What is Velocity Governance?

Velocity Governance is the discipline of observing whether engineering practices keep pace with development velocity. As teams adopt AI and ship faster, Concordance monitors 50 protocols across 6 SDLC phases to ensure quality, security, and compliance don't degrade.

How does Concordance help with CRA compliance?

Concordance maps 50 engineering protocols to all 21 CRA Annex I essential requirements, generating continuous audit-ready evidence from your actual engineering toolchain — GitHub, GitLab, Jira, Linear, and more. No manual documentation required.

How does Concordance help with NIS2 compliance?

Concordance maps 50 engineering protocols to all 10 NIS2 Article 21(2) essential measures, providing continuous compliance evidence from your SDLC. It covers supply chain security, incident handling, risk assessment, and secure development practices.

The Foundation Scan is completely free — scan any public GitHub repository and get engineering practice scores across 50 protocols in under 60 seconds. No sign-up required. Pro plans start at $49/month for continuous monitoring.

How is Concordance different from DORA metrics?

DORA metrics measure deployment frequency, lead time, change failure rate, and recovery time — they tell you how fast you ship. Concordance measures 50 engineering practices across 6 SDLC phases — it tells you if your processes can keep up with that speed. They're complementary: DORA measures velocity, Concordance governs it.

What does Concordance access?

Concordance reads only metadata — PR configurations, CI pipeline configs, branch protection rules, dependency manifests, and workflow signals. It never accesses source code, secrets, or credentials.

Concordance Labs · April 2026

The Team at Concordance

April 2026 · 12 Min. Lesezeit

Read this guide in English →

CRA-Compliance für Engineering-Teams: Der vollständige Leitfaden

Der EU Cyber Resilience Act (CRA) führt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen ein, die auf dem europäischen Markt verkauft werden. Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden. Dieser Leitfaden behandelt alles, was Engineering-Teams wissen müssen — Fristen, Meldepflichten, Produktklassifizierung und wie Sie die Compliance-Nachweise generieren, die Auditoren erwarten.

Wichtige Fristen

11. September 2026

Meldepflichten treten in Kraft. Die 24h/72h/14-Tage-Meldefristen gelten für alle Hersteller von Produkten mit digitalen Elementen.

11. Dezember 2027

Vollständige CRA-Anwendung. Alle Produktdesign-Anforderungen, CE-Kennzeichnung und Konformitätsbewertungsverfahren werden durchsetzbar.

Das 3-Stufen-Meldesystem

Hersteller müssen jede aktiv ausgenutzte Schwachstelle oder jeden schwerwiegenden Sicherheitsvorfall an ENISA und ihre nationale Behörde melden:

24 StundenFrühwarnung

Eine kurze Meldung, sobald Sie Kenntnis von einem schwerwiegenden Vorfall oder einer aktiv ausgenutzten Schwachstelle erlangen. Muss angeben, ob grenzüberschreitende Auswirkungen vermutet werden. Dies ist ein Geschwindigkeitstest — Sie benötigen automatisierte Erkennung und vorgefertigte Meldevorlagen.

72 StundenVorfallmeldung

Eine detaillierte Aktualisierung mit einer ersten Bewertung des Vorfalls, des Schweregrads und der Kompromittierungsindikatoren (IoCs), sofern verfügbar.

14 TageAbschlussbericht

Ein umfassender Bericht: Beschreibung der Schwachstelle oder des Vorfalls, ergriffene Abhilfemaßnahmen (veröffentlichte Patches, geänderte Konfigurationen) und das verbleibende Risikoniveau für Nutzer.

Alle Berichte gehen an ENISA über die Single Reporting Platform (SRP) und an die nationale Behörde — das BSI in Deutschland, das NCSC-NL in den Niederlanden, das CCB in Belgien oder die ANSSI in Frankreich. Das 24-Stunden-Fenster ist die größte Herausforderung. Manuelle Prozesse können es nicht zuverlässig einhalten.

Produktklassifizierung

Der CRA klassifiziert Produkte in vier Stufen basierend auf ihrem Cybersicherheitsrisiko:

Kritische Produkte

Hardware-Sicherheitsmodule (HSMs) · Smart-Meter-Gateways · Smartcards & TPMs · Sichere Kryptoprozessoren

Europäische Zertifizierung erforderlich. Umfassendstes Bewertungsverfahren.

Wichtige Produkte — Klasse II

Industrielle Firewalls & IDS/IPS · Hypervisoren & Container-Runtimes (Docker, Xen) · Manipulationssichere Mikroprozessoren · PKI-Software

Obligatorische Drittparteiprüfung. Externe Bewertung ist immer erforderlich.

Wichtige Produkte — Klasse I

IAM-Software · Browser · Smartlocks, Kameras & Babyphones · Betriebssysteme, VPNs, Router · Passwort-Manager · Vernetztes Spielzeug

Drittparteiprüfung oder Selbstbewertung nach harmonisierten Standards.

Standardprodukte (90% aller Produkte)

Alle anderen Produkte mit digitalen Elementen — die große Mehrheit der Software.

Selbstbewertung (Modul A). Herstellerinterne Kontrolle — kein externer Auditor führt Sie durch den Prozess. Sie brauchen eigene Werkzeuge zur Nachweisführung.

CRA und NIS2: Wo sich die Anforderungen überschneiden

Engineering-Teams müssen CRA und NIS2 gleichzeitig bewältigen. Beide Verordnungen stammen aus der breiteren EU-Cybersicherheitsstrategie, zielen aber auf unterschiedliche Bereiche ab:

CRA zielt auf Produkte ab — die Software und vernetzten Geräte selbst. Er verlangt Secure-by-Design-Entwicklung, Schwachstellenbehandlung und Vorfallmeldung.
NIS2 zielt auf Organisationen ab — die Einrichtungen, die wesentliche und wichtige Dienste betreiben. Sie verlangt Risikomanagement, Vorfallmeldung und Lieferkettensicherheit.

Die Überschneidung ist erheblich: Beide erfordern Vorfallmeldefristen, Nachweise über Sicherheitspraktiken und schaffen Sanktionen bei Nichteinhaltung. Die Engineering-Praxis-Daten, die die Secure-by-Design-Anforderungen des CRA erfüllen, lassen sich häufig direkt auf die Risikomanagement-Nachweise der NIS2 abbilden.

Was „Secure-by-Design" in der Praxis bedeutet

CRA Artikel 10 verlangt, dass Produkte „so konzipiert, entwickelt und hergestellt werden, dass sie ein angemessenes Niveau an Cybersicherheit gewährleisten." Für Engineering-Teams bedeutet das nachweisbare Praktiken über den gesamten SDLC:

CI/CD-Pipeline-Konfiguration als Nachweis sicherer Entwicklungsprozesse. Sind Builds automatisiert? Sind Sicherheitsprüfungen als Gates eingerichtet?
Code-Review-Standards als Nachweis der Qualitätssicherung. Werden Pull Requests vor dem Merge geprüft? Werden Review-Anforderungen durchgesetzt?
Branch-Protection-Richtlinien als Nachweis der Zugangskontrolle. Kann jeder auf den Hauptbranch pushen? Sind Force-Pushes blockiert?
Testabdeckung als Nachweis der Schwachstellenbewertung. Gibt es automatisierte Tests? Laufen Tests bei jedem Commit?
Abhängigkeitsmanagement als Nachweis der SBOM-Compliance. Können Sie jede Drittanbieter-Komponente auflisten? Werden Abhängigkeiten auf bekannte Schwachstellen gescannt?

Concordance adressiert dieses Problem, indem es 50 Engineering-Protokolle über 6 SDLC-Phasen bewertet und die Ergebnisse direkt auf CRA-, NIS2-, SOC-2- und ISO-27001-Anforderungen abbildet — aus einem einzigen Scan.

Häufig gestellte Fragen

Gilt der CRA für Open-Source-Software?

Der CRA gilt für Open-Source-Software nur, wenn sie im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Rein ehrenamtlich entwickelte Open-Source-Projekte sind grundsätzlich ausgenommen. Wenn Sie jedoch Open-Source-Komponenten in ein kommerzielles Produkt integrieren, sind Sie als Hersteller für die Sicherheit dieser Komponenten verantwortlich.

Was passiert bei Nichteinhaltung?

Verstöße gegen wesentliche Anforderungen können mit Geldbußen von bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Wiederholte Verstöße können zum Rückruf des Produkts vom EU-Markt führen.

Wir haben bereits SOC 2 / ISO 27001. Wie viel davon gilt für den CRA?

Erhebliche Überschneidungen bestehen in den Bereichen Zugangskontrolle, Schwachstellenmanagement und Vorfallreaktion. Der CRA fügt jedoch Engineering-spezifische Anforderungen hinzu: Secure-by-Design-Nachweise aus den tatsächlichen Entwicklungspraktiken, SBOM-Anforderungen und produktbezogene Schwachstellenbehandlung. Bestehende Zertifizierungen decken etwa 40-60% der CRA-Anforderungen ab.