Lieferanten & Qualifizierung
Der Bereich Lieferanten hat zwei Ebenen: ein flottenweites Verzeichnis Ihrer SBOM-Anfragen und je Lieferant eine Lieferantenakte — das strukturierte Zuhause Ihrer Nachweise zur Komponenten-Sorgfaltspflicht nach CRA Art. 13(5)–(6).
Das Verzeichnis
Abschnitt betitelt „Das Verzeichnis“Alle SBOM-Anfragen über sämtliche Produktversionen, gruppiert nach Lieferant: Wer schuldet Ihnen eine SBOM, wer hat geliefert, was haben Sie übernommen. Nach Status filtern, zur zugehörigen Produktversion durchklicken und eine wartende Anfrage von hier erneut senden oder widerrufen.
Die Lieferantenakte
Abschnitt betitelt „Die Lieferantenakte“Eine Akte je Lieferant bündelt Ihre Sorgfaltsnachweise: Identität und Kontakte, den PSIRT- bzw. Security-Advisory-Kanal des Lieferanten, erklärte Support-Zusagen und den erklärten CE-/Konformitätsstatus. Die Akte trägt einen Qualifizierungsstatus — Unqualifiziert, In Bewertung, Qualifiziert, Bedingt oder Disqualifiziert — plus ein Fälligkeitsdatum für die Requalifizierung. Die Qualifizierungsentscheidung ist die eigene, menschlich unterschriebene Feststellung Ihrer Organisation — nie eine Resilic-Zertifizierung des Lieferanten.
Erfolgsbilanz — Signale statt Fragebogen-Theater
Abschnitt betitelt „Erfolgsbilanz — Signale statt Fragebogen-Theater“Resilic leitet eine objektive Erfolgsbilanz aus Daten ab, die es bereits hält: wie zügig der Lieferant Ihre SBOM-Anfragen beantwortet, die Schwachstellenhistorie seiner Komponenten in Ihrem Register (EUVD/NVD/CISA KEV) und — sobald Hinweise fließen — die beobachtete Behebungslatenz.
Fragebogen und KI-entworfene Bewertung
Abschnitt betitelt „Fragebogen und KI-entworfene Bewertung“Ein strukturierter Fragebogen deckt die Sorgfaltsthemen nach Art. 13(5) ab (orientiert an den Themenfeldern von IEC 62443-4-1/-2-4): Sie halten fest, wie der Lieferant jedes Thema erfüllt. Aus Ihren Antworten und der Erfolgsbilanz entwirft die KI eine Bewertung mit Zitaten — Sie prüfen, bearbeiten und speichern. Antworten werden nie automatisch zu einem Urteil verrechnet.
Die A–D-Einstufung — rein beratend
Abschnitt betitelt „Die A–D-Einstufung — rein beratend“Eine feste, erklärbare A–D-Einstufung kombiniert SBOM-Reaktionsfreude, Komponenten-Schwachstellenhistorie und Fragebogen-Vollständigkeit — jede Einstufung zeigt ihre Eingaben, es gibt keine Blackbox. Sie ist rein beratend: Sie schlägt einen Requalifizierungs-Rhythmus vor (A = 24 Monate, B = 12, C/D = 6) und setzt nie das Qualifizierungsurteil. Wird eine Requalifizierung fällig, erhalten abonnierte Nutzer 30 Tage vorher eine Erinnerung.
Sicherheitshinweise eines Lieferanten abonnieren (CSAF)
Abschnitt betitelt „Sicherheitshinweise eines Lieferanten abonnieren (CSAF)“Viele Komponentenhersteller — etwa Siemens ProductCERT — veröffentlichen ihre Sicherheitshinweise als maschinenlesbaren CSAF-Trusted-Provider-Feed. In der Lieferantenakte hinterlegen Sie die CSAF-Provider-URL des Lieferanten (der Entdecken-Button prüft die Well-known-Adresse der Domain für Sie). Ab dann prüft Resilic den Feed regelmäßig und korreliert neue Hinweise mit Ihren Flottenkomponenten — typischerweise Stunden nach der Veröffentlichung, noch bevor die CVEs in den öffentlichen Datenbanken angereichert sind, und mit den Angaben des Herstellers zu betroffenen und behobenen Versionen.
Treffer aus Hersteller-Feeds erscheinen auf der Schwachstellen-Seite mit dem Quellen-Badge Hersteller und laufen in dieselbe Triage-Liste und denselben Benachrichtigungs-Digest wie jeder andere Treffer. Nennt der Hersteller eine saubere Versionsgrenze („< V26.20“), wertet Resilic sie gegen Ihre ausgelieferte Version aus: innerhalb der Grenze ist ein bestätigter Treffer, außerhalb gar keiner, und alles nicht Auswertbare bleibt ehrlich bei Prüfung nötig. SHA-512 und OpenPGP-Signatur jedes geladenen Dokuments werden gegen die veröffentlichten Schlüssel des Anbieters geprüft — ein fehlgeschlagener Check wird als Manipulationsindiz verworfen, nie eingelesen. Eine Grenze bleibt bewusst: Ein Herstellerhinweis allein markiert nie etwas als aktiv ausgenutzt — dieses Urteil bleibt bei CISA KEV.
Art.-13(6)-Hinweise an Komponentenhersteller
Abschnitt betitelt „Art.-13(6)-Hinweise an Komponentenhersteller“Wird eine Schwachstelle in einer integrierten Komponente festgestellt, erwartet Art. 13(6), dass Sie den Hersteller der Komponente informieren. Resilic entwirft den Hinweis (Komponente, CVE, Referenzen) — Sie prüfen und senden ihn; nichts wird je automatisch versendet. Gesendete Hinweise werden verfolgt (gesendet → bestätigt → behoben) und in der Lieferantenakte abgelegt; sie speisen das Signal zur Behebungslatenz.
Dossier-Export — und die zeitliche Wahrheit
Abschnitt betitelt „Dossier-Export — und die zeitliche Wahrheit“Die gesamte Akte exportiert als Sorgfaltsdossier (PDF) — das Artefakt, nach dem eine Marktüberwachungsbehörde unter Art. 13(5) fragen würde. Zur Einordnung: Art. 13(5)–(6) sind Pflichten des vollen CRA ab dem 11. Dez 2027, nicht Teil der Artikel-14-Meldung — dieses Modul ist Readiness dafür, früh begonnen, weil Lieferantennachweise Zeit brauchen.