Sprachspezifische, praxisnahe Entwicklerschulung, die die Nachweise liefert, die die CE-Konformitätsbewertung erwartet — vor der Frist Ende 2027.
Der CRA benennt tragende Elemente — wesentliche Cybersicherheitsanforderungen in Anhang I, Behandlung von Schwachstellen, Konformitätsbewertung und Meldung von Vorfällen. Unsere Plattform wurde so konzipiert, dass sie jedes davon erfüllt, und nicht auf eine Videobibliothek aufgesetzt.
Die Schulung vermittelt die Secure-Coding-Muster, die häufige Verstöße gegen Anhang I §1 verhindern — Default Deny, Eingabevalidierung, Output Encoding, Integritätsschutz — sodass Produkte mit digitalen Elementen von Anfang an resilient ausgeliefert werden und nicht in Patch-Zyklen nachgebessert werden müssen.
Anhang I §2 verpflichtet Hersteller, Schwachstellen während der gesamten Produktlebensdauer zu bearbeiten und offenzulegen. Die Schulung behandelt SBOM-Erstellung, CVE-Triage und den koordinierten Disclosure-Workflow, den Auditoren während der Konformitätsbewertung prüfen.
Artikel 13 fordert während der Entwicklung erstellte Dokumentation, die die Konformität nachweist. Schulungsaufzeichnungen, Secure-by-Design-Review-Nachweise und SDLC-Artefakte fließen alle in die technische Dokumentation ein — und halten der Prüfung einer benannten Stelle stand.
Artikel 14 legt eine strenge Kadenz fest: 24-Stunden-Frühwarnung, 72-Stunden-Erstbewertung, 14-Tage-Abschlussbericht. Die Schulung behandelt die Engineering-Seite — Erkennung, Klassifizierung und die Artefakte, die der Hersteller aufbewahren muss, um jede Meldung zu verteidigen.
Eine benannte Stelle oder ein interner Konformitätsprüfer, der ein CRA-Review der technischen Dokumentation durchführt, sucht nach bestimmten Artefakten. Unsere Plattform produziert sieben davon — automatisch, kontinuierlich und in den Formaten, die Prüfer lesen.
Abschriften pro Lernende(r) mit ausdrücklichen Querverweisen auf die wesentlichen Cybersicherheitsanforderungen in Anhang I §1 und die Kontrollen zur Behandlung von Schwachstellen in §2.
Sprachspezifisches Curriculum, abgebildet auf die OWASP-Kategorien, die Anhang I §1 zugrunde liegen — sodass die Verbindung zwischen Schulungsinhalt und Verordnung ausdrücklich und nicht implizit ist.
Nachgewiesene Fähigkeit — pro Entwickler, pro Thema — die belegt, dass Lernende Verstöße gegen Anhang I erkennen und vermeiden können, und nicht nur an einer Sitzung teilgenommen haben.
Nachweis des Secure-by-Design-Reviews, das bei jeder größeren Version angewandt wurde — der Anknüpfungspunkt für Artikel 13, den Konformitätsprüfer in der technischen Dokumentation suchen.
Schulungsaufzeichnungen zu SBOM, CVE-Triage und koordinierter Offenlegung — der Anknüpfungspunkt für Anhang I §2, der belegt, dass der Prozess des Herstellers personell besetzt und kompetent ist.
Schulungsaufzeichnungen, verpackt als Teil der technischen Dokumentation — der Dokumentensatz, den die Konformitätsbewertung nach Artikel 13 bei der ersten Prüfung erwartet.
Curriculum-Versionierung, ausgerichtet an der ENISA-Bedrohungslandschaft und den neuesten Anhang-I-Klarstellungen, mit einem Changelog, den der Konformitätsprüfer einsehen kann.
Ein dreißigminütiges Gespräch reicht in der Regel aus, um festzustellen, ob wir die richtige Wahl für Ihren CRA-Konformitätszeitplan sind. Wir führen Ihr Team durch Anhang I, bilden unser Programm auf Ihren Stack und Ihr Produktportfolio ab und zeigen Ihnen das Nachweispaket, das Konformitätsprüfer bereits akzeptiert haben.
Die Fragen, die Hersteller bei der Strukturierung ihres CRA-Programms am häufigsten stellen — wie Cybersicherheits-Compliance mit Anhang I zusammenwirkt, worauf ein Audit achtet und wo Entwicklerschulungen passen.
Im Rahmen des EU Cyber Resilience Act bedeutet Cybersicherheits-Compliance, dass ein Hersteller — durch dokumentierte Nachweise in der technischen Dokumentation — belegen kann, dass ein Produkt mit digitalen Elementen über seine unterstützte Lebensdauer hinweg den in Anhang I aufgeführten wesentlichen Cybersicherheitsanforderungen und den Pflichten zur Schwachstellenbehandlung gerecht wird. Schulungsaufzeichnungen von Entwicklern liegen in diesem Nachweispaket und sind den konkreten Klauseln zugeordnet, die sie unterstützen.
Für die meisten CRA-relevanten Produkte entspricht die Konformitätsbewertung dem Audit. Eine benannte Stelle oder ein interner Prüfer inspiziert die technische Dokumentation und verlangt nachvollziehbare Nachweise hinter jeder Anhang-I-Klausel — Secure-by-Design-Review-Aufzeichnungen, SBOM- und Schwachstellenbehandlungs-Artefakte sowie Schulungsabschriften pro Entwickler. Der Auditor sucht nach Kontinuität, nicht nach Einzelaufnahmen.
Allgemeine IT-Compliance-Rahmenwerke konzentrieren sich auf die Kontrollen der Organisation — Zugriff, Logging, Änderungsmanagement. Cybersicherheits-Compliance im Rahmen des CRA ist produktebene: Sie fragt, ob ein bestimmtes Produkt mit digitalen Elementen von Grund auf resilient ist, einen Prozess zur Schwachstellenbehandlung hat und dies belegen kann. Die Kompetenz der Entwickler in den in-scope Sprachen ist Teil der tragenden Nachweise.
Schulung ist die vorgelagerte Kontrolle. Verpflichtungen aus Anhang I §1 wie Eingabevalidierung und Integritätsschutz werden zuerst im Code durchgesetzt — lange bevor ein Scanner läuft. Ein CRA-fähiges Cybersicherheits- und Compliance-Programm betrachtet sprachspezifische Entwicklerschulung als gemessenen Input, nicht als Checkbox, und liefert Abschriften, die Konformitätsprüfer auf die Verordnung zurückführen können.