Wir wollten kein SaaS-Produkt bauen.
Wir wollten eine Frage beantworten, die in unseren Gesprächen mit EU-Herstellern immer wieder auftauchte: „Wir wissen, dass der Cyber Resilience Act kommt. Wir wissen, dass wir bei der Offenlegung von Schwachstellen etwas tun müssen. Aber wo fangen wir eigentlich an?“
Die ehrliche Antwort war jedes Mal: „Es ist komplizierter, als es sein sollte.“ Das störte uns genug, um etwas dagegen zu tun.
Das Problem, das wir immer wieder sahen
Der EU Cyber Resilience Act (CRA) führt zwei eigenständige Compliance-Fristen ein, die gerne vermengt werden, und diese Vermengung richtet echten Schaden an, wie Unternehmen planen.
Die erste Frist ist der 11. September 2026. Ab diesem Datum ist Artikel 14 des CRA durchsetzbar. Jeder Hersteller, der Produkte mit digitalen Elementen in den EU-Markt verkauft, muss einen Prozess haben, um aktiv ausgenutzte Schwachstellen an ENISA zu melden: eine 24-Stunden-Frühwarnung, eine 72-Stunden-Vollmeldung und einen Abschlussbericht nach 14 Tagen. Das ist nicht optional, es ist nicht auf große Unternehmen beschränkt, und es gilt für Produkte, die bereits auf dem Markt sind, einschließlich jedes Produkts, das vor dem 11. September 2026 in Verkehr gebracht wurde. Bußgelder für die Nichteinhaltung können 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen.
Die zweite Frist ist der 11. Dezember 2027. Dann greifen die vollständigen CRA-Anforderungen: CE-Kennzeichnung, Konformitätsbewertung, vollständige Programme zur koordinierten Offenlegung von Schwachstellen (CVD), SBOM-Verwaltung, Dokumentation von Sicherheitstests, CSAF-Sicherheitsmeldungen und der Rest. Das ist die komplexe, teure, zeitaufwändige Arbeit.
Die meisten Unternehmen, mit denen wir sprachen, behandelten dies als ein einziges Problem. Sie hörten „CRA-Konformität“ und sprangen sofort zu den Anforderungen von 2027, schlossen, es sei ein mehrjähriges Programm, das sie noch nicht beginnen könnten, und legten es beiseite. Unterdessen rückte September 2026 näher, und niemand hatte etwas zu Artikel 14 getan.
Das ist die Lücke, die CVD Portal schließen sollte.
Was wir tatsächlich gebaut haben
CVD Portal ist eine gehostete Plattform zur Verwaltung der Offenlegung von Schwachstellen. Hersteller registrieren sich, konfigurieren ihr Portal mit wenigen Klicks und erhalten eine öffentliche Einreichungs-URL, die sie von ihrer Website und ihrer security.txt-Datei verlinken können. Ab diesem Punkt übernimmt die Plattform den Arbeitsablauf.
Forscher reichen Schwachstellen über ein strukturiertes, nachverfolgtes Eingangsformular ein und erhalten eine sofortige Bestätigung mit einer Vorgangskennung. Das Portal überwacht SLA-Fristen, kennzeichnet aktiv ausgenutzte Schwachstellen und löst den Artikel-14-Meldezeitplan in dem Moment aus, in dem eine Einreichung eskaliert wird. Die ENISA-Meldefristen von 24 Stunden, 72 Stunden und 14 Tagen werden automatisch verfolgt, mit Erinnerungen und Statusanzeigen in jeder Phase. Jede Aktion, vom Eingang über Bestätigung, Eskalation, Meldung bis zur Lösung, wird in einem manipulationssicheren Prüfpfad protokolliert, der als Compliance-Nachweis dient. Eine sichere, PGP-verschlüsselte Kommunikation zwischen Hersteller und Forscher ist eingebaut.
Die Einrichtung eines konformen, einsatzbereiten Programms zur Offenlegung von Schwachstellen dauert weniger als fünf Minuten. Das ist keine Marketingaussage; es ist die Produktentscheidung, die wir bewusst getroffen haben, denn die Unternehmen, die dies am dringendsten brauchen, sind nicht jene mit einem dedizierten Team für Sicherheitstechnik. Es sind mittelgroße Industriehersteller, IoT-Gerätehersteller und Softwareanbieter, die noch nie ein CVD-Programm betrieben haben und etwas brauchen, das sofort funktioniert.
Warum wir die September-2026-Funktionen dauerhaft kostenlos gemacht haben
Als wir die Anforderungen von Artikel 14 mit dem abglichen, was ein Hersteller tatsächlich braucht, um bis September 2026 betriebsbereit konform zu sein, war die Liste endlich und erreichbar: ein öffentlicher Einreichungsmechanismus mit Nachverfolgung, eine Bestätigungsfähigkeit, ein Artikel-14-Meldeablauf, SLA-Verfolgung und ein Prüfpfad.
Wir hätten dafür Geld verlangen können. Wir haben uns dagegen entschieden.
Die Begründung war einfach. Hunderttausende Hersteller in der gesamten EU stehen vor dieser Frist. Die meisten von ihnen sind kleine und mittlere Unternehmen ohne Compliance-Budgets, Rechtsabteilungen oder Sicherheitsspezialisten. Würden wir für das minimal tragfähige Compliance-Werkzeug Geld verlangen, schlössen wir genau die Unternehmen aus, die es am dringendsten brauchen, und die September-Pflicht des CRA würde zu einer Bußgeldfabrik für KMU, die schlicht nicht wussten, was sie tun mussten.
Daher deckt die Free-Stufe von CVD Portal alles ab, was für September 2026 erforderlich ist, dauerhaft. Keine Testphasen. Keine Funktionsbeschränkungen bei der zentralen Artikel-14-Funktionalität. Keine Kreditkarte erforderlich, um zu starten.
Wofür wir Geld verlangen, auf unseren Pro- und Enterprise-Stufen, sind die Fähigkeiten, die für die Frist im Dezember 2027 zählen: SBOM-Verwaltung, Erstellung von CSAF-Sicherheitsmeldungen, Dokumentation von Sicherheitstestplänen, vollständige Werkzeuge für CVD-Programme, Verwaltung mehrerer Produkte und die Compliance-Analysen, die größere Organisationen brauchen. Diese Arbeit ist schwieriger, dauert länger in der Umsetzung und ist der Ort, an dem unser kommerzielles Modell sitzt.
Der Gedanke hinter der Trennung
Wir haben diese beiden Fristen im Produktmodell bewusst getrennt, weil sie wirklich unterschiedliche Probleme darstellen.
September 2026 ist ein operatives Problem. Sie brauchen einen funktionierenden Prozess und einen dokumentierten Prüfpfad. Sie brauchen ihn jetzt, und er sollte kein sechsmonatiges Umsetzungsprojekt erfordern.
Dezember 2027 ist ein Problem des Programmaufbaus. Sie müssen interne Fähigkeit aufbauen, sich in Ihren Produktentwicklungslebenszyklus integrieren, Ihre Komponentenlieferkette steuern und die Compliance-Artefakte erzeugen, die eine Konformitätsbewertungsstelle prüfen wird. Das ist erhebliche Arbeit, und sie sollte deutlich vor der Frist beginnen, idealerweise ein Jahr im Voraus.
Indem wir die September-Stufe kostenlos machen und Unternehmen jetzt auf die Plattform holen, geben wir ihnen etwas, das sie heute tatsächlich brauchen, und wir geben ihnen Zeit zu verstehen, was die Anforderungen von 2027 verlangen werden, bevor diese Anforderungen eintreffen. Das nützt ihnen. Es nützt auch uns: Ein Hersteller, der sein CVD-Programm achtzehn Monate lang auf CVD Portal betrieben hat, ist ein natürlicher Kandidat für ein Upgrade, wenn er SBOM-Verwaltung und CSAF-Sicherheitsmeldungen braucht. Mit dieser Ausrichtung sind wir einverstanden.
Wo wir jetzt stehen
CVD Portal ist live. Die Free-Stufe ist unter cvdportal.com verfügbar. Die Einrichtung dauert weniger als fünf Minuten.
Wir sind ein kleines Team mit Hintergrund im Cybersicherheits-Risikomanagement von Unternehmen und in der rechtlichen Sorgfaltspflicht, und wir haben dieses Produkt von Tag eins an mit Fokus auf regulatorische Genauigkeit gebaut. Wir haben den CRA-Text sorgfältig gelesen und die Durchführungsverordnungen, die ENISA-Leitlinien und die laufende Arbeit an den harmonisierten Normen verfolgt. Wenn die Verordnung etwas Bestimmtes sagt, spiegelt unser Produkt wider, was die Verordnung tatsächlich sagt, keine vereinfachte Näherung davon.
Wenn Sie ein Hersteller mit Produkten auf dem EU-Markt sind und Ihre Pflichten zum September 2026 noch nicht angegangen sind, lautet die ehrliche Botschaft: Die Frist ist näher, als sie sich anfühlt, und sich heute einzurichten kostet Sie nichts.
CVD Portal wird von Porta Regulus BV entwickelt und betrieben. Fragen? Erreichen Sie uns unter [email protected].