Engineering-Blog

CVD Portal Engineering

Technische Einblicke in die koordinierte Offenlegung von Schwachstellen, CRA-Konformität und Produktsicherheitstechnik.

CRA-Konformität2026-06-169 Min. Lesezeit

Die Uhr läuft: Was niederländische Führungskräfte vor Inkrafttreten der Cyberbeveiligingswet wissen müssen

Die Niederlande haben die NIS2-Umsetzungsfrist um fast zwei Jahre verpasst. Nun hat die Cyberbeveiligingswet das Abgeordnetenhaus passiert, und die Regierung strebt das Inkrafttreten zum 1. Juli 2026 an. Vier durchsetzungsrelevante Pflichten, einschließlich persönlicher Haftung der Geschäftsleitung, verändern gerade die Arbeit niederländischer Vorstände.

Von Das CVD-Portal-Team

CRA-Konformität2026-06-168 Min. Lesezeit

Die überlappenden Meldeuhren: CRA, NIS2 und DSGVO in einem Bild

Ein einziges Sicherheitsereignis kann drei Rechtsuhren zugleich starten. CRA, NIS2 und DSGVO verlangen jeweils eine Meldung mit eigener Frist, an eigene Behörde, in eigenem Format. Hier steht, wie sich die Pflichten überschneiden und warum ein Hersteller einen einzigen Ort braucht, um sie zu verfolgen.

Von Das CVD-Portal-Team

CRA-Konformität2026-06-029 Min. Lesezeit

Wann die Meldung von Schwachstellen und Vorfällen unter dem CRA verpflichtend wird

Die Meldepflichten des CRA treten nicht zusammen mit dem Rest der Verordnung in Kraft. Artikel 14 gilt ab dem 11. September 2026, vor der vollständigen Konformität im Dezember 2027, und er bindet Hersteller in dem Moment, in dem ein Produkt aktiv ausgenutzt wird. Hier steht genau, wann die Pflicht beginnt und wen sie bindet.

Von Das CVD-Portal-Team

CRA-Konformität2026-06-0210 Min. Lesezeit

Welche Schwachstellen und Vorfälle gemeldet werden müssen und welche nicht

Die meisten Schwachstellen, die ein Hersteller bearbeitet, lösen nie eine Meldung an Behörden aus. Die Pflicht aus Artikel 14 des CRA ist eng gefasst: aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Produktsicherheit beeinträchtigen. Hier steht, wie man erkennt, was in den Anwendungsbereich fällt, mit durchgearbeiteten Beispielen und einem Entscheidungsrahmen.

Von Das CVD-Portal-Team

CRA-Konformität2026-06-019 Min. Lesezeit

Meldefristen und Folgepflichten verstehen

Artikel 14 ist eine dreistufige Kaskade: eine Frühwarnung nach 24 Stunden, eine detaillierte Meldung nach 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen oder einem Monat. Hier steht, was jede Stufe enthalten muss, wann die Uhr beginnt und welche Folgepflichten nach dem Abschlussbericht weiterbestehen.

Von Das CVD-Portal-Team

CRA-Konformität2026-06-019 Min. Lesezeit

Wie die Meldung an ENISA und nationale Behörden organisiert ist

Tritt ein Artikel-14-Ereignis ein, meldet ein Hersteller nicht an eine einzige Behörde. Der CRA leitet Meldungen über eine zentrale Plattform zugleich an ENISA und das zuständige nationale CSIRT. Hier steht, wie diese Architektur funktioniert, wer was erhält und wie die Weiterleitung fließt.

Von Das CVD-Portal-Team

CRA-Konformität2026-05-315 Min. Lesezeit

Open Bug Bounty vs. CVD Portal: Was ist der Unterschied?

Open Bug Bounty und CVD Portal befassen sich beide mit der Offenlegung von Schwachstellen, dienen aber völlig unterschiedlichen Zwecken. Das eine ist ein von der Community getragenes Meldenetzwerk, das andere ein Werkzeug zur Einhaltung von Vorschriften, gebaut für den europäischen Markt.

Von CVDPortal-Redaktionsteam

Sicherheitsbetrieb2026-05-3010 Min. Lesezeit

Interne Erkennungs-, Eskalations- und Entscheidungsprozesse vorbereiten

Die 24-Stunden-Uhr des CRA wird in Ihrer eigenen Organisation gewonnen oder verloren, lange bevor eine Meldung ENISA erreicht. Dies ist ein praktischer Leitfaden zu den Erkennungsquellen, Eskalationswegen und Entscheidungsbefugnissen, die aus einem vagen Signal um 2 Uhr nachts eine rechtzeitig eingereichte Frühwarnung machen.

Von Das CVD-Portal-Team

Sicherheitsbetrieb2026-05-299 Min. Lesezeit

Schwachstellenmeldung mit dem umfassenderen Produkt- und Risikomanagement verknüpfen

Die Meldung nach Artikel 14 sollte das sichtbare Ergebnis eines gesunden Produktsicherheitsprogramms sein, kein Anhängsel. Dieser abschließende Beitrag zeigt, wie die Meldung mit der Schwachstellenbehandlung, dem SBOM, der sicheren Entwicklung und der Marktüberwachung zusammenhängt, sodass die Einreichung einer Meldung ein Nebenprodukt davon ist, den Rest gut zu machen.

Von Das CVD-Portal-Team

CRA-Konformität2026-05-297 Min. Lesezeit

Was NIS2 von Organisationen bei der koordinierten Offenlegung von Schwachstellen erwartet

NIS2 teilt die koordinierte Offenlegung von Schwachstellen zwischen einer nationalen CSIRT-Ebene und einer organisatorischen Ebene auf. Hier steht, was eine konforme CVD-Richtlinie enthalten soll, wie der Prozess im Tagesgeschäft laufen sollte und wie er die Grundlage für das schafft, was der CRA verlangen wird.

Von Das CVD-Portal-Team

CRA-Konformität2026-05-209 Min. Lesezeit

Warum wir CVD Portal gebaut haben und warum die September-Frist uns dazu brachte, es kostenlos anzubieten

Eine Mitteilung des Teams von Porta Regulus BV dazu, warum CVD Portal existiert, warum die Artikel-14-Stufe für September 2026 dauerhaft kostenlos ist und wie wir die Fristen September 2026 und Dezember 2027 im Produktmodell getrennt haben.

Von Porta Regulus BV

CRA-Konformität2026-05-1511 Min. Lesezeit

Die Frist im September 2026 beziffern: Eine PERT-Kostenschätzung für die CRA-Konformität von KMU

Eine belastbare Drei-Punkt-PERT-Schätzung dafür, was es einen EU-KMU-Hersteller tatsächlich kostet, die CRA-Meldefrist nach Artikel 14 am 11. September 2026 einzuhalten. Erwartete Kosten: rund 39.700 Euro mit einem 90-%-Intervall von 33.900 bis 45.500 Euro.

Von Das CVD-Portal-Team

CRA-Konformität2026-05-1410 Min. Lesezeit

CRA-Vorfall- und Schwachstellenmeldung: Welche Pflichten gelten, wann sie beginnen und wie man bereit ist

Der CRA trennt die Schwachstellenmeldung von der Vorfallmeldung, setzt für jede eigene Fristen und leitet Meldungen über die zentrale Meldeplattform an ENISA und nationale Behörden. Hier steht, was für Ihre Produkte gilt, wann es beginnt und welche internen Prozesse Sie vor September 2026 brauchen.

Von Das CVD-Portal-Team

CRA-Konformität2026-05-139 Min. Lesezeit

Security by Design unter dem CRA: Was es über den Produktlebenszyklus hinweg tatsächlich bedeutet

Der CRA verlangt, dass Sicherheit von den frühesten Phasen der Produktentwicklung an integriert und nicht am Ende hinzugefügt wird. Risikoanalyse, Bedrohungsmodellierung, statische und dynamische Tests und die Übersetzung technischer Erkenntnisse in Compliance-Nachweise sind nun Entwicklungspflichten, keine optionalen Praktiken.

Von Das CVD-Portal-Team

CRA-Konformität2026-05-128 Min. Lesezeit

CRA-Konformität über Produktportfolios hinweg verwalten: Struktur, Reifegradbewertung und Prüfpfade

Für Hersteller mit mehreren Produkten oder PDE-Versionen ist die CRA-Konformität kein einmaliges Projekt, sondern ein fortlaufender Prozess. Bewertungen nach Produktlinie zu strukturieren, mit Reifegradbewertung den Fortschritt zu verfolgen und eine konsistente, prüffähige Beweissammlung zu pflegen, unterscheidet wiederholbare Compliance von einmaligen Häkchen-Übungen.

Von Das CVD-Portal-Team

Technische Analyse2026-05-118 Min. Lesezeit

Ist das 90-Tage-Offenlegungsfenster tot? Wie KI die Regeln der CVD neu schreibt

LLMs haben die Entdeckung von Schwachstellen und die Entwicklung von Exploits auf nahezu null verdichtet. Von gleichzeitiger Fehlerentdeckung bis zu 30-minütigen Pipelines vom Patch zum Exploit halten die Annahmen hinter klassischen CVD-Sperrfristen nicht mehr stand.

Von CVDPortal-Redaktionsteam

CRA-Konformität2026-05-109 Min. Lesezeit

CRA-Technische-Dokumentation: Welche Nachweise erforderlich sind und wann sie erstellt werden müssen

Anhang VII des CRA legt fest, welche technische Dokumentation ein Hersteller erstellen und pflegen muss. Zu verstehen, welche Dokumente für Ihre Produktklasse erforderlich sind, wie sie mit Risikobewertungen und Lebenszyklusentscheidungen zusammenhängen und wann sie erstellt oder aktualisiert werden müssen, ist vor der Konformitätsfrist im Dezember 2027 unerlässlich.

Von Das CVD-Portal-Team

CRA-Konformität2026-05-098 Min. Lesezeit

CRA-Selbsterklärung: Wann sie zulässig ist, welche Nachweise sie erfordert und wie man einen belastbaren Prozess aufbaut

Die meisten Produkte mit digitalen Elementen kommen unter dem CRA für die Selbsterklärung in Frage, doch der Beweisstandard ist nicht trivial. Die Produktklassifizierung bestimmt den Weg, Risikobewertungen müssen mit den grundlegenden Anforderungen verknüpft sein, und Prozesse zur Schwachstellenbehandlung müssen dokumentiert sein, bevor eine Konformitätserklärung unterzeichnet werden kann.

Von Das CVD-Portal-Team

CRA-Konformität2026-04-1612 Min. Lesezeit

Die vier Wege der Konformitätsbewertung unter dem EU Cyber Resilience Act

Ein Herstellerleitfaden zu den vier CRA-Wegen der Konformitätsbewertung: von der Selbstbewertung nach Modul A über die EU-Baumusterprüfung durch eine notifizierte Stelle und die umfassende Qualitätssicherung nach Modul H bis zur EUCC-Zertifizierung für kritische Produkte. Die Produktklassifizierung bestimmt, welcher Weg gilt.

Von Das CVD-Portal-Team

CRA-Konformität2026-04-168 Min. Lesezeit

ENISA zur Zukunft der EU-Schwachstellenoffenlegung: Was sie für Hersteller bedeutet

ENISAs Leiter der Schwachstellendienste darüber, warum das CVE-Programm eine verteilte Governance braucht, wie die zentrale CRA-Meldeplattform die Pflichten der Hersteller verändert und warum die richtige Handhabung der Schwachstellenoffenlegung nun ein Wettbewerbsvorteil ist.

Von Das CVD-Portal-Team

CRA-Konformität2026-04-1510 Min. Lesezeit

Fünf Monate bis September: Was die Konformität mit CRA-Artikel 14 wirklich erfordert

Die Durchsetzung von Artikel 14 beginnt am 11. September 2026, für Produkte, die bereits auf dem Markt sind. Hier steht genau, welche Infrastruktur Hersteller, Einführer und Händler vor der Frist bereithalten müssen: VDP, Triage-Befugnis, Meldekaskade und Prüfpfad.

Von Das CVD-Portal-Team

CRA-Konformität2026-04-159 Min. Lesezeit

Ausnutzbar vs. ausgenutzt: Die rechtliche Unterscheidung, die Ihre CRA-Konformität bestimmt

Der CRA zieht eine scharfe rechtliche Grenze zwischen „ausnutzbaren“ und „aktiv ausgenutzten“ Schwachstellen, mit sehr unterschiedlichen Folgen für jede. Wir schlüsseln den dreistufigen Pflichtenrahmen auf, die Rolle der EUVD als maßgebliche Referenz und die Meldefristen im September 2026, die für bereits auf dem Markt befindliche Produkte gelten.

Von Das CVD-Portal-Team

CRA-Konformität2025-03-2412 Min. Lesezeit

CRA-Schwachstellenbehandlung: Was jeder Hersteller vor September 2026 wissen muss

Der EU Cyber Resilience Act schafft den ersten verpflichtenden Rahmen zur Schwachstellenbehandlung für Produkte mit digitalen Elementen. Wir schlüsseln die 26 Artikel auf, die wichtigsten Fristen und die praktischen Schritte, die Hersteller heute zur Vorbereitung gehen sollten.

Von Das CVD-Portal-Team

Technische Analyse2025-03-1715 Min. Lesezeit

Anatomie einer koordinierten Offenlegung von Schwachstellen: Von der Meldung zum Patch

Eine Schritt-für-Schritt-Begehung des gesamten CVD-Lebenszyklus: Entgegennahme einer Forschermeldung, Triage mit CVSS, Abstimmung mit Upstream-Maintainern, Entwicklung einer Korrektur und Veröffentlichung einer CSAF-Sicherheitsmeldung. Mit Erwartungen an den Zeitplan und häufigen Fallstricken.

Von CVD Portal Engineering

Lieferkettensicherheit2025-03-1010 Min. Lesezeit

Warum Ihr SBOM die Grundlage Ihrer Sicherheitslage ist

Der CRA schreibt Software-Stücklisten für alle Produkte mit digitalen Elementen vor. Aber ein SBOM ist nicht nur ein Compliance-Häkchen, es ist die Grundlage für Schwachstellenkorrelation, Lieferkettenrisikomanagement und Reaktion auf Vorfälle. Hier steht, wie man es richtig macht.

Von CVD Portal Engineering

CRA-Konformität2025-03-038 Min. Lesezeit

Die 24-Stunden-Meldepflicht: Artikel 14 und was er in der Praxis bedeutet

Entdeckt ein Hersteller eine aktiv ausgenutzte Schwachstelle, verlangt der CRA eine Frühwarnung an das zuständige CSIRT innerhalb von 24 Stunden. Wir untersuchen, wie diese Pflicht funktioniert, was sie auslöst und wie man einen internen Prozess aufbaut, der die Frist jedes Mal einhält.

Von Das CVD-Portal-Team

Sicherheitsbetrieb2025-02-2414 Min. Lesezeit

Ein Product Security Incident Response Team von Grund auf aufbauen

Den meisten KMU, die in den EU-Markt verkaufen, fehlt ein dediziertes PSIRT. Da die CRA-Durchsetzungsfrist näher rückt, finden Sie hier einen praktischen Leitfaden zum Aufbau von Fähigkeiten zur Schwachstellenbehandlung: Rollen, Werkzeuge, Prozesse und das minimal tragfähige PSIRT.

Von CVD Portal Engineering

Technische Analyse2025-02-1711 Min. Lesezeit

CSAF-2.0-Sicherheitsmeldungen erklärt: Maschinenlesbare Offenlegung von Schwachstellen

Das OASIS Common Security Advisory Framework (CSAF) 2.0 wird zum Standard für maschinenlesbare Schwachstellenmeldungen. Wir erklären das Format, seine Beziehung zum CRA und wie CVD Portal CSAF-Meldungen automatisch erzeugt.

Von CVD Portal Engineering

Bleiben Sie informiert

Neue Artikel zu CRA-Konformität, Offenlegung von Schwachstellen und Produktsicherheitstechnik.

Herausgegeben von CVD Portal Engineering