In der Pilotphase – wir suchen Gründungskunden

Der Cyber Resilience Act kennt kein Wochenende.
Ihr Monitoring sollte es auch nicht.

Der Cyber Resilience Act verpflichtet Sie, jede aktiv ausgenutzte Schwachstelle in Ihren Produkten innerhalb von 24 Stunden zu melden – lückenlos, dauerhaft, nachweisbar. Wir übernehmen die laufende Überwachung Ihrer Software-Stückliste (SBOM), damit Sie es nicht müssen.

EU-gehostet · DSGVO-konform · Kein Security-Team nötig

Melde-Frist läuft

Aktiv ausgenutzte Schwachstelle erkannt

235959
Meldepflichtig

Illustrativ · Echtzeit läuft im Produkt

Was ist der Cyber Resilience Act?

Eine EU-Verordnung, das jeden Hersteller von Produkten mit Software betrifft und das mehr verlangt als eine einmalige Prüfung.

Der CRA in drei Sätzen

Der Cyber Resilience Act (Verordnung EU 2024/2847) ist ein EU-Gesetz, das verbindliche Cybersicherheitsanforderungen für alle Produkte mit eingebetteter Software festlegt. Von der vernetzten Maschine bis zum IoT-Gerät.

Es gilt für jeden Hersteller, der ein solches Produkt im EU-Binnenmarkt verkauft, unabhängig von Unternehmensgröße oder Herkunftsland.

Die Kernpflicht: Schwachstellen in verwendeter Software dauerhaft überwachen, aktiv ausgenutzte Lücken innerhalb von 24 Stunden melden und das alles lückenlos nachweisen.

24 Stunden Meldung aktiv ausgenutzter Schwachstellen
11.09.2026 Meldepflichten gelten
11.12.2027 Vollständige Pflicht

Wen es betrifft

Wenn Ihr Unternehmen ein Produkt herstellt, das irgendeine Form von Software enthält – eine Steuerung, eine Firmware, eine App-Anbindung – und dieses Produkt in der EU verkauft wird, sind Sie betroffen.

Das trifft Maschinenbauer, Automatisierer, Embedded-Entwickler, Automotive-Zulieferer und viele mehr. Auch ohne eigenes IT-Security-Team.

Bußgelder bei Verstößen: bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes (Art. 64 Abs. 3 CRA).

SBOMs sind nur der Anfang.

Eine Software-Stückliste – die SBOM – ist schnell erstellt. Aber der Prozess, der danach kommt, ist das Eigentliche: diese Stückliste täglich gegen neue Schwachstellen prüfen, im Ernstfall innerhalb von 24 Stunden melden und das alles lückenlos dokumentieren.

Das ist kein einmaliges Projekt. Das ist ein dauerhafter Betriebsprozess.

  • Laufend überwachen Alle Komponenten Ihrer Produkte müssen dauerhaft gegen neue Schwachstellen geprüft werden – über die gesamte Supportdauer von mindestens fünf Jahren.

  • Aktiv ausgenutzte Lücken melden Sobald eine Komponente aktiv ausgenutzt wird (EUVD-Status), läuft die 24-Stunden-Frist zur Meldung an ENISA. Schwerwiegende Vorfälle: 72 Stunden. Abschließende Meldung: 14 Tage.

  • Lückenlos nachweisen Behördenanfragen und die technische Dokumentation erfordern einen audit-fähigen Beleg – wann was bekannt war und was unternommen wurde.

Was ist eine SBOM?

Die Zutatenliste Ihrer Software

Hinter fast jeder modernen Steuerung, jedem vernetzten Gerät stecken Dutzende bis Hunderte fremder Software-Bausteine: Bibliotheken, Frameworks, Open-Source-Komponenten.

Eine SBOM (Software Bill of Materials) – auf Deutsch: Software-Stückliste – listet diese Bausteine vollständig auf. Wer liefert was, in welcher Version.

Wie eine Zutatenliste auf einer Verpackung: Sie sehen auf einen Blick, was drinsteckt. Wenn ein Zutat-Problem bekannt wird, wissen Sie sofort, welche Produkte betroffen sind – und können handeln.

Der Cyber Resilience Act verlangt eine solche Stückliste und dass Sie dauerhaft prüfen, ob einer der Bausteine eine bekannte Schwachstelle bekommt. Genau das übernimmt Kaskagi.

Drei Funktionen. Alles, was zählt.

Kaskagi ist kein Security-Cockpit für Experten. Es tut genau das, was der Cyber Resilience Act verlangt – und nichts, was ablenkt.

Dauer-Monitoring

SBOM hochladen – fertig. Jede ausgelieferte Produktversion wird kontinuierlich gegen die EU-Schwachstellendatenbank (EUVD) der ENISA geprüft. Automatisch, ohne manuelles Zutun.

Melde-Uhr

Wird eine Komponente aktiv ausgenutzt (meldepflichtig), zeigt Kaskagi die verbleibende Frist als sichtbaren Countdown. Kein Rauschen durch CVE-Alerts – nur was wirklich zählt.

Nachweis auf Knopfdruck

Lückenloser, audit-fähiger Beleg für Ihre technische Dokumentation: was war wann bekannt, was wurde wann gemeldet. Jederzeit abrufbar – für Behörden und interne Dokumentation.

Drei Schritte bis zum laufenden Monitoring

  1. SBOM anbinden

    Laden Sie Ihre Software-Stückliste im CycloneDX- oder SPDX-Format hoch oder verbinden Sie Ihre CI/CD-Pipeline. Einmalig – Kaskagi übernimmt den Rest.

  2. Laufend überwacht

    Jede Komponente wird täglich gegen die EUVD geprüft. Priorisiert nach CRA-Relevanz, nicht nach CVE-Score-Rauschen.

  3. Im Ernstfall: Frist + Nachweis

    Wird eine Schwachstelle aktiv ausgenutzt, startet die Melde-Uhr. Kaskagi führt den Nachweis automatisch mit – lückenlos, audit-fähig.

Sie stehen noch ganz am Anfang? Wir helfen Ihnen bei der Erstanbindung – kostenlos im Rahmen des Pilotprogramms.

Richtig, wenn Sie Produkte mit Software ausliefern

Kaskagi ist für mittelständische Hersteller entwickelt worden, die vom Cyber Resilience Act betroffen sind und kein eigenes Security-Team haben.

Typische Branchen

  • Maschinenbau und Automatisierung Maschinen mit vernetzter Steuerungssoftware, SPS-Systeme, HMI-Terminals.

  • Embedded Systems & IoT Geräte mit eingebetteter Software, Firmware, Netzwerkanbindung.

  • Automotive-Zulieferer Komponenten mit Software-Anteil, Steuergeräte, Telematik-Einheiten.

  • Medizintechnik & Laborgeräte Vernetzte Medizinprodukte, Analyse- und Messgeräte.

Passt zu Ihnen, wenn …

  • … Sie ein Produkt mit Software oder Firmware an Kunden in der EU ausliefern.
  • … Sie bereits eine SBOM haben oder gerade eine erstellen.
  • … Sie keinen dedizierten Security-Analysten beschäftigen.
  • … Sie Ruhe statt Lärm wollen: nur was wirklich meldepflichtig ist.
  • … Ihnen Datenhoheit und DSGVO-Konformität wichtig sind.

Die Uhr läuft.

Der Cyber Resilience Act tritt stufenweise in Kraft. Die kritischsten Fristen betreffen auch den Mittelstand direkt.

So sieht das Lagebild aus

Nur was zählt – klar, auf einen Blick, ohne Security-Rauschen.

Beispielansicht · Keine echten Kundendaten

Illustratives Beispiel · Produktnamen und Daten sind fiktiv

Werden Sie einer unserer Gründungskunden

Kaskagi entsteht gerade – und wir bauen es gemeinsam mit den Unternehmen, die es täglich brauchen werden. Für den Start suchen wir eine kleine Zahl von Herstellern aus dem Mittelstand, die ihre CRA-Pflichten ernst nehmen und das Produkt von Anfang an mitprägen wollen.

  • Vorzugskonditionen, dauerhaft – als Dank für Ihr frühes Vertrauen.

  • Mitgestaltung: Sie priorisieren mit, welche Funktionen zuerst kommen.

  • Persönliche Begleitung: Wir richten Ihr Monitoring gemeinsam ein und starten mit einer kostenlosen CRA-Standortbestimmung.

  • Vorsprung bei den Fristen: Sie sind vorbereitet, bevor die Meldepflichten 2026 greifen.

  • Begrenzte Plätze: Wir nehmen bewusst nur wenige Unternehmen auf, um jedes eng zu betreuen.

Pilotplatz anfragen

Begrenzte Plätze, ehrliche Zusammenarbeit. Kein Verkaufsgespräch – ein Kennenlernen.

Plätze begrenzt
Jetzt Pilotplatz anfragen

Unverbindlich. Kaskagi unterstützt Ihre CRA-Pflichten und liefert den Nachweis Ihrer Überwachung – die Verantwortung für die Konformität bleibt bei Ihnen als Hersteller.

CRA Lagebild

In 30 Minuten schauen wir gemeinsam, wo Sie beim Cyber Resilience Act stehen und was der sinnvolle nächste Schritt ist. Unverbindlich, ohne Verkaufsdruck.

Ehrliche Einschätzung Ihrer CRA-Lücken

Was ist Pflicht, was ist optional – zugeschnitten auf Ihr Produkt.

Klare Empfehlung für die nächsten 90 Tage

Konkreter Aktionsplan, kein allgemeines Whitepaper.

Pilotprogramm-Zugang

Early Access, enge Begleitung, Vorzugskonditionen als Gründungskunde.

Pilotplatz anfragen

Hilft uns, das Gespräch gezielt vorzubereiten.

Ehrliche Antworten

Eine SBOM (Software Bill of Materials) – auf Deutsch: Software-Stückliste – ist eine vollständige Liste aller Softwarekomponenten, Bibliotheken und Abhängigkeiten in Ihrem Produkt. Stellen Sie es sich vor wie die Zutatenliste auf einer Lebensmittelverpackung: Sie sehen auf einen Blick, was drinsteckt. Wenn ein Problem mit einem Bestandteil bekannt wird, wissen Sie sofort, welche Produkte betroffen sind.

Der Cyber Resilience Act schreibt eine SBOM für alle Produkte mit digitalen Elementen vor. Eine SBOM erstellen Sie an einem Nachmittag – der schwierige Teil ist der Prozess danach: diese Liste dauerhaft gegen neue Schwachstellen zu überwachen. Das übernimmt Kaskagi.

Der Cyber Resilience Act (CRA, EU-Verordnung 2024/2847) ist ein EU-Gesetz, das verbindliche Cybersicherheitsanforderungen für alle Produkte mit eingebetteter Software festlegt – von der vernetzten Maschine bis zum IoT-Gerät.

Es gilt für jeden Hersteller, der ein solches Produkt im EU-Binnenmarkt verkauft, unabhängig von Unternehmensgröße oder Herkunftsland. Die Kernpflicht: Schwachstellen in verwendeter Software dauerhaft überwachen, aktiv ausgenutzte Lücken innerhalb von 24 Stunden an ENISA melden und das alles lückenlos nachweisen. Meldepflichten ab 11.09.2026, volle Pflicht ab 11.12.2027.

Nein – und das sagen wir bewusst so. Der CRA legt die Verantwortung beim Hersteller, nicht bei einem Tool. Kaskagi unterstützt Ihre CRA-Pflichten: Es überwacht Ihre Komponenten laufend, zeigt Meldepflichten rechtzeitig an und liefert den lückenlosen Nachweis. Die unternehmerische Verantwortung und die Entscheidungen bleiben bei Ihnen.

Nein. Kaskagi ist speziell für Unternehmen entwickelt worden, die kein dediziertes Security-Team haben. Sie laden Ihre SBOM hoch und das System übernimmt die kontinuierliche Überwachung. Im Ernstfall erhalten Sie eine klare Meldung mit der verbleibenden Frist – keine hundert CVE-Alerts, die Sie erst selbst interpretieren müssen.

Ihre Daten werden ausschließlich auf Servern in der Europäischen Union gespeichert und verarbeitet. Kaskagi ist DSGVO-konform konzipiert. Wir verwenden keine US-amerikanischen Cloud-Dienste für die Datenhaltung.

Meldepflichten gelten ab 11. September 2026, die vollständige Pflicht ab 11. Dezember 2027. Bußgelder: bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes.

Ja, der CRA gilt auch für kleine und mittlere Unternehmen. Er gilt für alle Hersteller vernetzter Produkte, die im EU-Binnenmarkt verkauft werden unabhängig von der Unternehmensgröße.

Kaskagi befindet sich im Pilotprogramm und sucht Gründungskunden, die das Produkt aktiv mitgestalten. Pilotteilnehmer erhalten frühzeitigen Zugang, enge Begleitung durch das Gründerteam und Vorzugskonditionen für die spätere Nutzung. Keine erfundenen Nutzerzahlen – ehrliche Zusammenarbeit in der Aufbauphase. Die Plätze sind bewusst begrenzt.