Zum Inhalt springen
SynergyBit
CRA-Leistungen

Schwachstellenmanagement-Prozess nach der CRA

Etablieren Sie das Schwachstellenmanagement, das die CRA über den gesamten Produktlebenszyklus verlangt.

Die CRA verlangt nicht nur ein sicheres Produkt zum Zeitpunkt des Inverkehrbringens – sie verlangt, dass Sie Schwachstellen über den gesamten Supportzeitraum aktiv behandeln. Das bedeutet einen etablierten Prozess, der Schwachstellen erfasst, bewertet, behebt und transparent kommuniziert.

Wir helfen Ihnen, diesen Prozess so aufzubauen, dass er die Anforderungen von Anhang I (Teil II) sowie die Meldepflichten gegenüber ENISA erfüllt. Das Ergebnis ist eine funktionierende Routine, nicht nur ein Dokument in der Schublade.

Das erhalten Sie

Verfahren zum Schwachstellenmanagement

Ein dokumentierter Prozess für Annahme, Triage, Bewertung (CVSS) und Behebung von Schwachstellen mit klaren Rollen und Fristen.

Schwachstellenregister und SBOM

Ein Schwachstellenregister, das mit Ihrer Software-Stückliste (SBOM) verknüpft ist, damit Sie wissen, welche veröffentlichten CVEs Sie betreffen.

Koordinierte Offenlegung (CVD)

Eine Richtlinie zur koordinierten Offenlegung von Schwachstellen, eine Kontaktstelle für Meldungen und eine Security-Advisory-Vorlage im CSAF-Format.

Meldewesen und Updates

Ein Runbook zur Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden an ENISA sowie ein Mechanismus zur Verteilung von Sicherheitsupdates.

So läuft es ab

  1. 01

    Ist-Analyse

    Wir erfassen, wie Sie Schwachstellen heute aufnehmen und behandeln, und vergleichen dies mit den CRA-Anforderungen.

  2. 02

    Prozessentwurf

    Wir erstellen das Verfahren, das Register, die CVD-Richtlinie und das Reporting-Runbook, zugeschnitten auf Ihr Team und Ihre Produkte.

  3. 03

    Einführung und Test

    Wir führen den Prozess ein, testen ihn an einem realen Szenario und justieren Rollen, Fristen und Vorlagen.

Ihr Ergebnis

  • Ein Prozess, der CRA Anhang I (Teil II) erfüllt
  • Bereitschaft für die 24-Stunden-Meldung an ENISA
  • Schnellere und nachweisbare Behebung von Schwachstellen
  • Glaubwürdige Kommunikation mit Kunden und Forschern

Häufige Fragen

Bis wann müssen wir Schwachstellen melden?
Eine aktiv ausgenutzte Schwachstelle ist innerhalb von 24 Stunden nach Kenntnisnahme (Frühwarnung) dem zuständigen CSIRT und ENISA zu melden, mit weiteren Fristen. Die Meldepflichten gelten ab September 2026, daher ist es ratsam, den Prozess früher bereit zu haben.
Was ist koordinierte Offenlegung von Schwachstellen (CVD)?
Es ist eine Richtlinie dafür, wie Sie Schwachstellenmeldungen von Dritten (z. B. von Forschern) entgegennehmen und wie Sie sie behandeln und offenlegen. Die CRA verlangt eine Kontaktstelle und ein Verfahren – wir bereiten beides vor.
Müssen wir Security Advisories veröffentlichen?
Die CRA verlangt die Offenlegung von Informationen über behobene Schwachstellen. Wir bereiten eine strukturierte Security-Advisory-Vorlage im CSAF-Format vor, die maschinenlesbar ist und zum Standard wird.

Verwandte Leistungen

Zurück zu den Leistungen

CRA-Beratung

Eine gezielte Beratung mit einem Experten für den Cyber Resilience Act. Wir beantworten Ihre konkreten Fragen, prüfen Ihre Entscheidungen und zeigen die nächsten Schritte auf.

Mehr erfahren

Erstellung der technischen Dokumentation

Wir erstellen Ihre technische Dokumentation gemäß CRA Anhang VII – von der Produktbeschreibung und Risikoanalyse über SBOM und Schwachstellenmanagement bis zur Konformitätserklärung.

Mehr erfahren

Folgenabschätzung / CRA-Scoping

Eine einleitende Bewertung der CRA-Auswirkungen auf Ihr Portfolio – wir ermitteln die betroffenen Produkte, Ihre Rolle, die Kategorie und den Umfang der Konformität als Grundlage für den gesamten Weg.

Mehr erfahren

Beginnen Sie mit dem CRA, bevor die Frist Sie einholt

Eine kostenlose Beratung zeigt Ihnen schnell, wo Sie stehen und welcher Weg zur Compliance der kürzeste ist.

Beratung vereinbaren