Dauer-Monitoring
SBOM hochladen – fertig. Jede ausgelieferte Produktversion wird kontinuierlich gegen die EU-Schwachstellendatenbank (EUVD) der ENISA geprüft. Automatisch, ohne manuelles Zutun.
Der Cyber Resilience Act verpflichtet Sie, jede aktiv ausgenutzte Schwachstelle in Ihren Produkten innerhalb von 24 Stunden zu melden – lückenlos, dauerhaft, nachweisbar. Wir übernehmen die laufende Überwachung Ihrer Software-Stückliste (SBOM), damit Sie es nicht müssen.
EU-gehostet · DSGVO-konform · Kein Security-Team nötig
Melde-Frist läuft
Aktiv ausgenutzte Schwachstelle erkannt
Illustrativ · Echtzeit läuft im Produkt
Eine EU-Verordnung, das jeden Hersteller von Produkten mit Software betrifft und das mehr verlangt als eine einmalige Prüfung.
Der Cyber Resilience Act (Verordnung EU 2024/2847) ist ein EU-Gesetz, das verbindliche Cybersicherheitsanforderungen für alle Produkte mit eingebetteter Software festlegt. Von der vernetzten Maschine bis zum IoT-Gerät.
Es gilt für jeden Hersteller, der ein solches Produkt im EU-Binnenmarkt verkauft, unabhängig von Unternehmensgröße oder Herkunftsland.
Die Kernpflicht: Schwachstellen in verwendeter Software dauerhaft überwachen, aktiv ausgenutzte Lücken innerhalb von 24 Stunden melden und das alles lückenlos nachweisen.
Wenn Ihr Unternehmen ein Produkt herstellt, das irgendeine Form von Software enthält – eine Steuerung, eine Firmware, eine App-Anbindung – und dieses Produkt in der EU verkauft wird, sind Sie betroffen.
Das trifft Maschinenbauer, Automatisierer, Embedded-Entwickler, Automotive-Zulieferer und viele mehr. Auch ohne eigenes IT-Security-Team.
Bußgelder bei Verstößen: bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes (Art. 64 Abs. 3 CRA).
Eine Software-Stückliste – die SBOM – ist schnell erstellt. Aber der Prozess, der danach kommt, ist das Eigentliche: diese Stückliste täglich gegen neue Schwachstellen prüfen, im Ernstfall innerhalb von 24 Stunden melden und das alles lückenlos dokumentieren.
Das ist kein einmaliges Projekt. Das ist ein dauerhafter Betriebsprozess.
Laufend überwachen Alle Komponenten Ihrer Produkte müssen dauerhaft gegen neue Schwachstellen geprüft werden – über die gesamte Supportdauer von mindestens fünf Jahren.
Aktiv ausgenutzte Lücken melden Sobald eine Komponente aktiv ausgenutzt wird (EUVD-Status), läuft die 24-Stunden-Frist zur Meldung an ENISA. Schwerwiegende Vorfälle: 72 Stunden. Abschließende Meldung: 14 Tage.
Lückenlos nachweisen Behördenanfragen und die technische Dokumentation erfordern einen audit-fähigen Beleg – wann was bekannt war und was unternommen wurde.
Was ist eine SBOM?
Hinter fast jeder modernen Steuerung, jedem vernetzten Gerät stecken Dutzende bis Hunderte fremder Software-Bausteine: Bibliotheken, Frameworks, Open-Source-Komponenten.
Eine SBOM (Software Bill of Materials) – auf Deutsch: Software-Stückliste – listet diese Bausteine vollständig auf. Wer liefert was, in welcher Version.
Wie eine Zutatenliste auf einer Verpackung: Sie sehen auf einen Blick, was drinsteckt. Wenn ein Zutat-Problem bekannt wird, wissen Sie sofort, welche Produkte betroffen sind – und können handeln.
Der Cyber Resilience Act verlangt eine solche Stückliste und dass Sie dauerhaft prüfen, ob einer der Bausteine eine bekannte Schwachstelle bekommt. Genau das übernimmt Kaskagi.
Kaskagi ist kein Security-Cockpit für Experten. Es tut genau das, was der Cyber Resilience Act verlangt – und nichts, was ablenkt.
SBOM hochladen – fertig. Jede ausgelieferte Produktversion wird kontinuierlich gegen die EU-Schwachstellendatenbank (EUVD) der ENISA geprüft. Automatisch, ohne manuelles Zutun.
Wird eine Komponente aktiv ausgenutzt (meldepflichtig), zeigt Kaskagi die verbleibende Frist als sichtbaren Countdown. Kein Rauschen durch CVE-Alerts – nur was wirklich zählt.
Lückenloser, audit-fähiger Beleg für Ihre technische Dokumentation: was war wann bekannt, was wurde wann gemeldet. Jederzeit abrufbar – für Behörden und interne Dokumentation.
Laden Sie Ihre Software-Stückliste im CycloneDX- oder SPDX-Format hoch oder verbinden Sie Ihre CI/CD-Pipeline. Einmalig – Kaskagi übernimmt den Rest.
Jede Komponente wird täglich gegen die EUVD geprüft. Priorisiert nach CRA-Relevanz, nicht nach CVE-Score-Rauschen.
Wird eine Schwachstelle aktiv ausgenutzt, startet die Melde-Uhr. Kaskagi führt den Nachweis automatisch mit – lückenlos, audit-fähig.
Sie stehen noch ganz am Anfang? Wir helfen Ihnen bei der Erstanbindung – kostenlos im Rahmen des Pilotprogramms.
Kaskagi ist für mittelständische Hersteller entwickelt worden, die vom Cyber Resilience Act betroffen sind und kein eigenes Security-Team haben.
Maschinenbau und Automatisierung Maschinen mit vernetzter Steuerungssoftware, SPS-Systeme, HMI-Terminals.
Embedded Systems & IoT Geräte mit eingebetteter Software, Firmware, Netzwerkanbindung.
Automotive-Zulieferer Komponenten mit Software-Anteil, Steuergeräte, Telematik-Einheiten.
Medizintechnik & Laborgeräte Vernetzte Medizinprodukte, Analyse- und Messgeräte.
Der Cyber Resilience Act tritt stufenweise in Kraft. Die kritischsten Fristen betreffen auch den Mittelstand direkt.
Nur was zählt – klar, auf einen Blick, ohne Security-Rauschen.
Überwachte Produkte
| Produkt | Version | Status | Letzte Prüfung |
|---|---|---|---|
| Steuerungsmodul CM-400 libssl, libcurl, zlib + 47 weitere | v2.1.3 | Aktiv ausgenutzt | vor 3 Min. |
| Gateway GW-100 Node.js, OpenSSL + 23 weitere | v1.8.0 | Bekannte Lücke | vor 1 Std. |
| Bedienterminal BT-X Qt, SQLite + 12 weitere | v3.0.1 | Ruhig | vor 2 Std. |
| Sensor-Hub SH-20 FreeRTOS, lwIP + 8 weitere | v1.2.4 | Ruhig | vor 2 Std. |
Illustratives Beispiel · Produktnamen und Daten sind fiktiv
Kaskagi entsteht gerade – und wir bauen es gemeinsam mit den Unternehmen, die es täglich brauchen werden. Für den Start suchen wir eine kleine Zahl von Herstellern aus dem Mittelstand, die ihre CRA-Pflichten ernst nehmen und das Produkt von Anfang an mitprägen wollen.
Vorzugskonditionen, dauerhaft – als Dank für Ihr frühes Vertrauen.
Mitgestaltung: Sie priorisieren mit, welche Funktionen zuerst kommen.
Persönliche Begleitung: Wir richten Ihr Monitoring gemeinsam ein und starten mit einer kostenlosen CRA-Standortbestimmung.
Vorsprung bei den Fristen: Sie sind vorbereitet, bevor die Meldepflichten 2026 greifen.
Begrenzte Plätze: Wir nehmen bewusst nur wenige Unternehmen auf, um jedes eng zu betreuen.
Begrenzte Plätze, ehrliche Zusammenarbeit. Kein Verkaufsgespräch – ein Kennenlernen.
Unverbindlich. Kaskagi unterstützt Ihre CRA-Pflichten und liefert den Nachweis Ihrer Überwachung – die Verantwortung für die Konformität bleibt bei Ihnen als Hersteller.
In 30 Minuten schauen wir gemeinsam, wo Sie beim Cyber Resilience Act stehen und was der sinnvolle nächste Schritt ist. Unverbindlich, ohne Verkaufsdruck.
Was ist Pflicht, was ist optional – zugeschnitten auf Ihr Produkt.
Konkreter Aktionsplan, kein allgemeines Whitepaper.
Early Access, enge Begleitung, Vorzugskonditionen als Gründungskunde.
Wir melden uns innerhalb von einem Werktag. Bei Fragen: hello@kaskagi.com
Eine SBOM (Software Bill of Materials) – auf Deutsch: Software-Stückliste – ist eine vollständige Liste aller Softwarekomponenten, Bibliotheken und Abhängigkeiten in Ihrem Produkt. Stellen Sie es sich vor wie die Zutatenliste auf einer Lebensmittelverpackung: Sie sehen auf einen Blick, was drinsteckt. Wenn ein Problem mit einem Bestandteil bekannt wird, wissen Sie sofort, welche Produkte betroffen sind.
Der Cyber Resilience Act schreibt eine SBOM für alle Produkte mit digitalen Elementen vor. Eine SBOM erstellen Sie an einem Nachmittag – der schwierige Teil ist der Prozess danach: diese Liste dauerhaft gegen neue Schwachstellen zu überwachen. Das übernimmt Kaskagi.
Der Cyber Resilience Act (CRA, EU-Verordnung 2024/2847) ist ein EU-Gesetz, das verbindliche Cybersicherheitsanforderungen für alle Produkte mit eingebetteter Software festlegt – von der vernetzten Maschine bis zum IoT-Gerät.
Es gilt für jeden Hersteller, der ein solches Produkt im EU-Binnenmarkt verkauft, unabhängig von Unternehmensgröße oder Herkunftsland. Die Kernpflicht: Schwachstellen in verwendeter Software dauerhaft überwachen, aktiv ausgenutzte Lücken innerhalb von 24 Stunden an ENISA melden und das alles lückenlos nachweisen. Meldepflichten ab 11.09.2026, volle Pflicht ab 11.12.2027.
Nein – und das sagen wir bewusst so. Der CRA legt die Verantwortung beim Hersteller, nicht bei einem Tool. Kaskagi unterstützt Ihre CRA-Pflichten: Es überwacht Ihre Komponenten laufend, zeigt Meldepflichten rechtzeitig an und liefert den lückenlosen Nachweis. Die unternehmerische Verantwortung und die Entscheidungen bleiben bei Ihnen.
Nein. Kaskagi ist speziell für Unternehmen entwickelt worden, die kein dediziertes Security-Team haben. Sie laden Ihre SBOM hoch und das System übernimmt die kontinuierliche Überwachung. Im Ernstfall erhalten Sie eine klare Meldung mit der verbleibenden Frist – keine hundert CVE-Alerts, die Sie erst selbst interpretieren müssen.
Ihre Daten werden ausschließlich auf Servern in der Europäischen Union gespeichert und verarbeitet. Kaskagi ist DSGVO-konform konzipiert. Wir verwenden keine US-amerikanischen Cloud-Dienste für die Datenhaltung.
Meldepflichten gelten ab 11. September 2026, die vollständige Pflicht ab 11. Dezember 2027. Bußgelder: bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes.
Ja, der CRA gilt auch für kleine und mittlere Unternehmen. Er gilt für alle Hersteller vernetzter Produkte, die im EU-Binnenmarkt verkauft werden unabhängig von der Unternehmensgröße.
Kaskagi befindet sich im Pilotprogramm und sucht Gründungskunden, die das Produkt aktiv mitgestalten. Pilotteilnehmer erhalten frühzeitigen Zugang, enge Begleitung durch das Gründerteam und Vorzugskonditionen für die spätere Nutzung. Keine erfundenen Nutzerzahlen – ehrliche Zusammenarbeit in der Aufbauphase. Die Plätze sind bewusst begrenzt.