Häufige Fragen

FAQ — crAIready und der Cyber Resilience Act

Antworten auf die häufigsten Fragen rund um den CRA, Ihre Pflichten als Hersteller und unsere Plattform. Unverbindliche Informationen, keine Rechtsberatung i. S. d. RDG; die finale Bewertung trifft ein Mensch.

Grundlagen & Geltungsbereich

Wer muss den CRA erfüllen?

Hersteller von Produkten mit digitalen Elementen, die in der EU in Verkehr gebracht werden (Art. 2/3 CRA) — teils auch Importeure und Händler. Erste Orientierung: der kostenlose Quick-Check; Hintergründe in CRA erklärt.

Ab wann gilt was?

11.09.2026 Meldepflichten (Art. 14 CRA); 11.12.2027 volle CRA-Anwendung / CE-Pflicht.

Fällt reine SaaS unter den CRA?

In der Regel nein — der CRA ist Produktrecht. Reine Cloud-/Browser-SaaS ohne lokal installierte Komponente ist kein „Produkt mit digitalen Elementen" (eher NIS-2). CRA-relevant wird es, sobald eine lokale Komponente (Desktop-/Mobile-App, Plugin, Agent, SDK) ausgeliefert wird.

Was ist eine SBOM — und warum brauche ich sie?

Eine Software-Stückliste listet alle verbauten Komponenten; sie ist CRA-Pflicht (Anhang I) und Grundlage jeder Schwachstellensuche.

In welchem Format kommt die SBOM?

CycloneDX 1.6 und SPDX 3.0.1, automatisch bei jeder neuen Produktversion.

Daten & Sicherheit

Welche Daten speichert crAIready — und wo?

Hosting in der Schweiz (Thayngen); KI standardmässig lokal, kein Zwangs-Transfer ins Ausland; externe Abrufe serverseitig ohne Personenbezug. Jeder Kunde erhält eine eigene, abgeschottete Umgebung (Single-Tenant). Details auf /sicherheit/.

Nutzt ihr meinen Code fürs KI-Training?

Nein. KI im Default lokal; Cloud-KI nur, wenn Sie sie aktiv wählen; kein Training mit Kundendaten.

Ist crAIready selbst CRA-konform?

Ja — wir nutzen unser eigenes Werkzeug („Dogfooding"); im On-Premise-Fall liefern wir die Konformitätsunterlagen mit.

Was passiert mit meinen Daten bei Vertragsende?

Voller Export (Audit-Bundle), danach Löschung binnen 30 Tagen. Optionales Archiv-Add-on auf Wunsch.

Produkt & Ablauf

Wie läuft der Einstieg ab?

Quick-Check → (bei CRA-Pflicht) Registrierung (AGB + Datenschutzerklärung bestätigen) → geführter Wizard → Plan wählen.

Kann ich crAIready vor dem Kauf testen?

Ja — kostenlos starten, im Login die ganze Plattform an Ihrem echten Produkt sehen; bezahlt wird das Freischalten der Nachweis-Erzeugung / des Betriebs.

Brauche ich eine notifizierte Stelle?

Nur bei höheren Klassen (Anhang III Klasse II / Anhang IV kritisch). Der Grossteil läuft über Selbstbewertung (Verfahren A). crAIready deckt Klassifizierung, Modulwahl und NB-Routing ab; den QMS-Track (Modul H) und die NB-Einbindung begleiten wir.

Erzeugt crAIready die Behördenmeldung automatisch?

Nein — der Workflow führt durch die Fristen (24 h / 72 h / 14 Tage bzw. 1 Monat) und erstellt eine vorbereitete CSAF-Meldung zur Einreichung (Einreichung durch Sie über das offizielle CSIRT-Portal).

On-Premise möglich?

Ja, auf Anfrage (Standard: SaaS in der Schweiz).

Ist das eine Rechtsberatung?

Nein — unverbindliche Unterstützung, keine Rechtsdienstleistung i. S. d. RDG; die finale Bewertung trifft ein Mensch.

Preise & Förderung

Was ist kostenlos, was kostet?

Quick-Check + erste Einordnung kostenlos; das Erzeugen/Exportieren auditfähiger Nachweise und der Betrieb sind kostenpflichtig (Plan).

Was kostet crAIready?

Ab 199 €/Monat pro Produkt; erste 3 Monate 99 €; Details auf der Preisseite.

Was kostet ein regulärer Audit im Vergleich?

Externe CRA-/Gutachten-Unterstützung bewegt sich je nach Umfang typischerweise im vier- bis fünfstelligen Bereich pro Produkt; crAIready bietet eine konkrete Lösung, keine allgemeinen Hinweise und ist als laufendes Werkzeug planbarer.

Gibt es Förderungen?

Möglich (DE/AT/CH/EU). Direkt CRA-bezogen ist v. a. SECURE4SME (EU, 50 % Kofinanzierung) — nächster Call angekündigt, „benachrichtigen lassen". Übersicht unter /foerderprogramme/ (ohne Gewähr).

Pflichten & Fristen

Wie lange muss ich Nachweise aufbewahren?

Als Hersteller 10 Jahre ab Inverkehrbringen (Art. 13 Abs. 13 CRA) — diese Pflicht trifft Sie. crAIready hält die Nachweise während der Vertragsdauer aktuell und exportierbar. Bei Kündigung ermöglichen wir Ihnen einen einfachen Export.

Wie lange müssen Sicherheitsupdates bereitgestellt werden?

In der Regel mindestens 5 Jahre Unterstützungszeitraum (Erwägungsgrund 60); Art. 13 Abs. 8 CRA verlangt die erwartete Nutzungsdauer — je nach Produkt auch länger.

Fallen für mich Bussgelder an?

Verstösse können bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes kosten (Art. 64 CRA) — genau deshalb lohnt die frühe, strukturierte Vorbereitung.

Quellen u. a.: Verordnung (EU) 2024/2847 (CRA); internes Dokument „Artikel_FAQ_CRA_haeufige_Fragen_v3". Stand: 22.06.2026. Haftungsausschluss: allgemeine Information, keine individuelle Rechtsberatung; Einzelfallprüfung erforderlich.