CRA · BEREITSCHAFT · v1
Der Cyber Resilience Act stellt Cybersicherheitsanforderungen an das Produkt — nicht nur an den Betreiber.
Ab dem 11. Dezember 2027 muss jedes „Produkt mit digitalen Elementen“, das auf dem EU-Markt in Verkehr gebracht wird, eine CE-Kennzeichnung gemäß der EU-Verordnung über Cyber-Resilienz — Verordnung 2024/2847 — tragen. CodeB Sovereign Communications wird darauf vorbereitet: Secure-by-Design, veröffentlichter Schwachstellen-Handling-Kanal, SBOM auf Anfrage, festgelegter Support-Zeitraum. Im Folgenden: was der CRA tatsächlich verlangt, wo CodeB heute steht und was bis zum Stichtag noch ansteht.
Horizontales Cybersicherheitsrecht für digitale Produkte.
Die EU-Verordnung über Cyber-Resilienz — Verordnung (EU) 2024/2847 — wurde im Oktober 2024 verabschiedet und trat am 11. Dezember 2024 in Kraft. Sie ist das erste horizontale Cybersicherheits-Regelwerk der EU für „Produkte mit digitalen Elementen“: Hardware und Software mit direkten oder indirekten Datenverbindungen zu einem Gerät oder Netz. Pflicht-CE-Kennzeichnung, risikogerechte Konformitätsbewertung und lebenszyklusumfassende Herstellerverantwortung.
Kernpflichten für den Hersteller:
- Secure by Design und by Default. Dokumentierte Risikobewertung, Bedrohungsmodell, Designentscheidungen zur Angriffsflächenreduktion.
- Schwachstellen-Handling. Kanal für koordinierte Schwachstellen-Offenlegung (CVD), strukturierte Triage, veröffentlichte Security-Policy.
- Software Bill of Materials (SBOM). Maschinenlesbares Komponenten- und Abhängigkeitsinventar.
- Support-Zeitraum. Kostenlose Sicherheitsupdates über einen festgelegten Zeitraum — mindestens fünf Jahre ab Inverkehrbringen, sofern die Produktlebensdauer nicht kürzer ist.
- Vorfallsmeldung. Aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntnisnahme an ENISA und das nationale CSIRT melden (Vorabwarnung); vollständige Meldung innerhalb von 72 Stunden.
- CE-Kennzeichnung. Das Produkt trägt das CE-Zeichen erst nach Abschluss des passenden Konformitätsbewertungsverfahrens.
Sanktionen reichen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Zwei Stichtage, nicht einer.
Der CRA staffelt seine Pflichten — man darf ihn nicht als einen einzigen „Dezember-2027-Cliff“ behandeln.
- 11. Dez 2024
- CRA tritt in Kraft. 36-monatige Übergangsfrist für die Hauptpflichten beginnt.
- 11. Sep 2026
- Schwachstellen-Meldepflichten gelten. Hersteller müssen einen CVD-Kanal und den 24-Stunden- / 72-Stunden-Meldeprozess betriebsbereit haben. Der frühe Stichtag, den die meisten Teams vergessen.
- 11. Dez 2027
- Alle übrigen Pflichten gelten. CE-Kennzeichnung für in Verkehr gebrachte Produkte erforderlich. Konformitätsbewertung muss abgeschlossen sein.
Wichtig Klasse I, nach unserer Lesart.
Der CRA teilt Produkte in vier Risikoklassen ein: Standard, Wichtig Klasse I, Wichtig Klasse II und Kritisch. Höhere Klassen erfordern eine unabhängigere Bewertung. Unsere Lesart von Anhang III ordnet CodeB der Klasse „Wichtig Klasse I“ zu, weil die Plattform Identitätsmanagement-Funktionalität enthält (der eingebaute OpenID-Connect-Provider und der EU-Wallet-Verifier) und ein Netzwerkmanagement-Werkzeug ist. Das bedeutet:
- Selbsterklärte Konformität reicht nicht. Es wird eine anerkannte Drittpartei-Konformitätsbewertung gegen eine harmonisierte Norm geben — voraussichtlich
EN 18031-1/2/3, sobald diese vorliegen. - Die CE-Kennzeichnung am Produkt (Softwareverteilung und Dokumentation) referenziert den gewählten Bewertungsweg.
- Technische Dokumentation (Anhang VII) und EU-Konformitätserklärung (Anhang V) müssen Marktaufsichtsbehörden zehn Jahre nach der letzten Inverkehrbringung zur Verfügung stehen.
Was bereits umgesetzt ist — und was auf dem Arbeitsplan steht.
Koordinierte Schwachstellen-Offenlegung
Veröffentlicht nach RFC 9116 unter /.well-known/security.txt auf jeder Installation. PGP-signierte Meldungen, 90-Tage-Frist (Standard), Anerkennung auf Wunsch.
Secure by Default
DTLS-SRTP für alle WebRTC-Medien, OIDC-only mit verpflichtendem PKCE, mandantenspezifische Schlüssel, kein dritter Medienpfad, keine Analyse-SDKs, ephemeralle Schlüssel pro Präsentation.
Audit-Logging
Mandantenspezifisches Sicherheitsereignis-Log mit dem strukturierten Spurnachweis, der für die Rekonstruktion eines Vorfalls nötig ist. Drei Audit-Kanäle für Passwort-Lebenszyklus. Webhook-Dispatcher mit signierten Anrufereignissen.
Keine erzwungene Drittpartei-Cloud
Self-hosted auf Kunden-Windows + IIS. Optionaler AI-Voice-Engine-Backend pro Mandant konfigurierbar; On-Premise-Backend für Air-Gap-Installationen unterstützt.
SBOM-Veröffentlichung
Komponentenliste wird implizit in den Projektreferenzen geführt. Formelles CycloneDX-SBOM mit Hashes steht auf dem Plan 2026, vorher auf Anfrage verfügbar.
Konformitätsbewertung
Drittpartei-Bewertung gegen EN 18031 (oder Nachfolger-Norm) ist für 2026 / Anfang 2027 vor dem Stichtag Dezember 2027 vorgesehen. Auswahl der benannten Stelle läuft.
Support-Zeitraum-Erklärung
Formelle schriftliche Erklärung des Support-Zeitraums (mindestens fünf Jahre ab letztem Versand) als Anhang zur Produktdokumentation. Im Entwurf vorhanden; finale Fassung mit dem 2027er Release.
Vorfalls-Meldeplaybook
24-Stunden-ENISA / nationaler-CSIRT-Vorabwarnungs-Workflow schriftlich festgelegt, mit benannten Verantwortlichkeiten. Informell geübt; schriftliches Playbook mit der 2026er CVD-Policy-Revision.
Der CRA steht nicht allein.
Vier EU-Regulierungen interagieren mit der Sicherheitslage von CodeB. Käufer in regulierten Sektoren müssen mehrere gleichzeitig erfüllen.
NIS2 — Richtlinie (EU) 2022/2555
Regelt Betreiber wesentlicher / wichtiger Einrichtungen über 18 Sektoren. Durchsetzung seit 2025 aktiv. Eine NIS2-betroffene Einrichtung, die nach Dezember 2027 ein nicht-CRA-konformes Produkt kauft, hat eine Compliance-Lücke auf beiden Seiten. CodeBs Self-hosted-Haltung und Audit-Logging vereinfachen die NIS2-Nachweisführung wesentlich.
DORA — Verordnung (EU) 2022/2554
Gilt seit 17. Januar 2025 für Finanzunternehmen. Die ICT-Drittanbieter-Risikopflichten übersetzen sich direkt in Lieferantenfragebögen. CodeBs Datenlokation-auf-deinem-Server-Haltung beseitigt die meisten ICT-Drittanbieter-Risikofragen, bevor sie gestellt werden.
EU AI Act — Verordnung (EU) 2024/1689
Transparenzpflichten ab dem 2. August 2026 verlangen, dass KI-Interaktionen dem Nutzer offengelegt werden. Die Persona-Prompts von CodeB Voice AI offenbaren bereits im ersten Satz „Sie sprechen mit einer KI“; siehe die AI-Anruf-Datenschutzseite.
eIDAS 2.0 — Verordnung (EU) 2024/1183
Die Annahme der EU-Digital-Identitäts-Wallet wird für private SCA-Dienste ab Dezember 2027 verpflichtend — selber Stichtag wie der CRA-Cliff. CodeBs EU-Wallet-Verifier ist heute live; siehe die Proof-Seite.
Was du jeden Kommunikationsanbieter jetzt fragen solltest.
Wenn du in 2026 eine Kommunikationsplattform bewertest, die nach Dezember 2027 noch im Betrieb sein muss, hier die Kurz-Checkliste:
- Welche CRA-Einstufung (Standard / Wichtig Klasse I / II / Kritisch)? Zeig die Anhang-III-Zuordnung.
- Wo ist der CVD-Kanal veröffentlicht? Ist RFC 9116
security.txtheute live? - Welcher Support-Zeitraum ab letzter Auslieferung ist deklariert — schriftlich?
- Kannst du ein CycloneDX- oder SPDX-SBOM auf Anfrage liefern?
- Welche benannte Stelle ist für die Konformitätsbewertung beauftragt?
- Was ist dein schriftlicher 24-Stunden-ENISA / CSIRT-Vorfallsmelde-Workflow?
- Wenn die Antwort auf etwas davon „machen wir noch“ ist — kannst du ein Datum nennen?
CodeBs Antworten auf alle Punkte sind dokumentiert und auf Anfrage verfügbar. Kontaktiere uns für die aktuellen Versionen.
Verwandte Inhalte.
- Privacy-Manifest — die breitere CodeB-Datenschutzhaltung.
- AI-Anruf-Datenschutz — KI-Act-Ausrichtung + AI-Verarbeitungsdatenfluss.
- EU-Wallet-Verifier-Proof — eIDAS-2.0-Bereitschaft.
- Alle Funktionen — vollständige technische Fläche.
- Kontakt — für Support-Zeitraum-Erklärung, SBOM, CVD-Policy oder benannte Stelle.
- /.well-known/security.txt — aktiver CVD-Kanal.