Cyber-Risikobeurteilung
CRA Art. 13(2)–(3) erwartet vom Hersteller eine Cybersicherheits-Risikobeurteilung des Produkts, die bei Bedarf aktualisiert und in die technische Dokumentation aufgenommen wird (Anhang VII §3). Resilic gibt jedem Produkt eine aktuelle, weiter bearbeitbare Beurteilung — KI-entworfen aus Evidenz, menschlich freigegeben und durch Ihre Live-Daten ehrlich gehalten.
Aus Evidenz generieren
Abschnitt betitelt „Aus Evidenz generieren“Aus Evidenz generieren erstellt einen Entwurf, fundiert auf dem, was Resilic zum Produkt bereits hält: Registereintrag, Versionen und Auslieferungen, SBOM und Komponenteninventar sowie die Korrelations-Exposition (EUVD/NVD/CISA KEV). Das Ergebnis ist ein Sicherheitskontext plus Bedrohungskandidaten mit Zitaten — eine Bedrohung wird vorgeschlagen, weil die SBOM etwa eine netzwerkexponierte Komponente mit Ausnutzungshistorie enthält, und das Zitat belegt es. Die Fakten werden deterministisch kompiliert; die KI formuliert nur die Prosa. Kandidaten sind Vorschläge: Sie wählen aus, bearbeiten, ergänzen eigene oder verwerfen.
Erklärbares 3×3-Scoring
Abschnitt betitelt „Erklärbares 3×3-Scoring“Risiken werden auf einer festen Matrix Eintrittswahrscheinlichkeit × Auswirkung bewertet — jeweils Niedrig/Mittel/Hoch, abgebildet auf ein Risikoniveau Niedrig/Mittel/Hoch. Die Abbildung ist im Produkt dokumentiert, und jede Bewertung ist auf ihre Eingaben rückführbar. Es gibt bewusst kein Blackbox-Scoring und keine konfigurierbare Methodik: erklärbar schlägt raffiniert. Die Produkttexte beanspruchen keine Konformität mit einem Risikobeurteilungs-Methodikstandard.
Freigabe — und Aktualitätsauslöser
Abschnitt betitelt „Freigabe — und Aktualitätsauslöser“Die Freigabe verlangt eine ausdrückliche Bestätigung und hält fest, wer wann freigegeben hat. Danach wacht Resilic über Evidenz, die die Beurteilung infrage stellt:
- ein neuer aktiv ausgenutzter (KEV-)Treffer am Produkt,
- eine neue SBOM für eine seiner Versionen,
- eine neue Auslieferung des Produkts.
Jedes davon markiert die Beurteilung als „Überprüfung nötig“ — der Inhalt wird nie stillschweigend geändert — und kann abonnierte Nutzer benachrichtigen. So wird das „bei Bedarf aktualisiert“ aus Art. 13(3) zu einem operativen Kreislauf statt zu einem Regaldokument.
Wohin sie einspeist, und der Export
Abschnitt betitelt „Wohin sie einspeist, und der Export“- Eine freigegebene Beurteilung füllt Anhang VII §3 Ihrer technischen Dokumentation und ersetzt den „selbst beibringen“-Platzhalter durch einen zitierten Abschnitt.
- Die Beurteilung exportiert als eigenständiges PDF — nur freigegebene Beurteilungen. Ist die Beurteilung zur Überprüfung markiert, druckt der Export REVIEW REQUIRED, statt es zu verbergen.
Was das ist — und was nicht
Abschnitt betitelt „Was das ist — und was nicht“Art. 13(2)–(3) sind Pflichten des vollen CRA ab dem 11. Dez 2027 — Readiness-Rahmung, keine Pflicht ab September 2026. Resilic strukturiert Ihre eigene Beurteilung; es führt sie nicht durch, bescheinigt und zertifiziert sie nicht. Und es ist eine Cybersicherheits-Risikobeurteilung: Sie ersetzt nicht die ISO-12100-Sicherheitsrisikobeurteilung für Maschinen — hängen Sie diese, wo relevant, als Evidenz an; sie ist ein anderes Dokument mit einem anderen Eigentümer.