Schwachstellen

SBOM und Schwachstellenmanagement: die praktische Grundlage der CRA-Compliance

Veröffentlicht 18. Mai 20267 Min. Lesezeit

Der Cyber Resilience Act verlangt nicht nur, dass ein Produkt sicher entworfen ist. Er verlangt, dass der Hersteller die Sicherheit über den gesamten Supportzeitraum aufrechterhalten kann – also Schwachstellen aktiv managt. Und das geht ohne eines nicht: ohne Überblick darüber, woraus das Produkt eigentlich besteht.

Was ein SBOM ist und warum der CRA es verlangt

Ein SBOM (Software Bill of Materials) ist ein strukturiertes Verzeichnis der Softwarekomponenten, aus denen ein Produkt besteht – einschließlich Bibliotheken und Abhängigkeiten Dritter. Ein modernes Produkt enthält Dutzende bis Hunderte davon, und genau dort tauchen die meisten Schwachstellen auf. Der CRA setzt ein SBOM daher als Teil des Schwachstellenmanagements voraus.

Wie ein SBOM in der Praxis hilft

Der Wert eines SBOM zeigt sich, sobald eine neue Schwachstelle in einer weit verbreiteten Komponente auftaucht. Ohne SBOM beginnt die Suche: Welche unserer Produkte nutzen diese Bibliothek? Mit einem aktuellen SBOM ist die Antwort eine Frage von Minuten.

schnell feststellen, welche Produkte von einer neuen Schwachstelle betroffen sind,
Grundlage für die Entscheidung über Priorität und Zeitpunkt von Fixes,
Nachweis für die technische Dokumentation, dass Sie Komponenten verfolgen,
Grundlage für die Kommunikation mit Lieferanten über deren Komponenten.

Schwachstellenmanagement ist keine einmalige Aktion

Der CRA verlangt Schwachstellenmanagement über den gesamten Supportzeitraum eines Produkts – in der Regel mindestens fünf Jahre. Das bedeutet einen kontinuierlichen Prozess, kein Projekt mit Ende. Ein funktionierender Prozess umfasst meist:

einen Kanal für die Entgegennahme von Schwachstellenmeldungen von Forschern und Nutzern (Coordinated Vulnerability Disclosure),
Triage und Bewertung der Schwere gemeldeter Schwachstellen,
Behebung durch Updates und deren sichere Auslieferung an die Nutzer,
laufende Verfolgung der SBOM-Komponenten gegen Schwachstellendatenbanken.

Die Meldepflicht ab September 2026

An das Schwachstellenmanagement schließt die Meldepflicht an. Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb festgelegter Fristen an ENISA melden. Um diese Fristen einzuhalten, braucht ein Unternehmen Prozess, Rollen und Vorlagen, bevor eine reale Situation eintritt.

Die wichtigsten Punkte

Ein SBOM ist ein Verzeichnis der Produktkomponenten – der Kern des Schwachstellenmanagements nach CRA.
Es ermöglicht, innerhalb von Minuten festzustellen, welche Produkte eine neue Schwachstelle betrifft.
Schwachstellenmanagement ist ein kontinuierlicher Prozess über den gesamten Supportzeitraum (in der Regel 5+ Jahre).
Die Meldepflicht gegenüber ENISA gilt ab dem 11.09.2026 – die Prozesse müssen früher fertig sein.

Verwandte Leistung

Vorfälle & Schwachstellen

Zurück zum Blog

Alle Artikel

Rollen & Pflichten8 Min. Lesezeit

Hersteller, Importeur, Händler: wer nach dem CRA welche Pflichten hat

Der CRA teilt die Pflichten nach Rolle auf. Finden Sie heraus, in welcher Sie sich befinden – und wann sich die Rolle unerwartet ändert.

6. Mai 2026Artikel lesen

Fristen7 Min. Lesezeit

Cyber Resilience Act: alle Fristen und Phasen, die Sie bis 2027 einhalten müssen

Der CRA wird nicht auf einmal eingeführt. Gehen Sie die drei zentralen Daten durch – und warum 'wir haben Zeit bis 2027' eine gefährliche Falle ist.

22. April 2026Artikel lesen

Beginnen Sie mit dem CRA, bevor die Frist Sie einholt

Eine kostenlose Beratung zeigt Ihnen schnell, wo Sie stehen und welcher Weg zur Compliance der kürzeste ist.

Beratung vereinbaren