Wann gilt der EU Cyber Resilience Act für Embedded-Produkte?

Der CRA ist seit Dezember 2024 in Kraft. Die 24h-ENISA-Meldepflicht gilt ab September 2026, die vollständige Anwendung ab Dezember 2027.

Was ist BSI TR-03183 und warum ist sie relevant?

BSI TR-03183 ist die deutsche technische Richtlinie die SBOM-Mindestanforderungen für CRA-pflichtige Produkte definiert. Sie schreibt u.a. CycloneDX oder SPDX Format, PURL-Identifikatoren und Lizenzdaten vor.

Unterstützt embtrace die ENISA-Meldepflicht für Schwachstellen?

Ja, embtrace enthält ein ENISA-Reporting-Modul das strukturierte Meldungen für aktiv ausgenutzte Schwachstellen gemäß CRA Art. 14 generiert.

Funktioniert embtrace mit Yocto und Buildroot?

Ja, embtrace integriert sich nahtlos in bestehende Yocto- und Buildroot-Builds. Es ersetzt nicht das Build-System, sondern ergänzt es um CRA-Compliance-Funktionen.

EU Verordnung 2024/2847

CRA-Compliance mit embtrace

Der EU Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Elementen zu SBOM, Vulnerability-Management und technischer Dokumentation. Bei Verstößen drohen Strafen bis zu €15 Mio oder 2,5% des weltweiten Jahresumsatzes.

Dez 2024

CRA in Kraft

Sep 2026

24h-Meldepflicht

Dez 2027

Volle Anwendung

CRA-Anforderungen → embtrace-Commands

Vollständiges Mapping: Welcher CRA-Artikel wird durch welchen embtrace-Befehl erfüllt.

CRA-Anforderung	Artikel	embtrace-Feature	Command
Maschinenlesbares SBOM	Art. 13(15)	SBOM-Generierung (CycloneDX/SPDX)	`embtrace sbom generate`
SBOM aller Top-Level-Deps	Annex I, Part II(1)	Yocto/Buildroot-Import + Merge	`embtrace sbom import + merge`
Vulnerability-Management	Art. 13(6)	CVE-Scanning + VEX-Lifecycle	`embtrace sbom vuln`
24h-Meldung an ENISA	Art. 14(2)	ENISA-Report-Generator	`embtrace comply enisa-report`
5 Jahre Sicherheitssupport	Art. 13(8)	Support-Zeitraum in Config	`embtrace comply audit --policy cra`
Technische Dokumentation	Art. 31, Annex VII	Automatische Doku-Generierung	`embtrace comply documentation`
10 Jahre Aufbewahrung	Art. 31(2)	Release-Archiv mit Manifest	`embtrace release create`
Sichere Updates	Annex I, Part I(3)	Signierte Update-Pakete (Ed25519)	`embtrace update create --sign`
Rückverfolgbarkeit	Annex I, Part II(1)	Release-Manifest (Git→Build→Release)	`embtrace release create`

BSI TR-03183 — Technische Richtlinie

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit TR-03183 v2.1.0 konkrete technische Anforderungen für SBOM und Vulnerability-Management definiert. embtrace unterstützt diese als eigenständige Policy.

SBOM-Pflichtfelder (TR-03183)

Komponenten-Name
Versions-Nummer (konkret, kein Range)
Hersteller / Supplier
Lizenz (SPDX License ID)
Package URL (PURL)
Kryptographischer Hash (SHA-256)

embtrace-Command

# BSI TR-03183 Policy-Audit
embtrace sbom audit \
  --sbom product-sbom.cdx.json \
  --policy bsi-tr-03183

✓ name: 100% (47/47)
✓ version: 100% (47/47)
⚠ supplier: 95% (45/47)
✓ license: 100% (47/47)
✓ purl: 100% (47/47)

Overall: YELLOW
Exit code: 2

Haftungsschutz durch Dokumentation

Die EU-Produkthaftungsrichtlinie (2024/2853) kehrt die Beweislast um: Hersteller müssen belegen, dass sie Schwachstellen professionell gemanagt haben.

Ohne Dokumentation

Ein Gerät wird gehackt. Der Hersteller kann kein SBOM, keine CVE-Dokumentation und keine Patch-History vorlegen.

Gericht vermutet Fehlerhaftigkeit

Der Hersteller muss das Gegenteil beweisen — praktisch unmöglich ohne Aufzeichnungen.

Mit embtrace

Der Hersteller legt vor: SBOM, CVE-History, VEX-Dokumente, Patch-History, Audit-Reports — automatisiert bei jedem Release erzeugt.

Nachweis professionellen Schwachstellen-Managements

„Wir wussten was in unserem Produkt steckt und haben jede CVE bewertet und dokumentiert.“

Die Beweiskette — automatisiert mit embtrace

1. Transparenz

SBOM

sbom generate

2. Bewertung

CVE-Scan + VEX

sbom vuln

3. Nachverfolgung

Changelog + Manifest

release create

4. Compliance

Audit + ENISA

comply audit

Unsicher ob Ihr Produkt CRA-pflichtig ist?

Kontaktieren Sie uns für eine kostenlose Ersteinschätzung. Wir helfen Ihnen zu verstehen, welche CRA-Anforderungen für Ihr Produkt gelten und wie embtrace sie erfüllt.

Kostenlose Ersteinschätzung →