie Kunnus Softwarehersteller unterstützt
Automatisierte SBOM-Generierung aus CI/CD-Pipelines
Kunnus integriert sich direkt in Ihre Build-Pipelines und generiert bei jedem Release automatisch einen aktuellen SBOM. Änderungen an Abhängigkeiten werden sofort erkannt und dokumentiert.
Kontinuierliche Schwachstellenüberwachung
Kunnus überwacht alle Abhängigkeiten in Ihren SBOMs in Echtzeit gegen bekannte Schwachstellendatenbanken und priorisiert Handlungsbedarf nach Schweregrad und Erreichbarkeit der betroffenen Komponente.
Release-synchrone Compliance-Dokumentation
Die Plattform hält Ihre CRA-Dokumentation automatisch mit Ihren Releases synchron. Risikobewertungen, Sicherheitshinweise und Konformitätsnachweise werden bei jeder Produktänderung aktualisiert.
Strukturierte Vulnerability-Disclosure-Prozesse
Kunnus implementiert den gesamten Vulnerability-Disclosure-Workflow: Von der Entgegennahme externer Meldungen über die interne Bewertung bis zur fristgerechten Meldung an die ENISA und die Benachrichtigung betroffener Nutzer.
Häufig gestellte Fragen
Häufige Fragen zur CRA-Compliance in dieser Branche.
CRA-Readiness Ihrer Software prüfen
Ermitteln Sie in wenigen Minuten, wie gut Ihre Softwareprodukte und SaaS-Angebote auf den Cyber Resilience Act vorbereitet sind und welche Schritte als Nächstes anstehen.