Anhang-I-Register
Das Anhang-I-Register ist die Readiness-Selbstbewertung Ihrer Organisation gegen die grundlegenden Cybersicherheitsanforderungen des CRA: ein Eintrag je Anhang-I-Anforderung — Teil I (Security-by-Design-Produkteigenschaften) und Teil II (Prozesse der Schwachstellenbehandlung), insgesamt 21 Punkte.
Das Register
Abschnitt betitelt „Das Register“Jeder Eintrag trägt:
- einen Status — Erfüllt, Teilweise, Lücke oder Nicht zutreffend;
- Maßnahmen — die Vorkehrungen, die Sie getroffen haben;
- eine Begründung — die Prosa, die den Status erklärt;
- Zitate — die Evidenz, auf der der Eintrag ruht;
- eine Quellenmarkierung — automatisch abgeleitet, KI-entworfen oder von Ihnen geschrieben — damit stets sichtbar ist, woher eine Aussage stammt.
Der angezeigte Anforderungstext ist eine zitierte Paraphrase von Anhang I, nicht der verbindliche Wortlaut des Amtsblatts.
Generieren, dann bearbeiten
Abschnitt betitelt „Generieren, dann bearbeiten“Generieren befüllt das Register aus dem Anforderungskatalog und leitet automatisch ab, was Resilic tatsächlich belegen kann — Ihre SBOMs, die CVD-Richtlinie, das Schwachstellenbehandlungsverfahren, Triage-Aktivität und veröffentlichte Advisories — mit Zitat je Quelle. Die KI entwirft anschließend Begründungen, fundiert auf diesen Maßnahmen und dieser Evidenz; sie erfindet keine Sicherheitslage, die Sie nicht haben.
Alles ist bearbeitbar: Status ändern, Maßnahmen beschreiben, eine Begründung neu formulieren. Bearbeitungen werden als menschlich verfasst markiert.
Lückenbericht und Freigabe
Abschnitt betitelt „Lückenbericht und Freigabe“Das Register berechnet einen Lückenbericht — jeden Teilweise- und Lücke-Eintrag in einer Liste — die ehrliche Antwort auf „wo stehen wir gegenüber Anhang I?“.
Die Freigabe ist ein bewusster Akt: Sie ist blockiert, solange ein Lücke-Eintrag ohne Begründung ist — ein Register, das seine Schwachpunkte stillschweigend überspringt, lässt sich nicht unterschreiben. Nach der Freigabe:
- kann das Register exportiert werden (Mapping + Narrativ + Lückenbericht) — der Export akzeptiert nur freigegebene Register;
- speisen Narrativ und Status den Design- und Schwachstellenbehandlungs-Abschnitt Ihrer technischen Dokumentation, und das Register ist die Evidenzquelle für die Doppel-Compliance und den Normen-Monitor.
Was das ist — und was nicht
Abschnitt betitelt „Was das ist — und was nicht“Die Anhang-I-Pflichten gelten mit dem vollen CRA ab dem 11. Dez 2027 — sie sind nicht Teil der Artikel-14-Meldepflicht, die im September 2026 beginnt. Das Register ist eine Readiness-Selbstbewertung: Resilic strukturiert das Mapping, prüft es auf Lücken und hält die Evidenz beisammen — es bescheinigt aber nicht, dass Ihr Produkt konform ist, und ein ausgefülltes Register ist keine „CRA-Compliance“. Die KI entwirft; Sie prüfen, korrigieren und unterschreiben — Unterschrift und Aussagen bleiben Ihre.