Müssen einzelne Komponenten separat CRA-konform sein?

Ja, Komponenten mit digitalen Elementen, die als eigenständige Produkte auf dem Markt bereitgestellt werden, müssen die CRA-Anforderungen eigenständig erfüllen. Dies gilt unabhängig davon, dass sie in ein Endprodukt integriert werden.

Wie wird die Verantwortung zwischen Komponentenhersteller und OEM aufgeteilt?

Der Komponentenhersteller verantwortet die Sicherheit seiner Komponente. Der OEM-Integrator verantwortet die sichere Integration und das Gesamtprodukt. Die Schnittstellen und Verantwortungsgrenzen müssen klar dokumentiert sein.

In welchem Format sollen SBOMs an OEM-Kunden geliefert werden?

Der CRA bevorzugt maschinenlesbare Formate. CycloneDX und SPDX sind die etablierten Standards. Kunnus unterstützt beide Formate und ermöglicht den automatisierten Export für unterschiedliche OEM-Anforderungen.

Was passiert, wenn eine Schwachstelle in meiner Komponente entdeckt wird?

Sie müssen die Schwachstelle innerhalb von 24 Stunden an die ENISA melden und unverzüglich einen Patch bereitstellen. Zusätzlich müssen alle OEM-Kunden informiert werden, die die betroffene Komponente einsetzen. Kunnus automatisiert diesen gesamten Prozess.

Alle Branchen

Industriekomponenten & Tier-1-Zulieferer

Als Komponentenhersteller stehen Sie im Zentrum der CRA-Lieferkette. Ihre Antriebe, Sensoren und Controller werden in Endprodukte zahlreicher OEMs integriert. Der Cyber Resilience Act verlangt, dass jede Komponente mit digitalen Elementen die Sicherheitsanforderungen erfüllt, und Ihre OEM-Kunden fordern zunehmend den Nachweis.

Jetzt CRA-Assessment starten

CRA-Relevanz für Industriekomponenten

Komponenten mit digitalen Elementen sind eigenständig CRA-pflichtig. Zusätzlich erwarten OEM-Kunden lückenlose Dokumentation, um ihre eigene Gesamtprodukt-Compliance nachzuweisen.

Antriebe, Sensoren und Controller mit eingebetteter Software sind eigenständige Produkte mit digitalen Elementen und direkt CRA-pflichtig
OEM-Kunden fordern zunehmend SBOMs und Schwachstelleninformationen von ihren Komponentenlieferanten
Die geteilte Verantwortung zwischen Komponentenhersteller und OEM muss klar dokumentiert und vertraglich geregelt werden
Komponenten-Updates müssen rückwärtskompatibel sein und dürfen die Integration beim OEM nicht gefährden
Die CRA-Dokumentation der Komponente muss dem OEM die Integration in seine Gesamtprodukt-Dokumentation ermöglichen

Compliance-Herausforderungen für Komponentenhersteller

Geteilte Verantwortung mit OEMs

Die Grenze zwischen Komponentenverantwortung und OEM-Verantwortung ist fließend. Komponentenhersteller müssen klar definieren, welche Sicherheitsaspekte sie abdecken und welche der OEM-Integrator verantwortet.

Vielfältige OEM-Anforderungen

Verschiedene OEM-Kunden haben unterschiedliche Anforderungen an SBOM-Formate, Dokumentation und Update-Prozesse. Die Bedienung vieler Kunden mit individuellen Anforderungen skaliert nicht ohne Automatisierung.

Komponenten-SBOM-Bereitstellung

Jede Komponente benötigt einen eigenen SBOM, der dem OEM als Baustein für den Gesamt-SBOM dient. Die Erstellung und Pflege dieser SBOMs über alle Komponentenvarianten und Firmware-Versionen ist aufwendig.

Rückwärtskompatible Sicherheitsupdates

Updates für Komponenten dürfen die Integration beim OEM nicht brechen. Schnittstellen, Protokolle und Verhalten müssen stabil bleiben, während Sicherheitslücken geschlossen werden.

Wie Kunnus Komponentenhersteller unterstützt

OEM-Portal für Compliance-Daten

Stellen Sie Ihren OEM-Kunden SBOMs, Schwachstelleninformationen und Compliance-Dokumentation über ein dediziertes Portal bereit. Kunnus automatisiert die Bereitstellung bei jeder Komponentenaktualisierung.

Standardisierte SBOM-Erzeugung

Kunnus generiert SBOMs in allen gängigen Formaten (CycloneDX, SPDX) und stellt sicher, dass Ihre Komponentendaten nahtlos in die Gesamt-SBOMs Ihrer OEM-Kunden integriert werden können.

Shared-Responsibility-Dokumentation

Definieren und dokumentieren Sie die Verantwortungsgrenzen zwischen Ihrer Komponente und dem OEM-Endprodukt. Kunnus erstellt klare Zuständigkeitsmatrizen für die CRA-Compliance.

Proaktive Schwachstellen-Benachrichtigung

Bei neuen CVEs in Ihren Komponenten benachrichtigt Kunnus automatisch die betroffenen OEM-Kunden und stellt Informationen zur Behebung bereit, bevor diese selbst nachfragen.

Alle Funktionen entdecken

Häufig gestellte Fragen

Häufige Fragen zur CRA-Compliance in dieser Branche.

CRA-Readiness Ihrer Komponenten prüfen

Ermitteln Sie, wie gut Ihre Industriekomponenten auf die CRA-Anforderungen vorbereitet sind und wie Sie Ihre OEM-Kunden optimal bedienen können.

Jetzt CRA-Assessment starten

Industriekomponenten & Tier-1-Zulieferer