Wo werden meine SBOM-Daten gespeichert?

Ausschließlich in der EU: Supabase eu-central-1 (Frankfurt, Deutschland). Keine Datenübertragung in die USA. Alle Daten sind AES-256-verschlüsselt at rest und TLS 1.3-verschlüsselt in transit.

Kann ich SBOMfunk mit einem bestehenden Snyk/Anchore-Workflow kombinieren?

Ja. SBOMfunk ergänzt bestehende DevSecOps-Tools: Während Snyk und Anchore auf Entwickler-Workflows ausgerichtet sind, liefert SBOMfunk den CRA-spezifischen Compliance-Layer — ENISA-SRP-Meldung, BSI TR-03183-konforme SBOM und Audit-Trail. SBOMfunk importiert SBOM-Ausgaben anderer Tools (CycloneDX/SPDX).

Wie lange dauert die Einrichtung wirklich?

Für ein Standard-GitHub-Repository mit npm oder Maven: unter 10 Minuten. Die GitHub-Action benötigt 3 Zeilen Konfiguration. CLI-Setup für On-Prem: ca. 20 Minuten. Komplexere Multi-Repo-Umgebungen: 30–60 Minuten mit unserem Priority-Onboarding-Call (Beta-Vorteil).

Gibt es deutschsprachigen Support?

Ja — unser Support ist vollständig auf Deutsch. Im Starter-Tarif: E-Mail-Support (48h-Reaktionszeit). Im Pro-Tarif: E-Mail + Chat (24h). Im Enterprise-Tarif: dedizierter Ansprechpartner mit 4h-SLA. Beta-Nutzer erhalten außerdem einen persönlichen Onboarding-Call mit dem Gründerteam.

Was passiert nach der Beta-Phase?

Beta-Nutzer erhalten garantiert 30 % Rabatt auf ihren ersten Jahresvertrag nach der Beta. Der Wechsel erfolgt nicht automatisch — Sie entscheiden. Es gibt keinen Datenverlust beim Übergang.

Gilt der CRA auch für Open-Source-Projekte?

Open-Source-Software, die kostenlos und ohne kommerzielle Unterstützung bereitgestellt wird, ist grundsätzlich ausgenommen. Sobald jedoch eine kommerzielle Aktivität hinzukommt (Support, Integration, SaaS-Hosting) oder das Projekt von einem Unternehmen hauptsächlich betreut wird, greift der CRA. Die genaue Abgrenzung hängt vom Einzelfall ab — unser CRA-Pflicht-Check hilft bei der Einordnung.

SBOMfunk – CRA-Compliance vom Commit zur ENISA-Meldung

Name: SBOMfunk
Price: 199 EUR
Availability: InStock

00T00:00:00

bis CRA-Meldepflicht (Art. 14)

CRA-konformohneeigenesPSIRT

SBOMfunk generiert Ihre SBOM, überwacht Schwachstellen täglich und meldet aktiv ausgenutzte CVEs automatisch an die ENISA Single Reporting Platform — für EU-Produkthersteller, in 30 Minuten eingerichtet.

Mein Beta-Zugang sichern CRA-Pflicht-Check starten

Keine Kreditkarte nötig · 14 Tage kostenlos · Jederzeit kündbar

DSGVO-konform

In 30 Min. eingerichtet

Daten in eu-central-1

SBOMfunk — Vulnerability Dashboard

Repos gescannt

Aktiv ausgenutzt

24h-Frist

18:42

Kritische CVEs

CVE-2026-1234

openssl@3.0.1

KRITISCHAktiv ausgenutzt

CVE-2026-5678

log4j@2.14.0

HOCHGemeldet

CVE-2025-9999

express@4.18.1

MITTELOffen

SBOM-Generator

Vuln-Dashboard

ENISA-Wizard

24h-Timer

First-Mover ENISA-SRP-Beta-Integration

Made in EU — Daten bleiben in Frankfurt

DSGVO-konform, Supabase eu-central-1

GitHub-Action + CLI + GitLab-Integration

BSI TR-03183-konform (CycloneDX 1.6 + SPDX 3.0)

Drei Probleme, die Ihre Compliance blockieren

24 Stunden. Dann droht Bußgeld.

Art. 14 CRA verpflichtet Sie ab 11.09.2026 zur Schwachstellenmeldung innerhalb von 24 Stunden — wenn eine aktiv ausgenutzte CVE Ihr Produkt betrifft. Keine Verlängerung, keine Ausnahme.

Bußgeld bis 10 Mio. EUR oder 2 % Umsatz bei Meldepflichtverstößen

Ihre Abhängigkeitsliste ist keine CRA-konforme SBOM.

BSI TR-03183-2 definiert exakt welche Felder, Formate und Tiefe eine CRA-konforme SBOM haben muss. Eine Excel-Datei mit Paketlisten erfüllt diese Anforderungen nicht — und bei einem Audit wird das sichtbar.

ONEKEY-Studie: <10 % der KMU haben eine CRA-konforme SBOM (Stand 2026)

Die ENISA-SRP-Integration selbst bauen? 3–6 Entwickler-Monate.

Die ENISA Single Reporting Platform ist Stand April 2026 noch in der Beta. Kein stabiler API-Spec, keine öffentliche Authentifizierungsmethode — aber der Stichtag rückt näher. Wer jetzt intern entwickelt, riskiert verlorene Zeit.

Eigenentwicklungskosten vs. SBOMfunk: 3.000–6.000 EUR/Quartal vs. 199 EUR/Mo

Vom GitHub-Commit zur ENISA-Meldung — in 5 Schritten

SBOMfunk schließt die Last-Mile zwischen Ihrem CI/CD-System und der ENISA Single Reporting Platform.

01GitHub-Commit / GitLab-Pipeline

02SBOMfunk generiert SBOM (CycloneDX 1.6 + SPDX 3.0)

03Täglicher NVD/OSV/CISA-KEV-Abgleich → "aktiv-ausgenutzt" Flag

0424h-Frist-Timer startet → Benachrichtigung Ihres Teams

05ENISA-SRP-Meldeformular generiert → 3-Stufen-Report abgeschickt

Warum SBOMfunk?

Keine PSIRT-Abteilung nötig — SBOMfunk übernimmt den Prozess
Läuft in Ihrer bestehenden CI/CD-Pipeline (GitHub Actions, GitLab CI)
Keine manuelle NVD-Recherche — täglicher automatischer Abgleich
ENISA-SRP-API direkt angebunden — erster Anbieter in Beta-Integration
BSI TR-03183-konforme Ausgabe ab der ersten SBOM

Alles was Sie für CRA-Compliance brauchen

Von der SBOM-Generierung bis zur ENISA-Meldung — alle Schritte in einer Plattform.

SBOM-Generator

SBOM in Ihrer CI/CD-Pipeline — CycloneDX + SPDX, 30+ Ökosysteme (Maven, npm, pip, Go, Cargo, NuGet)

Vulnerability-Dashboard

Täglich gegen NVD/OSV/CISA-KEV geprüft — Sie sehen sofort welche CVEs aktiv ausgenutzt werden

ENISA-SRP-Wizard

3-Stufen-Meldekette (24h/72h/14d) halbautomatisch ausgefüllt und direkt übermittelt

24h-Frist-Timer

Automatischer Alert wenn eine kritische CVE Ihren Meldefrist-Counter startet

Disclosure-Policy-Generator

security.txt nach RFC 9116 generiert — plus Kundenmitteilungs-Templates für B2B-Benachrichtigung

Compliance-Dashboard

Portfolio-View über alle Repositories — auf einen Blick sehen welche Produkte compliant sind

Eingerichtet in 30 Minuten

Drei Schritte von der Installation bis zur ersten ENISA-Meldung.

10 Minuten

GitHub-Action oder CLI installieren

SBOMfunk in Ihrer GitHub Action oder GitLab CI in 3 Zeilen einbinden. Erster SBOM-Export beim nächsten Build.

Läuft automatisch

Täglich automatischer Vuln-Abgleich

SBOMfunk gleicht Ihre SBOM täglich gegen NVD, OSV und CISA-KEV ab. Bei kritischen CVEs — sofortige Benachrichtigung Ihres Teams.

5 Minuten je Fall

ENISA-Meldung generieren und einreichen

Wenn ein aktiv ausgenutztes CVE Ihr Produkt betrifft, generiert SBOMfunk das 24h-Frühwarnformular. Sie prüfen, ergänzen und senden — kein Blanko-Formular mehr.

89Tage bis 11.09.2026

Wie viele Tage bis zum Stichtag haben Sie noch?

Jedes Unternehmen, das Software, IoT-Geräte oder Embedded-Produkte in der EU verkauft, ist ab 11.09.2026 meldepflichtig. Sind Sie bereit?

Mein Beta-Zugang sichern

Keine Kreditkarte nötig · 14 Tage kostenlos · Jederzeit kündbar

Vertrauen durch Transparenz

Keine Versprechen ohne Belege — nur faktische Aussagen über unsere Sicherheits- und Compliance-Maßnahmen.

DSGVO-konform

Alle Daten werden ausschließlich auf Supabase eu-central-1 (Frankfurt) gespeichert. Keine Weiterleitung an US-Server.

Made in EU

SBOMfunk ist ein europäisches Produkt, entwickelt für europäische Compliance-Anforderungen. Wir kennen den CRA aus erster Hand.

BSI-konform

SBOMfunk generiert SBOMs nach BSI TR-03183-2 — mit CycloneDX 1.6 und SPDX 3.0 in den von BSI empfohlenen Feldformaten.

ISO 27001 — Roadmap

Roadmap

ISO 27001-Zertifizierung ist für Q4 2026 in Planung. Aktuell: AES-256-Verschlüsselung at rest, TLS 1.3 in transit.

Transparente Preise für jeden Bedarf

Alle Tarife mit 14-tägiger kostenloser Testphase. Keine Einrichtungsgebühr.

Starter

Für kleinste Hersteller und erste CRA-Erkundung

0 EURBETA

1.990 EUR/Jahr

BETA: Jetzt 0 EUR

Bis zu 5 Repositories
SBOM-Generierung (CycloneDX 1.6 + SPDX 3.0)
Vulnerability-Dashboard (NVD/OSV täglich)
ENISA-SRP-Formular-Generator (manueller Submit)
Disclosure-Policy-Generator (security.txt RFC 9116)
E-Mail-Support (48h-Reaktionszeit)

Beta-Zugang sichern

Pro

KMU-Hersteller mit mehreren Produkten und eigenem Entwicklungsleiter

0 EURBETA

3.490 EUR/Jahr

BETA: Jetzt 0 EUR

Bis zu 25 Repositories
Alles aus Starter, plus:
Auto-Submit an ENISA SRP
CISA-KEV-Integration (aktiv ausgenutzte CVEs priorisiert)
3-Stufen-Meldekette (24h/72h/14d automatisch)
E-Mail + Chat-Support (24h-Reaktionszeit)

Beta-Zugang sichern

Enterprise

Hersteller mit großem Portfolio und On-Prem-Bedarf

0 EURBETA

4.990 EUR/Jahr

BETA: Sonderkonditionen

Unbegrenzte Repositories
Alles aus Pro, plus:
On-Prem-Scanner-Option
Multi-Tenant-Unterstützung
Audit-Trail-Export (PDF für BSI-Marktaufsicht)
Dedicated Support (4h-SLA)

Demo vereinbaren

Alle Tarife: DSGVO-konform · Daten in eu-central-1 · TLS 1.3 · Jederzeit kündbar · Keine Einrichtungsgebühr

Häufige Fragen

Alles Wichtige zu SBOMfunk, CRA-Compliance und dem Beta-Programm.

Ja — während der Beta-Phase können alle Tiers 14 Tage lang kostenlos und ohne Kreditkarte getestet werden. Nach der Beta wird eine kostenlose 14-Tage-Testphase für alle neuen Accounts eingeführt.

0Tage bis 11.09.2026

138 Tage. Dann gilt CRA-Meldepflicht.

Sichern Sie jetzt Ihren Beta-Zugang und starten Sie die SBOM-Generierung in 30 Minuten — bevor die Frist Ihr Produkt gefährdet.

Mein Beta-Zugang sichern

Keine Kreditkarte nötig · 14 Tage kostenlos · Jederzeit kündbar

DSGVO-konform

Daten in eu-central-1

Made in EU

CRA-Compliance für EU-Produkthersteller: Was Sie jetzt wissen müssen

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist eine EU-weite Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Hersteller von Produkten mit digitalen Elementen einführt. Sie gilt für Software, Hardware mit Software-Komponenten und eingebettete Systeme, die auf dem EU-Markt vertrieben werden — von vernetzten IoT-Geräten über industrielle Steuerungssoftware bis hin zu Enterprise-SaaS. Ab dem 11. September 2026 tritt die kritischste Pflicht in Kraft: die 24-Stunden-Meldepflicht bei aktiv ausgenutzten Schwachstellen.

Was ist eine SBOM und warum brauchen Hersteller sie?

Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Verzeichnis aller Software-Komponenten eines Produkts — einschließlich Bibliotheken, Abhängigkeiten und deren Versionen. Der CRA verpflichtet Hersteller zur Erstellung und Pflege einer SBOM als Grundlage für das Schwachstellenmanagement. Das BSI hat in der Technischen Richtlinie TR-03183-2 konkrete Anforderungen an Format und Inhalt festgelegt: Pflichtfelder, unterstützte Formate (CycloneDX 1.6 und SPDX 3.0) und die erforderliche Komponententiefe. Eine einfache Liste von Abhängigkeiten oder eine Excel-Tabelle erfüllt diese Anforderungen nicht.

Was ist die ENISA Single Reporting Platform?

Die ENISA Single Reporting Platform (SRP) ist die zentrale EU-Meldeplattform, über die Hersteller aktiv ausgenutzte Schwachstellen gemäß Art. 14 CRA melden müssen. Der Meldeprozess ist dreistufig: 24-Stunden-Frühwarnung, 72-Stunden-Notification und ein 14-Tage-Final-Report. Stand April 2026 befindet sich die SRP noch in der Beta-Phase — SBOMfunk ist einer der ersten Anbieter mit direkter API-Integration und testet die Plattform aktiv für seine Nutzer.

Wer ist betroffen? Produktklassen im CRA

Der CRA unterscheidet vier Produktklassen mit unterschiedlichen Anforderungen: die Default-Kategorie (Selbstbewertung möglich), Klasse I (erhöhte Anforderungen, z. B. Sicherheitssoftware und Consumer-IoT), Klasse II (Drittpartei-Bewertung erforderlich, z. B. kritische Infrastruktur-Komponenten) und kritische Produkte. Nicht sicher, in welche Klasse Ihr Produkt fällt? Unser kostenloser CRA-Pflicht-Check beantwortet diese Frage in 2 Minuten.

Wie hilft SBOMfunk bei der CRA-Compliance?

SBOMfunk automatisiert den gesamten CRA-Compliance-Workflow: SBOM-Generierung direkt aus Ihrer CI/CD-Pipeline (GitHub Actions, GitLab CI, CLI), täglicher Abgleich gegen NVD, OSV und CISA-KEV zur Erkennung aktiv ausgenutzter Schwachstellen, automatischer Start des 24h-Frist-Timers und halbautomatische Generierung der ENISA-SRP-Meldung. Ergänzt wird dies durch einen Disclosure-Policy-Generator (security.txt nach RFC 9116) und einen Compliance-Dashboard-Portfolio-View. Für IoT-Hersteller, Embedded-Software-Teams, Medizintechnik-Hersteller und Industrial-Software-ISVs bietet SBOMfunk branchenspezifische Workflows, die die jeweiligen regulatorischen Besonderheiten (MDR-Abgrenzung, UNECE R155-Überschneidung, ASPICE-Kompatibilität) berücksichtigen.

Der CRA-Stichtag am 11. September 2026 ist weniger als 138 Tage entfernt. Hersteller, die jetzt mit dem Aufbau ihrer SBOM-Infrastruktur beginnen, haben ausreichend Zeit für Tests, Onboarding und die Integration der ENISA-SRP. Wer wartet, riskiert Marktverbot — oder einen Bußgeldbescheid von bis zu 15 Mio. EUR. SBOMfunk ist in der Beta-Phase — wie auch die ENISA-SRP selbst. Gemeinsam testen wir die Integration und sind am Stichtag bereit.