CRACI und das Rennen um die Einhaltung des EU Cyber Resilience Act

Europäische Unternehmen, die Software oder vernetzte Hardware entwickeln, stehen vor einer neuen regulatorischen Realität. Mit dem EU Cyber Resilience Act (CRA) führt die Europäische Union umfassende Sicherheitsanforderungen für digitale Produkte über deren gesamten Lebenszyklus ein. Parallel dazu entstehen neue Startups, die Unternehmen bei der Umsetzung unterstützen – darunter CRACI, ein Cybersecurity‑Startup aus Finnland mit Fokus auf Software‑Supply‑Chain‑Sicherheit und automatisierte Compliance.

Was CRACI macht

CRACI entwickelt eine Plattform, die Sicherheits‑ und Compliance‑Prozesse direkt in bestehende Software‑Entwicklungsabläufe integriert. Ziel ist es, Security‑Monitoring, Schwachstellen‑Tracking und die Behebung von Problemen unmittelbar mit den Entwickler‑Pipelines zu verbinden, sodass Risiken in der Software‑Supply‑Chain kontinuierlich überwacht werden können.

Die Plattform integriert sich in gängige CI/CD‑Werkzeuge wie GitHub, GitLab und Jenkins. Sicherheitsprüfungen laufen dadurch parallel zu normalen Entwicklungsprozessen. Anstatt Compliance nur über sporadische Audits oder manuelle Dokumentation abzuwickeln, erkennt das System automatisch Schwachstellen, weist Aufgaben zur Behebung zu und verfolgt den Fortschritt direkt innerhalb der Entwicklungsumgebung.

Damit wird regulatorische Compliance von einer nachgelagerten Dokumentationspflicht zu einem laufenden technischen Prozess im Entwickler‑Workflow.

Finanzierung des Startups

CRACI hat bislang 1,4 Millionen Euro Pre‑Seed‑Kapital eingesammelt, um seine Plattform für Cybersecurity‑Compliance weiterzuentwickeln.

Öffentlich verfügbare Informationen bestätigen die Höhe der Finanzierung. Details zu den beteiligten Investoren oder zur genauen Mittelverwendung sind jedoch bisher nicht breit veröffentlicht worden.

Das Problem: Sicherheit in der Software‑Lieferkette

Moderne Software entsteht selten isoliert. Anwendungen greifen häufig auf Open‑Source‑Bibliotheken, Drittanbieter‑Komponenten und komplexe Build‑Pipelines zurück. Diese Struktur bildet eine sogenannte Software‑Supply‑Chain – und genau hier können Sicherheitslücken entstehen.

Entwicklungsteams stehen deshalb vor mehreren Herausforderungen:

• Schwachstellen in zahlreichen Abhängigkeiten identifizieren
• Sicherheitsprozesse dokumentieren
• Probleme schnell patchen
• Updates und Sicherheit über den gesamten Produktlebenszyklus gewährleisten

CRACI adressiert dieses Problem, indem Schwachstellen‑Erkennung, Tracking und Behebung direkt mit den Entwicklungsprozessen verbunden werden. Sicherheitsarbeit wird damit Teil der täglichen Entwicklung statt einer separaten Compliance‑Aufgabe.

Warum der EU Cyber Resilience Act die Nachfrage antreibt

Der Cyber Resilience Act ist eine umfassende EU‑Verordnung für Produkte mit digitalen Komponenten. Sie legt verpflichtende Mindestanforderungen an die Cybersicherheit für Hersteller von Hardware und Software fest.

Zu den zentralen Zielen gehören:

• digitale Produkte von Anfang an sicher zu entwickeln
• Schwachstellen entlang der Technologie‑Lieferketten zu reduzieren
• regelmäßige Sicherheitsupdates und Wartung über den gesamten Produktlebenszyklus sicherzustellen

Die Regeln gelten für eine breite Palette von Produkten, darunter Anwendungen, Betriebssysteme, eingebettete Software sowie Geräte, die mit Netzwerken verbunden sind.

Für viele Unternehmen bedeutet das neue Prozesse für Vulnerability‑Management, Dokumentation und Sicherheitsberichte über mehrere Entwicklungsteams hinweg.

Der Zeitplan: Wichtige CRA‑Fristen

Der Cyber Resilience Act trat im Dezember 2024 offiziell in Kraft, Unternehmen befinden sich derzeit jedoch noch in einer Übergangsphase.

Zwei Termine sind besonders relevant:

• 11. September 2026: Hersteller müssen aktiv ausgenutzte Schwachstellen und größere Sicherheitsvorfälle an EU‑Cybersecurity‑Behörden melden.
• 11. Dezember 2027: Vollständige CRA‑Compliance wird verpflichtend, bevor Produkte mit digitalen Elementen auf den EU‑Markt gebracht werden dürfen.

Da viele digitale Produkte lange Entwicklungszyklen haben, beginnen Unternehmen bereits jetzt damit, ihre Entwicklungs‑ und Sicherheitsprozesse entsprechend umzubauen.

Wie CRACI Unternehmen auf die neuen Regeln vorbereitet

Der Ansatz von CRACI basiert auf einer einfachen Idee: Compliance sollte im Entwickler‑Workflow entstehen – nicht erst im Auditbericht.

Durch die Integration in CI/CD‑Pipelines kann die Plattform Unternehmen helfen:

• Schwachstellen in Software‑Abhängigkeiten automatisch zu erkennen
• Behebungen zu dokumentieren und nachzuverfolgen
• Aufgaben direkt an Entwickler zuzuweisen
• nachvollziehbare Sicherheitsprotokolle zu führen

Diese Funktionen unterstützen genau die Art von kontinuierlichem Sicherheits‑Monitoring und Lifecycle‑Management, die der Cyber Resilience Act von Herstellern erwartet.

Warum Startups wie CRACI jetzt wichtig werden

Der Cyber Resilience Act gilt als eines der ersten großen Regulierungsvorhaben, das sich explizit mit Sicherheit in Software‑Lieferketten im großen Maßstab beschäftigt.

Da praktisch jedes vernetzte Produkt auf dem EU‑Markt betroffen ist, müssen Unternehmen aus zahlreichen Branchen – von Geräteherstellern bis zu Softwareanbietern – neue Werkzeuge und Prozesse einführen, um Compliance nachweisen zu können.

Plattformen, die Schwachstellen‑Management, Dokumentation und Remediation direkt in Entwicklungsprozesse integrieren, könnten daher zu einem zentralen Bestandteil dieser Umstellung werden. Startups wie CRACI positionieren sich früh in diesem wachsenden Markt für automatisierte Sicherheits‑ und Compliance‑Tools.