CRA · Produkte mit digitalen Elementen · SBOM · Vulnerability Handling

Der CRA-Kompass für Ihr Produkt —
Recht und Technik mit einem Partner.

Die Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Elementen zu Sicherheit-by-Design, Vulnerability Handling, SBOM, technischer Dokumentation und CE-Konformität. Wir verbinden die juristische Compliance mit der technischen Umsetzung — damit Ihr Produkt am EU-Markt bleibt.

Erstgespräch zum CRA → CRA-Quick-Check (PDF)

Juristen und Software-Engineers im selben Mandat. Selten in der DACH-Beratungslandschaft.

Meldepflicht ab: 11.09.2026
Volle Anwendbarkeit: 11.12.2027
Maximales Bußgeld: 15 Mio. € / 2,5 % Welt-Umsatz
Geltungsbereich: Alle Produkte mit Datenverbindung

01 · Leistungen

Drei Bausteine für eine CRA-Compliance, die ein Audit übersteht.

CRA-Gap-Assessment & Roadmap

Wo steht Ihr Produkt heute — und was muss bis 11.12.2027 stehen? Wir bewerten Geltungsbereich, SBOM, Vulnerability-Handling, Update-Verpflichtung und technische Dokumentation. Ergebnis: priorisierter Umsetzungsplan mit Timelines.

Selbsteinschätzung starten →

Technische Doku & CE-Konformität

Sicherheitsmaßnahmen, Software-Bill-of-Materials, Risikoanalyse und Konformitätserklärung. Unsere Engineers und Juristinnen entwickeln mit Ihnen die Dossiers, die Marktüberwachung ohne Rückfragen akzeptiert.

Doku-Sprint anfragen →

Vulnerability-Handling-Pipeline

Ab 11.09.2026 sind aktiv ausgenutzte Schwachstellen meldepflichtig. Wir etablieren den dokumentierten Workflow: Identifikation, Priorisierung, Patch-Ausrollung — gleichzeitig die juristische Vorbereitung für Meldepflicht-Szenarien.

Pipeline-Workshop anfragen →

2,5 %Welt-Umsatz als mögliches Bußgeld

5 JahreMindest-Support für Security-Updates

11.12.2027Volle CRA-Anwendbarkeit / CE-Pflicht

100 %Ihrer vernetzten Produkte sind erfasst

02 · Stimme aus der Praxis

„Die CRA ist für uns als SaaS-Anbieter eine große Veränderung. Aber durch tablegray verstehen wir endlich, was wir technisch umsetzen müssen und was die Juristinnen für Behördenanfragen brauchen. So eine Zusammenarbeit unter einem Dach gibt es selten.” Sophie K., CTO, SaaS-Startup Wien (Industrie 4.0)

03 · Pflichten und Fristen

Was zwischen heute und Dezember 2027 angefasst werden muss.

001Geltungsbereich klären (PDE-Definition)sofort
002Software-Bill-of-Materials (SBOM)vor 11.12.2027
003Sicherheit-by-Design + Risikoanalysevor 11.12.2027
004Vulnerability-Handling-Prozessbis 11.09.2026
005Technische Dokumentationvor 11.12.2027
006CE-Konformitätserklärung & -Kennzeichnungab 11.12.2027
007Update-Lieferverpflichtung 5+ Jahreab 11.12.2027
008Marktüberwachungs-Anfragen beantwortenlaufend

04 · Selbst-Check vor dem Gespräch

Ihr CRA-Status in zehn Minuten —
15 praktische Fragen, eine klare Roadmap.

Geltungsbereich, SBOM-Readiness, Vulnerability-Handling, Update-Politik, CE-Vorbereitung. Sie wissen am Ende, ob Ihr Produkt heute schon Marktüberwachungs-tauglich ist — und wo die Lücken sind.

CRA-Quick-Check 2026v1.0

CRA-Quick-Check für Hersteller

15 Fragen8 SeitenPDF

Geltungsbereich-Selbsttest: Sind Ihre Produkte wirklich PDE?
Risikoanalyse-Checkliste mit OWASP-/STRIDE-Bezug
SBOM- und Open-Source-Komponenten-Inventur
Vulnerability-Handling-Readiness-Check (Meldepflicht)
Roadmap-Vorlage 11.09.2026 → 11.12.2027

PDF anfordern →

05 · Häufige Fragen

Was Hersteller und SaaS-Anbieter zur CRA als erstes fragen.

Was ist ein „Produkt mit digitalen Elementen" (PDE) genau?

Jedes Hardware- oder Softwareprodukt, das eine Datenverbindung herstellen kann oder dafür ausgelegt ist — von Smart-Home-Geräten über IoT-Sensoren, Apps, SaaS bis Industriemaschinen mit Vernetzungsfunktion. Faustregel: Hat es eine digitale Komponente und kann es Daten austauschen? → CRA gilt.

Sind interne Tools und Custom-Software auch betroffen?

Ja, sofern sie als Produkt auf dem EU-Markt platziert werden — auch Custom-Entwicklungen für Kunden oder Tools mit Netzwerkfunktion. Rein interne Tools ohne Weitergabe sind teilweise ausgenommen.

Gilt die CRA auch für SaaS und Cloud-Services?

Ja. SaaS-Produkte, die als eigenständiges Produkt vermarktet werden, fallen darunter. Cloud-Backend-Lösungen brauchen Vulnerability-Handling, SBOM und Security-Updates.

Wann muss ich mit den Änderungen beginnen?

Die Anforderungen gelten progressiv: Vulnerability-Meldepflicht ab 11.09.2026, volle Compliance ab 11.12.2027. Wer jetzt startet, hat noch Zeit; wer wartet, gerät unter Druck.

Wie hoch sind die Bußgelder?

Bis 15 Mio. € oder 2,5 % des Welt-Umsatzes (je höher) für schwere Verstöße. Marktüberwachungsbehörden werden aktiv kontrollieren.

Kann ich CRA-Compliance selbst umsetzen?

Technische Maßnahmen (SBOM, Vuln-Handling) sind mit Expertise machbar. Die juristische Seite (Konformitätserklärung, Behörden-Kommunikation) braucht spezialisierte Beratung. tablegray bietet beides aus einer Hand.

06 · Erstgespräch

Nicht warten bis 2027.
Klarheit jetzt schaffen.

Der Quick-Check zeigt Ihre Lücken. Die Roadmap zeigt die Lösung. tablegray begleitet, damit Recht und Technik zusammenpassen.

Termin online buchen → oder Per E-Mail anfragen oder +43 664 144 96 56

Der CRA-Kompass für Ihr Produkt — Recht und Technik mit einem Partner.