Ein Überblick in klarer Sprache, was zwei EU-Verordnungen für Teams bedeuten, die KI-unterstützten Code an Enterprise-Kunden liefern — und warum der Nachweis, dass Code geprüft wurde, Teil des Geschäfts wird.
Dies ist ein allgemeiner Überblick, keine Rechtsberatung — konsultieren Sie für Ihre konkreten CRA-/NIS2-Pflichten qualifizierten Rechtsbeistand.
Coding-Agenten erzeugen inzwischen einen erheblichen Anteil des Codes, den Software-Agenturen ausliefern. Studien, die KI-unterstützten und menschlich geschriebenen Code vergleichen, finden bei KI-generiertem Code eine etwa 1,9–2,7× höhere Wahrscheinlichkeit für Schwachstellen. Ein Teil des Risikos ist strukturell: KI-Modelle erfinden mitunter plausibel klingende Paketnamen, die nicht existieren — und Angreifer registrieren genau diese Namen, ein Lieferketten-Angriff namens Slopsquatting. Zugleich kommen zwei EU-Verordnungen, die Lieferketten-Sicherheitspflichten direkt in kommerzielle Verträge tragen.
Der EU Cyber Resilience Act phasenweise: Meldepflichten für Schwachstellen ab dem 11. September 2026, vollständige Anwendung ab dem 11. Dezember 2027.
Software, die ausschließlich für einen bestimmten Kunden gebaut wird, gilt in der Regel nicht als „auf dem Markt bereitgestellt“ — sie fällt für die bauende Agentur also nicht unter die direkten Herstellerpflichten des CRA (CE-Kennzeichnung etc.). Sobald dieser Code aber in das Produkt des Kunden integriert ist, bleibt der Kunde für jede integrierte Komponente verantwortlich und muss Lieferanten-SBOMs und technische Dokumentation konsolidieren. In der Praxis erreicht die Pflicht eine Agentur vertraglich, über das Compliance-Programm ihres Kunden — nicht als eigene CE-Kennzeichnungspflicht.
NIS2 Artikel 21 verpflichtet Organisationen im Anwendungsbereich der Richtlinie, Cybersicherheitsrisiken in ihrer Lieferkette zu managen — und diese Anforderung über vertragliche Weitergabeklauseln auf ihre direkten Lieferanten anzuwenden. Für eine Software-Agentur heißt das: Kunden, die selbst unter NIS2 fallen (mit der Umsetzung in nationales Recht), verlangen Vertragsklauseln zu Sicherheitsmaßnahmen, Incident-Meldungen und Audit-Rechten. Das erreicht Lieferanten jetzt, vor den CRA-Fristen.
Heute weist ein Lieferant Sicherheit typischerweise auf zwei Arten nach. Organisations-Zertifikate — ISO 27001, SOC 2 — bescheinigen, dass das Unternehmen einen Prozess hat; über diese konkrete Lieferung sagen sie nichts. Selbst erzeugte Artefakte — ein SonarQube- oder Snyk-PDF-Export, ein Pentest-Bericht — sind punktuell und nachträglich editierbar, ausgerechnet durch die Partei, die etwas beweisen soll. Build-Provenance-Tooling (SLSA, in-toto, Sigstore) löst das kryptografische Manipulationsproblem, ist aber kostenloses, entwicklerseitiges Tooling, vom Build-System selbstsigniert — nicht verpackt als Nachweis, den ein nicht-technischer Stakeholder des Kunden öffnen und dem er vertrauen kann.
Die Lücke, die diese drei Ansätze lassen, ist ein manipulationssicherer, unabhängig verifizierbarer Beleg pro Lieferung, gebunden an den konkreten Moment, in dem ein Stück (oft KI-geschriebener) Code geprüft wurde — etwas, das ein Kunde ohne Konto öffnen, ohne das Wort des Lieferanten verifizieren und neben der SBOM ablegen kann, die sein Compliance-Programm ohnehin verlangt.
Graneths kostenloses, kontoloses MCP-Tool (pre_flight_check) prüft KI-generierten Code auf halluzinierte/slopsquattete Pakete und fest einkodierte Secrets in dem Moment, in dem Ihr Agent ihn schreibt. Jeder abgeschlossene Scan kann einen signierten, öffentlichen Prüfbeleg erzeugen — einen Link, den ein Kunde öffnet und sieht, dass eine konkrete Lieferung geprüft wurde, ohne Ihnen glauben zu müssen.
Wichtig: Ein Prüfbeleg beweist, dass der Code geprüft wurde — nicht, dass der Code sicher ist, und er ist keine CRA- oder NIS2-Compliance-Zertifizierung. Compliance ist eine juristische Feststellung für Sie und Ihren Rechtsbeistand; Graneth liefert ein Stück technischen Nachweis für dieses Gespräch.
Dies ist ein allgemeiner Überblick, keine Rechtsberatung — konsultieren Sie für Ihre konkreten CRA-/NIS2-Pflichten qualifizierten Rechtsbeistand.