NIS2 Evidence Sprint CRA / SBOM Readiness E-Rechnungs-Automation KI-MVPs Web & Ads 20-Min-Statuscheck buchen
Cyber Resilience Act · SBOM · Festpreis

CRA / SBOM Readiness Sprint für Software- und Hardwarehersteller

Wir strukturieren Produkt-Scoping, SBOM-Baseline, CVE-Bewertung, Vulnerability Handling und technische Dokumentationslücken für Produkte mit digitalen Elementen.

CRA-Produkt-Scope in 20 Minuten prüfen Beispiel-Artefakte ansehen
ab 14.500 €  Festpreis. Details im Angebot.

Was Sie nach dem Sprint haben:

Produkt- und Komponenten-Scoping nach CRA-Anforderungen

Erste SBOM-Baseline mit Open-Source- und Drittkomponenten

CVE-Bewertung und Vulnerability-Priorisierung

Vulnerability-Handling-Prozessentwurf

Dokumentations-Gap-Analyse

90-Tage-Roadmap mit priorisierten nächsten Schritten

10–15 Arbeitstage · Festpreis · Keine CE-Konformitätsbewertung

Konkrete Ergebnisse

Was der Sprint liefert

Strukturierte Artefakte, die Sie direkt in Produktentwicklung, Dokumentation und Compliance-Prozesse überführen können.

01

Produkt-Scoping

Einordnung Ihrer Produkte nach CRA-Kategorien, Betroffenheitsanalyse und Priorisierung der relevanten Anforderungen.

02

SBOM-Baseline

Erste strukturierte Software Bill of Materials mit Open-Source-Komponenten, Drittbibliotheken und Versionsübersicht.

03

CVE-Priorisierung

Bewertung bekannter Schwachstellen in verwendeten Komponenten nach CVSS-Score und produktspezifischer Relevanz.

04

Support- & Update-Check

Prüfung bestehender Support- und Update-Prozesse gegen CRA-Anforderungen für den gesamten Produktlebenszyklus.

05

Vulnerability-Handling

Prozessentwurf für koordiniertes Vulnerability Disclosure, interne Bearbeitung und Kommunikation an Kunden und Behörden.

06

Dokumentations-Gap

Analyse fehlender oder unvollständiger technischer Dokumentation nach CRA-Anforderungen mit Priorisierung.

07

Management-Summary

Kompakte Übersicht des CRA-Readiness-Stands, wesentlicher Lücken und empfohlener nächster Schritte für Geschäftsführung und Produktverantwortliche.

08

90-Tage-Roadmap

Priorisierter Umsetzungsplan mit Meilensteinen, Verantwortlichkeiten und offenen Entscheidungspunkten.

Eignung

Für wen der Sprint geeignet ist — und für wen nicht

Geeignet für…

  • Hersteller von vernetzten Geräten und IoT-Produkten
  • Embedded-Software-Anbieter und Gateway-Hersteller
  • Maschinenbauer mit digitalem Produktanteil
  • Industrieelektronik mit Netzwerkfähigkeit
  • B2B-Softwareanbieter und On-Prem-Softwareanbieter
  • Unternehmen, die SBOM-Anforderungen ab 2027 vorbereiten
  • Hersteller, die Vulnerability-Handling-Prozesse strukturieren müssen

Nicht geeignet als Ersatz für…

  • CE-Konformitätsbewertung durch benannte Stelle
  • Rechtsberatung oder juristische CRA-Bewertung
  • Zertifizierungsleistung nach harmonisierten Normen
  • Vollständige Produktsicherheitsgarantie
  • Penetrationstests (sofern nicht explizit mit Partnern vereinbart)
  • Laufende Vulnerability-Management-Betreuung

Klare Abgrenzung

Der CRA / SBOM Readiness Sprint ist eine technische Strukturierungsleistung. Folgendes ist ausdrücklich nicht enthalten:

  • Keine CE-Konformitätsbewertung — diese erfordert eine benannte Stelle nach CRA-Artikel 24 ff.
  • Keine Rechtsberatung — für rechtliche Bewertungen empfehlen wir spezialisierte Anwälte für Produktrecht und IT-Recht
  • Keine Zertifizierungsleistung nach harmonisierten Normen (EN IEC 62443, ISO/IEC 27001 o.ä.)
  • Keine Garantie der CRA-Konformität — der Sprint schafft einen strukturierten Arbeitsstand, keine Konformitätserklärung
  • Keine Penetrationstests, sofern nicht explizit mit spezialisierten Partnern vereinbart
  • Keine automatisierte finale Sicherheitsbewertung ohne menschliche Review

Datenschutz & Sicherheit

Umgang mit Produktdaten und Komponenteninformationen

CRA-Projekte berühren Produktarchitekturen, Quellcode-Informationen und Komponentenlisten. Wir gehen damit vertraulich um.

Datenminimierung

Es werden nur Produktdaten und Komponenteninformationen verarbeitet, die für den Sprint notwendig sind.

Kein KI-Training mit Kundendaten

Produktinformationen, SBOMs und Quellcode-Referenzen werden nicht für das Training von KI-Modellen verwendet.

Menschliche Prüfung

CVE-Bewertungen und Vulnerability-Einschätzungen werden nicht vollautomatisch getroffen — menschliche Review ist fester Bestandteil.

Getrennte Datenräume

Jedes Projekt erhält einen eigenen, getrennten Datenraum. Keine Vermischung mit anderen Kundenprojekten.

Löschkonzept

Nach Projektabschluss werden Kundendaten nach vereinbartem Zeitraum gelöscht. Das Vorgehen wird im Angebot dokumentiert.

AVV & Vertraulichkeit

Auftragsverarbeitungsvertrag (AVV) und Vertraulichkeitsvereinbarung nach Bedarf. Rollen- und Zugriffskonzept für alle Beteiligten.

Kontakt

CRA-Produkt-Scope in 20 Minuten einordnen

Kurze Beschreibung Ihres Produkts und Ihrer Situation — wir melden uns persönlich innerhalb von 24 Stunden.

Christian Block

Rheinland CB OpCo UG / Block Digital
Kaiser-Otto-Straße 98A · 50259 Pulheim

Direkt erreichbar

📞 0151 4313 1185
✉️ kontakt@block.nrw
💬 WhatsApp

Weitere Compliance-Sprints

NIS2 Evidence Sprint →
E-Rechnungs-Automation Sprint →

CRA / SBOM Readiness Sprint — ab 14.500 € Festpreis

Jetzt anfragen