EU CYBER RESILIENCE ACT · AB 11.09.2026

CRA-compliant in 30 Minuten.
Audit-ready. Ohne Anwalt.

Automatisierte Compliance für Software-Unternehmen: SBOM-Generierung, Konformitätserklärung, 24h-Incident-Reporting und laufendes Schwachstellen-Monitoring – alles in einem Tool.

Preise ansehen
Ergebnis in 3 Minuten Keine Registrierung DSGVO-konform
Kritische Frist
24h-Meldepflicht an ENISA tritt in Kraft
--
Tage
--
Std
--
Min
--
Sek
Bußgelder bis 15 Mio. € oder 2,5 % Jahresumsatz
···
Self-Checks
···
CRA-betroffen
···
Reports erstellt
--
Tage bis CRA
Die Lage

Ein Gesetz. Zwei Jahre Zeit.
250.000 betroffene Unternehmen.

Der EU Cyber Resilience Act (CRA) verändert Software-Compliance grundlegend. Wer ab September 2026 nicht liefert, riskiert existenzgefährdende Bußgelder.

24h

Meldepflicht an ENISA

Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die EU-Cybersicherheitsbehörde gemeldet werden. Ohne Prozess: Panik und Bußgeld.

15M€

Maximale Strafe

Verstöße gegen CRA können mit Bußgeldern bis 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden. Wer größer ist, zahlt mehr.

2027

SBOM wird Pflicht

Jedes Software-Produkt braucht eine vollständige Software Bill of Materials im CycloneDX- oder SPDX-Format. Manuelles Tracking skaliert nicht.

Laufende Pflicht

CRA ist keine einmalige Prüfung. Konformität muss dauerhaft gewährleistet, dokumentiert und bei jeder Produkt-Änderung aktualisiert werden.

So funktioniert's

Von der Analyse zum Audit-fertigen Report.
In Minuten, nicht Wochen.

01

Self-Check ausfüllen

Beantworten Sie 5 Fragen zu Ihrem Produkt. Unser System bewertet automatisch Ihre CRA-Betroffenheit, Risikoklasse und Compliance-Score.

02

E-Mail bestätigen

Doppelt-Opt-In für DSGVO-Sicherheit. Klick auf den Bestätigungslink – und Ihr personalisierter CRA-Report wird automatisch generiert.

03

PDF erhalten

In wenigen Minuten: Professioneller Report mit Betroffenheits-Score, Gap-Analyse und konkreten Handlungsempfehlungen – direkt per E-Mail.

04

Laufend compliant

Optional: Upgrade auf Starter oder Professional für monatliches CVE-Monitoring, SBOM-Generierung und Konformitätserklärung.

Was drin ist

Alles, was Sie für volle CRA-Konformität brauchen.

Keine Tool-Landschaft. Keine Excel-Listen. Keine externe Agentur. CRAComply bündelt alle Pflichten in einem Tool.

📊

CRA-Self-Check mit Scoring

Automatische Einstufung: Betroffenheit, Risikoklasse (Standard/Wichtig/Kritisch), Compliance-Score 0–100.

📄

Konformitätserklärung

CRA-Annex-V-konforme Konformitätserklärung auf Knopfdruck. Als PDF mit Report-ID für Audit-Nachweise.

🔍

SBOM-Generierung

Upload von package.json, requirements.txt oder Composer-Files. Output: CycloneDX 1.5 oder SPDX.

🛡️

Vulnerability Monitoring

Kontinuierliches CVE-Matching Ihrer Abhängigkeiten gegen NVD & OSV.dev. E-Mail-Alerts bei kritischen Lücken.

🚨

24h-Incident-Wizard

Geführter Meldeprozess für die 3 ENISA-Phasen: 24h-Frühwarnung, 72h-Detailreport, 14d-Abschluss.

📋

Technische Dokumentation

Automatische Generierung der Annex-VII-Dokumentation: Produktbeschreibung, Risikoanalyse, Testverfahren.

📦

Audit-Ready ZIP-Export

Ein Klick: SBOM + Konformitätserklärung + Gap-Analyse + Monitoring-Historie als gebündeltes ZIP.

📅

CRA-Deadline-Kalender

Personalisierte Übersicht Ihrer Fristen mit Reminder-Mails 30/7/1 Tage vor kritischen Terminen.

🔗

Slack & Teams Integration

CVE-Alerts direkt in Ihrem DevOps-Channel. Kein E-Mail-Noise, keine verpassten Warnungen.

Preise

Compliance, die zu Ihnen passt.

Vom Solo-Entwickler mit einem Produkt bis zum Enterprise-Team mit SLA-Anforderungen. Alle Preise netto, monatlich kündbar.

Starter
Für Solo-Entwickler, Indie-Hacker und Boutique-Agenturen mit einem Hauptprodukt.
149
pro Monat · netto
1.490 € / Jahr – 2 Monate geschenkt
  • Erfüllt alle CRA-Mindestpflichten
  • 1 Produkt / 1 SBOM
  • Self-Check mit Scoring & Risikoklasse
  • Konformitätserklärung als PDF
  • Technische Doku (Annex VII)
  • Audit-Ready ZIP-Export
  • Monatliches CVE-Monitoring
  • CRA-Deadline-Kalender
  • E-Mail-Support (48h Response)
14 Tage kostenlos testen
Am beliebtesten
Professional
Für wachsende Software-Teams mit mehreren Produkten und B2B-Kunden, die Compliance beweisen müssen.
499
pro Monat · netto
4.990 € / Jahr – 2 Monate geschenkt
  • Alles aus Starter, plus:
  • 5 Produkte / 5 SBOMs
  • 5 Team-Benutzer mit Rollen
  • 24h-Incident-Response-Wizard
  • Live-Chat mit CRA-Experten (2h)
  • Tägliches CVE-Monitoring
  • VEX-Dokumentation (automatisch)
  • Slack & Teams Integration
  • Öffentliches Compliance-Portal
  • Passwortgeschützter B2B-Kundenzugang
  • Audit-Log aller Aktionen
  • E-Mail-Support (8h Response)
14 Tage kostenlos testen
Enterprise
Für etablierte Unternehmen mit SLA-Anforderungen, SSO-Pflicht und Custom-Integration.
ab € 1.490
pro Monat · individuell
Jahresvertrag mit Rabatt möglich
  • Alles aus Professional, plus:
  • Unbegrenzt Produkte & Benutzer
  • Dedicated Compliance Manager
  • SSO / SAML Integration
  • White-Label Compliance-Portal
  • Custom-Domain-Support
  • Volle API-Integration
  • SLA: 99,9% Uptime garantiert
  • Onboarding (4h, remote)
  • Quartalsweise Compliance-Review
  • Incident-Response 30min SLA
  • Priorisierte Feature-Requests
Sales kontaktieren

14 Tage kostenlos testen. Ohne Risiko.

Keine Kreditkarte nötig. Account läuft automatisch aus, kein versehentliches Abbuchen. Volle Transparenz vor dem Upgrade.

Jetzt kostenlos starten
Im Trial enthalten: Vollständiger Dashboard-Zugang, SBOM-Analyse, CRA-Score, Preview aller Dokumente
🔒
Nach Upgrade verfügbar: PDF-Downloads (Konformitätserklärung, SBOM, Report), CVE-Details, Audit-ZIP, Integrationen
Häufige Fragen

Alles, was Sie wissen müssen.

Fällt meine Software überhaupt unter den CRA?
Der CRA gilt für fast alle "Produkte mit digitalen Elementen" im EU-Binnenmarkt. Das umfasst: kommerzielle Software (On-Premise & Hybrid), Firmware, IoT-Geräte, Embedded Software. Reine SaaS-Angebote fallen meist unter NIS2, nicht CRA – aber wenn Sie auch nur On-Premise-Komponenten ausliefern, sind Sie betroffen. Unser kostenloser Self-Check klärt das in 3 Minuten für Ihr konkretes Produkt.
Was passiert am 11. September 2026 konkret?
Ab diesem Datum greift die 24-Stunden-Meldepflicht: Aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die EU-Cybersicherheitsbehörde ENISA gemeldet werden. Verstöße können mit Bußgeldern bis 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden – je nachdem, was höher ist. Die volle Konformitätspflicht mit CE-Kennzeichnung greift am 11. Dezember 2027.
Wie schnell bin ich mit CRAComply wirklich compliant?
Der Self-Check dauert unter 3 Minuten. SBOM-Upload plus automatische Gap-Analyse: 5 Minuten. Konformitätserklärung generieren: weitere 10 Minuten. Das heißt: Nach 20-30 Minuten haben Sie die Kern-Dokumentation fertig. Die laufende Compliance (Monitoring, Deadline-Tracking) läuft danach automatisch im Hintergrund. Wichtig: Das ist technische Compliance. Für rechtsverbindliche Gutachten empfehlen wir zusätzlich einen Review durch einen CRA-Fachanwalt – buchbar als Add-On (890 €) direkt über unser Dashboard.
Was ist der Unterschied zwischen Starter und Professional?
Starter erfüllt alle CRA-Mindestpflichten für ein Produkt der Standardklasse. Wenn Sie einen Hauptprodukt haben, klein operieren und auf monatliches Schwachstellen-Monitoring setzen, reicht das aus. Professional ist für Teams gedacht, die mehrere Produkte verwalten, B2B-Kunden mit Compliance-Anforderungen haben und im Incident-Fall nicht allein dastehen wollen. Der 24h-Incident-Wizard, VEX-Automatisierung und das Compliance-Portal für Ihre eigenen Kunden sind die Hauptunterschiede. Upgrade jederzeit möglich mit anteiliger Verrechnung.
Was passiert nach den 14 Tagen Testphase?
Ihr Account bleibt bestehen – wir löschen nichts automatisch. Sie haben weiterhin Lesezugriff auf alle Ihre Daten, können aber keine PDFs herunterladen oder detaillierte CVE-Informationen einsehen. Ein Upgrade ist jederzeit möglich und schaltet sofort alle Dokumente frei. Wenn Sie kündigen möchten, haben Sie 30 Tage Zeit für einen Daten-Export als ZIP. Danach wird DSGVO-konform gelöscht.
Ist CRAComply DSGVO-konform?
Ja, vollständig. Hosting bei Hetzner in Deutschland (Nürnberg), sämtliche E-Mails DKIM/SPF/DMARC-signiert, Double-Opt-In für alle Registrierungen, keine Datenweitergabe an Dritte außerhalb der EU. Unser Auftragsverarbeitungsvertrag (DPA) ist bei Vertragsabschluss automatisch enthalten. Datenschutzerklärung und Impressum sind von einem auf EU-IT-Recht spezialisierten Anwalt geprüft.
Kann ich CRAComply in meine CI/CD-Pipeline integrieren?
Ja, ab Professional-Plan ist ein API-Zugang verfügbar, mit dem Sie SBOMs automatisiert bei jedem Build hochladen können. GitHub Actions und GitLab CI Templates stellen wir bereit. Enterprise-Kunden erhalten zusätzlich volle API-Customization und Webhooks für eigene Workflows. Dokumentation: docs.cracomply.de
Kann ich jederzeit kündigen?
Ja. Monatlich gebuchte Pläne kündbar jederzeit zum Monatsende. Jahrespläne sind nicht rückerstattbar, aber Sie können jederzeit kündigen und verlieren nur die Restlaufzeit-Nutzung. Keine Mindestlaufzeit, keine versteckten Klauseln. Kündigung direkt im Customer Portal oder per E-Mail.

Starten Sie mit dem kostenlosen Self-Check.

3 Minuten. Keine Registrierung. Sofort Ihr persönliches CRA-Risiko-Rating als PDF.

Pläne vergleichen