CRA & NIS2

Regulatory Compliance & Reporting

Regulatorische Anforderungen laufen auf eine gemeinsame Forderung hinaus: Wissen, was in der Software steckt, Schwachstellen kennen und sie rechtzeitig melden. TrustSource automatisiert die Datenbasis für CRA-, NIS2- und MDR-Compliance — von der SBOM bis zum maschinenlesbaren Advisory.

CRA & NIS2: Berichtspflichten im Webinar kennenlernen →

Auf einen Blick

CRA-Reporting

Automatisierte Bereitstellung der für den Cyber Resilience Act erforderlichen Nachweise: SBOM, Schwachstellenmeldungen und Patch-Dokumentation.

NIS2-Compliance

Incident- und Schwachstellendokumentation nach NIS2 — auditfähig, nachvollziehbar und auf Knopfdruck abrufbar.

MDR-Unterstützung

Für Software in Medizinprodukten: SBOM-Nachweise und Schwachstellenmanagement nach den Anforderungen der EU-Medizinprodukteverordnung.

Inbound CVD

Strukturierter Empfang und Koordination von Schwachstellenmeldungen Dritter — konform mit ISO 29147 und den CRA-Offenlegungspflichten.

Outbound CSAF

Maschinenlesbare Advisories per CSAF — automatisiert verteilt an Kunden, Behörden und den CSAF-Trusted-Provider-Netzwerk.

EACG als gCNA

EACG (ID: 102) ist eine der ersten gCNAs Europas und unterstützt Unternehmen ohne eigenes PSIRT bei der Schwachstellenkoordination.

Die Herausforderung

Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen, aktiv exploitierte Schwachstellen und schwerwiegende Sicherheitsvorfälle zu melden — innerhalb enger Fristen. Die NIS2-Richtlinie erweitert diese Pflichten auf kritische Infrastrukturen und wesentliche Einrichtungen in 18 Sektoren. Die EU-Medizinprodukteverordnung (MDR) stellt vergleichbare Anforderungen an Software in Medizinprodukten. Allen drei Regelwerken ist gemeinsam: Ohne eine lückenlose, auditfähige Dokumentation der eingesetzten Softwarekomponenten und ihrer Schwachstellen ist eine fristgerechte Meldung schlicht nicht möglich.

Was TrustSource leistet

TrustSource schafft die Datenbasis, die Berichtspflichten überhaupt erst erfüllbar macht: eine vollständige, automatisch aktualisierte SBOM für jedes Softwareprodukt, kontinuierliches Monitoring auf neue Schwachstellen und ein nachvollziehbarer Audit-Trail aller Änderungen. Wenn eine Schwachstelle auftritt, ist sofort ersichtlich, welche Produkte betroffen sind, wie schwerwiegend das Risiko ist und wann es erkannt wurde — alles, was Behörden im Meldefall erwarten.

Lernen Sie mehr über die konkreten Meldepflichten und Fristen in unserem Webinar — CRA & NIS2 Webinar ↗

EACG als gCNA — Unterstützung ohne eigenes PSIRT

EACG — das Unternehmen hinter TrustSource — ist eine der ersten globalen CVE Numbering Authorities Europas (gCNA ID: 102). Das bedeutet: EACG kann CVE-Nummern vergeben und Schwachstellenkoordination übernehmen. Unternehmen, die noch kein eigenes PSIRT aufgebaut haben, können die Koordinationsfunktion an EACG auslagern und trotzdem CRA- und NIS2-konform melden.

PSIRT-Beratung bei EACG ↗

Kommunikation: Inbound & Outbound

Regulatorische Compliance bedeutet nicht nur interne Dokumentation — sie erfordert auch strukturierte Kommunikation mit externen Parteien: Sicherheitsforscher melden Schwachstellen ein, Kunden und Behörden müssen informiert werden. TrustSource unterstützt beide Richtungen.

Inbound: Coordinated Vulnerability Disclosure

Ein strukturierter CVD-Prozess ist Pflicht nach CRA. TrustSource stellt mit dem CVD-Produkt eine dedizierte Eingangsadresse für Schwachstellenmeldungen bereit — inklusive Workflow zur Koordination und Dokumentation jeder eingehenden Meldung konform mit ISO 29147.

Mehr zu CVD ↗

Outbound: CSAF Trusted Provider

Advisories müssen Kunden und Behörden maschinenlesbar erreichen. Der CSAF Trusted Provider von TrustSource erzeugt und verteilt Advisories im CSAF-Format automatisch — über ein CSAF-konformes Distributionsnetz, ohne manuellen Aufwand.

Mehr zu CSAF ↗