CRA & NIS2 · verständlich erklärt
Neue EU-Regeln entscheiden, ob Sie noch in Europa verkaufen dürfen.
Wenn Ihr Produkt Software enthält — Firmware, ein Embedded-System, eine Steuerung — verlangen zwei EU-Gesetze jetzt den Nachweis, dass es sicher ist. Wer sie verfehlt, riskiert Bußgelder bis 15 Mio. € oder ein Produkt, das schlicht nicht mehr in der EU verkauft werden darf. Hier steht, was sie bedeuten — ohne Fachchinesisch — und was zu tun ist.
Betrifft es Sie?
Ehrlich beantworten. Wenn beides zutrifft, gelten die Regeln für Sie:
Ihr Produkt enthält Software — Firmware, Embedded-Linux, eine Steuerung, oder Software, die Sie eigenständig verkaufen.
Es gelangt in den EU-Markt — direkt, oder über einen Kunden, Händler oder Importeur.
Beides trifft zu? Dann lesen Sie weiter — das ist für Sie jetzt gesetzliche Pflicht, keine Option. Selbst ein Hersteller komplett außerhalb der EU ist gebunden, weil der europäische Importeur rechtlich für das haftet, was er einführt.
Was auf dem Spiel steht — in vier Zahlen
CRA voll verbindlich für jedes Produkt mit Software.
oder 2,5 % des Weltumsatzes — maximales Bußgeld.
Ohne Konformität kein Zugang zum EU-Markt.
Sicherheits-Updates verpflichtend nach jedem Release.
Die zwei Gesetze — verständlich
Reguliert die Hersteller von Produkten mit Software. Er verlangt von Ihnen:
- ▸ Eine maschinenlesbare SBOM — eine vollständige „Zutatenliste" aller Software-Komponenten.
- ▸ Überwachung auf neue Sicherheitslücken und Fixes für mindestens 5 Jahre.
- ▸ Meldung aktiv ausgenutzter Schwachstellen binnen 24 Stunden (ab Sep 2026).
- ▸ Dokumentation 10 Jahre aufbewahren, CE-Kennzeichnung tragen — kein CE, kein EU-Verkauf.
Reguliert die Betreiber kritischer Dienste (Energie, Wasser, Verkehr, Gesundheit, Banken, Maschinenbau …). Eine ihrer Pflichten ist Lieferketten-Sicherheit: Sie müssen sicherstellen, dass ihre Lieferanten sicher sind. Deshalb fragen sie jetzt jeden Zulieferer — vielleicht schon Sie: „Zeigen Sie uns Ihre SBOM und Ihren Schwachstellen-Prozess." Wer das nicht kann, verliert den Auftrag.
Die gute Nachricht: Beide Gesetze verlangen fast dasselbe. Wer es einmal richtig macht, erfüllt beide — den CRA und seine NIS2-Kunden — mit einem einzigen Prozess.
Was ist eine „SBOM"?
Eine Software Bill of Materials — die Zutatenliste, aber für Software. Ihr Produkt besteht aus hunderten fremden Bausteinen; die SBOM listet jeden davon: Name, Version, Hersteller, Lizenz.
2021 legte eine einzige Lücke in einer unscheinbaren Komponente („Log4Shell") Millionen Geräte lahm — und kaum jemand konnte „bin ich betroffen?" beantworten, weil niemand die Liste hatte. Der CRA macht diese Liste zur Pflicht. Der Aufwand steckt im Erstellen und Aktuell-Halten — genau das automatisiert embtrace.
Wie embtrace das löst
embtrace macht aus Ihrem bestehenden Build einen konformen — automatisch. Es ersetzt nicht, wie Sie bauen; es setzt Compliance obendrauf.
📋 Erzeugt die SBOM
Liest Ihren Build und erstellt die vollständige Zutatenliste — im genau vom Gesetz geforderten Maschinenformat.
🛡️ Wacht über Gefahren
Prüft Ihre Komponenten laufend gegen globale Schwachstellen-Datenbanken — Sie erfahren sofort, wenn eine angreifbar wird.
📄 Schreibt die Papiere
Erzeugt Compliance-Berichte und technische Dokumentation — mit klarem „Sind wir konform?"-Status.
🔐 Liefert Updates sicher aus
Baut signierte, verschlüsselte Update-Dateien, damit Sie die geforderten Sicherheits-Fixes über Jahre ausliefern können.
Gebaut für die Embedded-Realität — Yocto, Buildroot, FPGA, mehrere Chips — und vollständig selbst gehostet: nichts verlässt Ihr Haus.
Warum jetzt handeln zählt
NIS2 EU-weit in Kraft. Betreiber verschicken bereits Lieferanten-Fragebögen.
24-Stunden-Meldepflicht greift — unmöglich, ohne zu wissen, was im Produkt steckt.
Volle CRA-Konformität Pflicht — sonst kein EU-Verkauf.
Ein konformer Prozess braucht Monate, nicht Tage. Wer jetzt startet, ist bereit; der Rest wird improvisieren.
Klartext
embtrace repariert keine 20 Jahre alte Maschine, deren Quellcode verloren ist — das kann nichts. Aber es sorgt dafür, dass Ihre neuen und aktuellen Produkte von Tag eins an dokumentiert, nachvollziehbar und konform sind. Und weil wir ein kleines europäisches Team sind, bekommen frühe Kunden persönliches Onboarding und gestalten das Produkt mit.
Unsicher, wo Sie stehen?
Sagen Sie uns, was Sie bauen und wohin Sie verkaufen. Wir sagen Ihnen ehrlich, was CRA und NIS2 für Sie bedeuten — und ob embtrace passt.
Gespräch vereinbaren →