Unterstützt Kunnus CycloneDX und SPDX?

Ja. Kunnus unterstützt sowohl CycloneDX (1.4/1.5) als auch SPDX (2.3) SBOM-Formate mit automatischer Formaterkennung beim Upload.

Kann Kunnus Tausende von Produktvarianten verwalten?

Ja. Kunnus unterstützt hierarchische Produktstrukturen mit Eltern-Kind-Beziehungen, sodass Sie Tausende von Varianten über ein einziges Dashboard verwalten können.

Unterstützt Kunnus die ENISA-24h-Meldung?

Ja. Kunnus enthält ENISA-konforme Schwachstellenmeldungen, die die 24-Stunden-Meldefrist gemäß CRA Artikel 14 einhalten.

8 Module für CRA-Compliance: SBOM bis Konformitätserklärung

8 Module decken jede CRA-Pflicht: SBOM aus CI/CD, ENISA-24h-Meldung, 50+ Sicherheitskontrollen und EU-Konformitätserklärung auf Knopfdruck.

Kunnus ist eine speziell für den EU Cyber Resilience Act entwickelte Compliance-Plattform für Hersteller von Produkten mit digitalen Elementen. Im Gegensatz zu generischen GRC-Tools ist jede Funktion in Kunnus gezielt auf die Anforderungen des CRA zugeschnitten: von der automatisierten SBOM-Generierung in CycloneDX- und SPDX-Formaten über das kontinuierliche Schwachstellen-Monitoring mit Zuordnung zu Ihren Produktkomponenten bis hin zu Audit-Dokumentationspaketen auf Knopfdruck. Die Plattform deckt den gesamten Compliance-Lebenszyklus ab: Produktklassifizierung nach CRA-Risikokategorien, Gap-Analyse gegen alle wesentlichen Cybersicherheitsanforderungen, Nachweissammlung verknüpft mit spezifischen Kontrollen und ENISA-konforme Meldeworkflows. Mit Kunnus wird aus wochenlanger manueller Arbeit ein Prozess von Stunden, bei 70% geringeren Compliance-Kosten und der Gewissheit, dass nichts übersehen wird.

Produktinventar

Verwalten Sie Ihr gesamtes Produktportfolio mit hierarchischer Struktur, Varianten und Versionen. Klassifizieren Sie Produkte automatisch gemäß CRA-Anforderungen.

Hierarchische Struktur

Organisieren Sie Produkte in Familien, Varianten und Versionen mit vollständigen Eltern-Kind-Beziehungen.

CRA-Klassifizierung

Geführter Assistent zur Klassifizierung von Produkten als Standard, Klasse I, Klasse II oder Kritisch gemäß CRA-Anforderungen.

Massenimport

Importieren Sie Produkte per CSV oder verbinden Sie bestehende PLM-Systeme für automatische Synchronisation.

Komponentenverfolgung

Verfolgen Sie gemeinsam genutzte Komponenten über Produkte hinweg, um Schwachstellenauswirkungen zu verstehen.

Versionskontrolle

Pflegen Sie die Versionshistorie für Audit-Trails und Compliance-Dokumentation.

Erweiterte Suche

Filtern und durchsuchen Sie Ihr gesamtes Produktportfolio mit leistungsstarken Abfragen.

Wichtigste Vorteile

Vollständige Transparenz über Ihr Produktportfolio
Automatische CRA-Klassifizierung mit geführten Assistenten
Komponentenverwendung über alle Produkte verfolgen
Audit-fähige Versionshistorie pflegen
Bestehende Daten aus PLM-Systemen importieren

Mehr erfahren Demo anfordern

Product Hierarchy

SmartSensor XR Series

Master Product • 3 variants

XR ProClass I

XR BasicClass I

XR IndustrialClass II

Gateway Hub GH-200

Single Product • Active

SBOM-Verwaltung

Importieren, speichern und analysieren Sie Software-Stücklisten in CycloneDX- und SPDX-Formaten. Verfolgen Sie Komponentenabhängigkeiten über Produkte hinweg.

Multi-Format-Unterstützung

Importieren Sie SBOMs in CycloneDX (JSON/XML) und SPDX (JSON/YAML/RDF) Formaten.

Abhängigkeitsbaum

Visualisieren Sie vollständige Abhängigkeitsbäume mit transitiver Abhängigkeitsverfolgung.

Automatische Generierung

Verbinden Sie CI/CD-Pipelines zur automatischen Generierung und Aktualisierung von SBOMs.

Lizenzanalyse

Identifizieren Sie Lizenzverpflichtungen und potenzielle Konflikte über Komponenten hinweg.

Export & Teilen

Exportieren Sie SBOMs in Standardformaten für Kunden und Aufsichtsbehörden.

Änderungsbenachrichtigungen

Werden Sie benachrichtigt, wenn sich Komponentenabhängigkeiten ändern oder neue Versionen verfügbar sind.

Wichtigste Vorteile

Unterstützung aller gängigen SBOM-Formate
Automatische Schwachstellenkorrelation
Lizenz-Compliance-Verfolgung
CI/CD-Integration für kontinuierliche Aktualisierungen
Kundenfähige Exportformate

Mehr erfahren Demo anfordern

Component Tree

CycloneDX v1.5

smartsensor-xr-pro@2.1.0

├── linux-kernel@5.15.0

├── openssl@3.0.12 ●

├── zlib@1.2.13

├── busybox@1.36.0

├── curl@8.4.0 ●

│ └── libcurl@8.4.0

├── sqlite@3.44.0

└── app-firmware@2.1.0

├── freertos@10.5.1

└── lwip@2.1.3

CriticalHigh

Schwachstellenverfolgung

Erkennen Sie Schwachstellen automatisch, verfolgen Sie SLAs, erfüllen Sie die ENISA-Meldepflichten nach CRA Artikel 14 und verwalten Sie Risikoakzeptanz-Workflows.

Automatische Erkennung

Automatischer Abgleich von SBOM-Komponenten mit NVD-, OSV- und GitHub-Advisory-Datenbanken.

SLA-Verfolgung

Verfolgen Sie Bestätigungs-, Bewertungs- und Behebungszeiten mit konfigurierbaren SLA-Zielen pro Schweregrad.

ENISA-Benachrichtigungen

CRA Artikel 14 konform: 24-Stunden-Fristenverfolgung für aktiv ausgenutzte Schwachstellen.

Risikoakzeptanz

Formale Genehmigungsworkflows zur Risikoakzeptanz mit Audit-Trail und Ablaufverfolgung.

Auswirkungsanalyse

Sehen Sie, welche Produkte betroffen sind, und verfolgen Sie produktspezifische Behebungsstrategien.

CVD-Management

Verwalten Sie die koordinierte Schwachstellenoffenlegung mit Sicherheitsforschern.

Wichtigste Vorteile

CRA Artikel 14 ENISA-Meldeunterstützung
Konfigurierbare SLA-Ziele pro Schweregrad
Formale Risikoakzeptanz mit Genehmigungsworkflows
Echtzeit-Schwachstellenerkennung aus mehreren Quellen
Produktspezifische Auswirkungs- und Behebungsverfolgung

Mehr erfahren Demo anfordern

CVE-2024-1234

Critical

Component

openssl@3.0.12

CVSS Score

9.5

Affected Products

XR ProXR IndustrialGH-200

Status

In Progress

Konformitätsbewertung

Führen Sie CRA-Konformitätsbewertungen gegen vorgefertigte Frameworks durch. Annex-I-Anforderungen werden auf Nachweise gemappt, Bedrohungen mit STRIDE modelliert. Jede Bewertung läuft vom Draft bis zur Genehmigung.

CRA-Compliance-Engine

Vorgefertigte CRA-Grundanforderungen (Anhang I Teil I + II). Jede Anforderung verknüpft mit Nachweisen und Kontrollen.

Assessment-Frameworks

CRA, ISO 27001, IEC 62443 und benutzerdefinierte Frameworks. Pro-Produkt-Scoping mit wiederverwendbaren Templates.

Bedrohungsmodellierung (STRIDE)

Integrierter STRIDE-Assistent: Spoofing, Tampering, Repudiation, Information Disclosure, DoS und Elevation of Privilege identifizieren, bewerten und mitigieren.

Genehmigungs-Workflow

Draft → Review → Genehmigt mit separater Approver-Rolle, Sign-off-Kommentaren und vollständigem Audit-Trail.

Pro-Produkt-Scope

Produkte einzeln bewerten oder eine Bewertung über eine Variantenfamilie teilen. Komponenten-Level-Vererbung für SBOMs und Kontrollen.

Gap-Analyse

Fehlende-Evidenz- und Kontroll-Gap-Berichte pro Bewertung. So wissen Sie genau, was Konformität blockiert.

Wichtigste Vorteile

Vorgefertigtes CRA-Framework, kein Setup nötig
STRIDE-Bedrohungsmodellierung out of the box
Genehmigungs-Workflow mit Audit-Trail
Bewertungen über Produktfamilien wiederverwenden
Audit-fähige Gap- und Evidenz-Berichte

Mehr erfahren Demo anfordern

Threat Model · SmartSensor XR

STRIDE · CRA Annex I Part I

In Review

Risk matrix

HighMedLow

LowMedHigh

Likelihood

Identified threats

TOTA channel tamperingHigh

Signed firmware updates

IDebug-port info leakMedium

Disable JTAG in production

EPrivilege escalation via APILow

Scoped tokens, mitigated

CRA Compliance Dashboard

Organisationsweiter CRA-Compliance-Status auf einen Blick. Verfolgen Sie jedes Produkt, identifizieren Sie Lücken und sehen Sie genau, was Aufmerksamkeit braucht. Alles in einem zentralen Dashboard.

Produkt-Compliance-Übersicht

Sehen Sie die CRA-Bereitschaft jedes Produkts auf einen Blick mit farbcodierten Fortschrittsbalken und Status-Indikatoren.

Pro-Produkt-Compliance-Tracking

Verfolgen Sie den CRA-Compliance-Prozentsatz pro Produkt, von 0% bis 100% mit klaren Genehmigt-, In-Bearbeitung- und Ausstehend-Status.

Schwachstellen-Schweregrad

Überwachen Sie offene Schwachstellen über alle Produkte hinweg, aufgeschlüsselt nach Schweregrad: Kritisch, Hoch, Mittel, Niedrig.

SLA-Status-Monitoring

Verfolgen Sie Reaktions-SLAs für Schwachstellen in Echtzeit: im Plan, gefährdet oder überschritten.

KPI-Karten

Metriken auf einen Blick: Gesamtprodukte, ausstehende Bewertungen, offene Schwachstellen und offene Probleme.

Nächste Maßnahmen

Priorisierte Liste der nächsten Schritte: Was jetzt Ihre Aufmerksamkeit braucht, um auf Kurs für CRA-Compliance zu bleiben.

Wichtigste Vorteile

Organisationsweite Compliance-Transparenz
Pro-Produkt CRA-Bereitschafts-Tracking
Schwachstellen-Schweregrad auf einen Blick
SLA-Verletzungen verhindern
Priorisierte Handlungsempfehlungen

Mehr erfahren Demo anfordern

Products

total

Assess.

Vulns

open

Issues

open

Product ComplianceShow all

SmartLine Pro 1000

100%Approved

SmartLine Pro 2000

65%In Progress

SmartLine 3000 ATEX

61%In Progress

SmartLine CloudLite

63%In Progress

SmartLine 3000

45%In Progress

Severity

Critical0

High0

Medium0

Low0

SLA Status

0
On Track

0
At Risk

2
Breached

Nachweise & Berichte

Sammeln und organisieren Sie Compliance-Nachweise. Erstellen Sie Selbstbewertungsberichte und halten Sie Ihr Team mit Echtzeit-Benachrichtigungen auf dem Laufenden.

Nachweisablage

Zentraler Speicher für alle Compliance-Dokumente mit Versionskontrolle.

Automatische Erfassung

Verbinden Sie CI/CD-Pipelines zur automatischen Erfassung von Testergebnissen und Scan-Berichten.

Berichtserstellung

Selbstbewertungsberichte (Konformitätserklärung) per Knopfdruck mit Vorlagen.

Audit-Pakete

Exportieren Sie vollständige Audit-Pakete mit allen Nachweisen und Dokumentationen.

Team-Benachrichtigungen

Echtzeit-Benachrichtigungen per E-Mail, Slack und Teams bei Handlungsbedarf.

Audit-Trail

Vollständige Historie aller Änderungen mit Wer, Was, Wann und Warum.

Wichtigste Vorteile

Zentrales Nachweismanagement
Automatisierte Nachweiserfassung
Compliance-Berichte per Knopfdruck
Mehrkanalige Team-Benachrichtigungen
Vollständiger Audit-Trail für Compliance

Mehr erfahren Demo anfordern

Evidence Library

+ Upload

Penetration Test Report 2024

PDF • Jan 15

CRA-2.1

Security Architecture Review

PDF • Jan 12

CRA-1.1

SAST Scan Results

JSON • Jan 10

CRA-2.1

Threat Model - XR Pro

PDF • Jan 08

CRA-1.2

Lieferantenportal & Lieferantenbewertung

Versenden Sie Magic-Link-Compliance-Anfragen an Lieferanten, nutzen Sie vorgefertigte CRA-Frameworks und prüfen Sie Antworten mit Accept/Reject pro Kriterium. Ganz ohne Lieferanten-Account.

Magic-Link-Anfragen

Versenden Sie Compliance-Anfragen per E-Mail. Der Lieferant öffnet einen sicheren Einmal-Link und startet die Beantwortung. Kein Account, kein Onboarding.

CRA-Assessment-Framework

Vorgefertigtes Vendor Security Assessment mit 14 Kriterien, konfigurierbar pro Lieferant. Information Security Policy, SBOM, CVD, Incident Response Plan und mehr.

Evidenz-Upload

Lieferanten hängen Policies, Zertifikate (ISO 27001, SOC 2, TISAX) und Dokumente direkt im Portal an. Pflicht-Evidenz wird vor dem Absenden durchgesetzt.

Compare-Ansicht

Jedes Kriterium zeigt Ihren aktuellen Wert neben dem Lieferantenvorschlag. Entscheiden Sie pro Kriterium: Accept oder Reject mit Kommentar.

Lieferantenverzeichnis

Zentrales CRUD für Lieferantendaten mit One-Click-Import gängiger Lieferanten. Risikostufen, Kritikalität und Review-Historie an einem Ort.

Audit-Trail

Jede Anfrage, Antwort, Accept-, Reject- und Kommentaraktion wird mit Zeitstempel protokolliert. Auditoren bekommen ein sauberes Lieferketten-Evidenzpaket.

Wichtigste Vorteile

Keine Onboarding-Hürde für Lieferanten (Magic-Link, kein Account)
Vorgefertigtes CRA Vendor Security Assessment, sofort einsetzbar
Accept/Reject pro Kriterium mit Kommentar
Pflicht-Evidenz wird vor dem Absenden durchgesetzt
Audit-fähige Lieferketten-Nachweise

Mehr erfahren Demo anfordern

Supplier Portal

Respond to compliance request

2 / 14 saved

Information Security PolicyInput requested

Does the vendor have a documented information security policy?

YesNo

Security_Policy_v1.pdf· 191.4 KB

Security CertificationsInput requested

ISO 27001

SOC 2 Type II

ISO 9001

TISAX

A supporting document is required for this criterion.

Sidebar nav · autosave · spent on submit

Plattformsicherheit

Enterprise-Sicherheit von Grund auf: RBAC mit 7 Rollen, Multi-Tenant-Architektur mit Organisationen und Workspaces, scoped API-Keys und SSO/MFA. DSGVO-konform by design.

RBAC mit 7 Rollen

Owner, Admin, Approver, Developer, Auditor, Viewer, Guest. Granulare Berechtigungen pro Rolle, inklusive schreibgeschütztem Audit-Zugang.

Multi-Tenant-Architektur

Organisationen als oberste Grenze, Workspaces darin für Team- und Projekttrennung. Vollständige Datenisolation zwischen Mandanten.

Scoped API-Keys

Workspace-scoped Keys mit konfigurierbarem Ablauf. Einmaliges Anzeigen. Nur Owner und Admin. Für CI/CD und Automatisierung.

SSO/MFA

Single Sign-On und Multi-Faktor-Authentifizierung in Entwicklung für kommende Enterprise-Rollouts.

In-App-Benachrichtigungen

Echtzeit-Notification-Center mit Pro-Event-Einstellungen. Nutzer entscheiden, worüber sie informiert werden.

DSGVO & Datenresidenz

EU-gehostet, DSGVO-konform by design. Workspace-Level-Datenisolation für Organisationen mit strikten Datenschutzanforderungen.

Wichtigste Vorteile

Sieben granulare Rollen out of the box
Vollständige Datenisolation zwischen Mandanten
CI/CD-fähige scoped API-Keys
DSGVO-konformes EU-Hosting
Auditor-freundlicher Read-Only-Zugang

Mehr erfahren Demo anfordern

Platform Security

Smart Systems GmbH · 3 workspaces

GDPR · EU

Roles7 · RBAC

Owner

Full access

Admin

Manage

Approver

Approve

Developer

Write

Auditor

Read-only

Viewer

Read-only

Guest

Scoped

SSO · MFA

SAML, OIDC, TOTP

API Keys

kn_••••••6f2a

Workspaces

3 · isolated

Bereit durchzustarten?

Erleben Sie, wie Kunnus Ihre CRA-Compliance transformiert.

Demo anfordern Zurück zur Startseite