complair.
Sprache
English Deutsch Français Español
Kostenlos starten
Stichtag 11. September 2026
Für EU-Software-Hersteller, IoT-Hersteller und Agenturen — CRA-Only oder zusätzlich zum AI Act

EU-Cyber-Resilience-Act-Compliance ohne Panik .

Meldepflichten gelten ab dem 11. September 2026. Vollständige Anwendbarkeit ab dem 11. Dezember 2027. Starten Sie mit dem kostenlosen CRA-Bereitschafts-Check — Klasse, Top-5-Pflichten und Frist-Countdown in 60 Sekunden. Upgraden Sie, wenn Sie bereit sind, Anhang I zu verfolgen, SBOMs einzulesen, CVEs zu überwachen und ENISA-Meldungen zu entwerfen.

Kostenlosen CRA-Check starten Preise ansehen

Keine Kreditkarte · Registrieren, Produkt klassifizieren, Einstufung erhalten

  • Anhang-I-Checkliste passend zur Produktklasse
  • SBOM-Import aus CI (CycloneDX 1.5 / SPDX 2.3 / package-lock / Gemfile.lock)
  • Schwachstellenüberwachung via OSV + NVD + CISA KEV
  • Mehrfenster-Meldungen 24h / 72h / 14d / 1 Monat an ENISA
ZEIT BIS ZUM BEGINN DER CRA-MELDEPFLICHTEN
120
Tage
11 Sep 2026
576 days bis zur vollständigen Anwendbarkeit (11. Dez. 2027)
KOSTENLOS · 60 SEKUNDEN · OHNE KARTE

Beginnen Sie mit dem kostenlosen CRA-Bereitschafts-Check

Fünf Fragen, eine Einstufung, fünf Pflichten, die zuerst angegangen werden müssen. Finden Sie heraus, ob die CRA gilt, in welche Klasse Ihr Produkt fällt und wie viel Zeit bleibt — bevor Sie sich auf einen Tarif festlegen.

Kostenlosen Check starten
  1. 1

    Produktname + Ihre Rolle (Hersteller / Importeur / Händler)

  2. 2

    Beste Schätzung der CRA-Klasse (wir erklären Anhang III/IV verständlich)

  3. 3

    EU-Marktstatus + Datum des Inverkehrbringens

  4. 4

    Einstufung + Top-5-Pflichten + Frist-Countdown erhalten

  5. 5

    Upgrade auf Growth (CRA Lite) oder Scale (Full CRA), wenn Sie bereit sind

Wen die CRA besonders trifft

Wer Software mit digitalen Elementen in der EU vertreibt, ist betroffen. Wir konzentrieren uns auf die Bereiche, die am stärksten gefordert sind:

Kleine EU-Software-Hersteller

SaaS, Entwickler-Tools, Enterprise-Tools. Anhang I + SBOM + Richtlinie zur Schwachstellenoffenlegung. Ein Verkaufszyklus-Beschleuniger.

Embedded- und IoT-Produktunternehmen

Hardware mit ausgelieferter Firmware. Wichtige Klasse I/II nach Anhang III. Drittanbieter-Bewertung verpflichtend.

Agenturen, die Kundenprodukte pflegen

Wer ausliefert, ist Hersteller. CE-Kennzeichnung + EU-Konformitätserklärung pro Produkt.

Was vom ersten Tag an ausgeliefert wird

Produktklassifizierung

Anhang-III/IV-Fragebogen führt durch Standard / Wichtige Klasse I / Wichtige Klasse II / Wesentlich. Stets der richtige Konformitätsbewertungsweg.

Anhang-I-Checkliste

Alle 22 grundlegenden Cybersicherheitsanforderungen aus Anhang I — mit produktklassen­abhängiger Priorität und EUR-Lex-Verweisen pro Artikel.

SBOM-Import

Drag & Drop für CycloneDX, SPDX, package-lock.json, Gemfile.lock. Oder per produktbezogenem API-Token aus der CI. Idempotenz-Schlüssel + 50-MB-Begrenzung + bezifferte Parse-Fehler.

Schwachstellenüberwachung

Tägliche Delta-Synchronisation aus OSV + NVD + CISA KEV. KEV-markierte („aktiv ausgenutzt“) Befunde stehen oben in jedem Dashboard.

Mehrfenster-Meldungen

Artikel-14-Kaskade in der Vorfallsicht: 24h Frühwarnung, 72h Meldung, 14 Tage Schlussbericht zur Schwachstelle, 1 Monat Schlussbericht zum schwerwiegenden Vorfall — jeweils korrekt verankert.

ENISA-SRP-Entwurf

SRP-Payload als JSON oder PDF generieren. Mit dem tatsächlichen Übermittlungs­zeitpunkt als „eingereicht“ markieren. Audit-Spur für die Behörde.

Kundenbenachrichtigung

KI-vorformulierte Pflicht-zur-Information-der-Nutzer-Mail (Art. 14(8)). Zwei-Modell-Fallback (Anthropic → OpenAI → Gemini → manuelle Vorlage) — nie leer.

Konformitätsdokumente

EU-Konformitätserklärung (Art. 28), CE-Kennzeichnungs-Dokumentation (Art. 29), Anhang-II-Bedienungsanleitung, technische Dokumentation (Art. 31). Jeweils mit einem Klick.

Öffentliches Trust-Center mit CRA-Tab

Richtlinie zur Schwachstellenoffenlegung (Art. 13) + Reaktions-SLA-Tabelle + 90-Tage-Aggregat. URL geht direkt an den Einkauf.

Vom kostenlosen Verdikt zur vollständigen CRA-Verfolgung

Starten Sie mit dem kostenlosen Bereitschafts-Check auf Starter. Stapeln Sie CRA Lite auf Growth oder wählen Sie Scale für volle CRA — SBOM, Schwachstellenüberwachung und ENISA-fähiges Reporting inklusive.

Add-on · 14 Tage gratis

CRA Lite

€29 /Monat

Anhang-I-Klassifizierung + grundlegende CRA-Checkliste. Ideal für Produkte, die Scope bestätigen und Basics dokumentieren wollen.

  • Anhang-I-Produktklassifizierung (Standard / important Klasse I & II / essential)
  • CRA-Checkliste + Audit-Log
  • Manueller Evidence Vault
  • Bis zu 5 Plätze
Mit Starter + CRA Lite starten
Add-on · Empfohlen · 14 Tage gratis

CRA Full

€79 /Monat

Alles rund um CRA: SBOM-Import, OSV/NVD/KEV-Schwachstellenüberwachung, ENISA-Berichte und der öffentliche CRA-Trust-Center-Tab.

  • Alles aus CRA Lite
  • SBOM-Import (manuell + CI-API, CycloneDX 1.5 + SPDX 2.3)
  • Schwachstellenüberwachung (OSV + NVD + CISA KEV)
  • Mehrfenster-Vorfallsmeldungen + ENISA-Entwurf
  • Öffentliches Trust-Center mit CRA-Tab
  • Schwachstellenoffenlegung (Art. 13)
Mit Starter + CRA Full starten

Starter (für immer kostenlos) enthält den CRA-Bereitschafts-Check — Einstufung + Top-5-Pflichten + Frist-Countdown für ein Produkt. Kostenlos registrieren →

Bereits in einem Complair-AI-Act-Tarif? CRA aus dem Workspace hinzufügen. Growth enthält CRA Lite. Scale und Business enthalten Full CRA.

Häufige Fragen

Wir verkaufen SaaS — gilt die CRA für uns?

Wenn das SaaS-Angebot herunterladbare Komponenten enthält (CLI, SDK, Browser-Erweiterung, On-Premise-Connector), ja. Reines Cloud-SaaS ohne ausgelieferten Code fällt im Allgemeinen nicht unter die CRA — Sonderfälle gibt es trotzdem. Der CRA-Klassifizierungsfragebogen führt Sie durch die Beurteilung.

Unser Produkt wurde vor dem 11. Dezember 2027 in Verkehr gebracht — sind wir befreit?

Im Großen und Ganzen ja. Produkte, die vorher in Verkehr gebracht wurden, unterliegen den vollen CRA-Pflichten erst nach einer wesentlichen Änderung. Die Meldepflichten nach Artikel 14 gelten ab dem 11. September 2026 unabhängig davon. Complair bildet diese Übergangsregel pro Produkt ab.

Wir haben noch kein SBOM-Tool — können wir Complair trotzdem nutzen?

Ja. Ziehen Sie eine package-lock.json oder Gemfile.lock per Drag & Drop ein, und wir synthetisieren das SBOM. Oder nutzen Sie unseren GitHub-Action-/GitLab-CI-Snippet, um bei jedem Release-Tag ein CycloneDX-SBOM zu pushen.

Was ist mit wesentlichen Produkten aus Anhang IV?

Wesentliche Produkte erfordern ein europäisches Cybersicherheitszertifizierungs­system. Complair verfolgt die Pflichten und erstellt die technische Dokumentation; die Zertifizierung selbst übernimmt eine zugelassene Stelle.

Ist die CRA-Meldung über ComplAir eine automatische Pipeline zu ENISA?

Wir rendern die SRP-Payload als JSON und PDF. Sie reichen außerhalb des Systems über das ENISA-Portal ein und klicken anschließend auf „Einreichung bestätigen“ mit dem tatsächlichen Zeitstempel. Die programmgesteuerte Webhook-Übermittlung ist auf der Roadmap, sobald ENISA eine stabile öffentliche API veröffentlicht.

Der 11. September 2026 ist näher, als er aussieht

Inventarisieren Sie Ihre Produkte, lassen Sie den Klassifikator laufen und liefern Sie noch heute einen Entwurf für die Kundenbenachrichtigung.

Kostenlos starten Preise ansehen