Mit dem Cyber Resilience Act (CRA) kommen ab 2027 verbindliche Sicherheitsanforderungen auf alle Hersteller von Produkten mit digitalen Elementen zu – inklusive Dokumentationspflichten, Schwachstellenmanagement und Konformitätsbewertung.

Für viele Entwicklungsteams wirkt das wie eine zusätzliche Bürokratielast, die erst am Ende des Projekts sichtbar wird. Doch Compliance muss nicht nachgelagert geprüft werden: Mit "Compliance-as-Code" lässt sich die Einhaltung regulatorischer Anforderungen direkt in die CI/CD-Pipeline integrieren und automatisiert überprüfen.

Der Vortrag zeigt anhand ausschließlich quelloffener Werkzeuge, wie sich CRA-relevante Checks – von SBOM-Erzeugung über Schwachstellenscans bis zur Attestierung – nahtlos in den Entwicklungsalltag einbetten lassen. Ein besonderer Fokus liegt auf dem Badge-Programm des ZenDiS, das Open-Source-Projekte im Public Sector gezielt beim Erfüllen der CRA-Anforderungen unterstützt.

Ergänzend wird ein Blick darauf geworfen, welche Maßnahmen das BSI zur Überprüfung der CRA-Konformität vorbereitet – und was das für Entwicklungsteams konkret bedeutet.