Plattform-Partner

Sie bauen auf etablierten Fremdplattformen: SAP, Salesforce, Microsoft Dynamics, ServiceNow, Adobe Experience Manager, TYPO3, Drupal, Shopware, Magento, commercetools, Pimcore und Dutzende mehr. Ihre Kunden kommen aus allen Branchen, und Ihre Wertschöpfung liegt in Custom Extensions, Integrationen, Templates, Workflows und Branchenlösungen auf diesen Plattformen.

Ein verbreiteter Irrtum lautet: "Die Plattform ist zertifiziert, damit sind auch wir abgedeckt." Das ist falsch. Die Sicherheit der Plattform deckt Ihre Erweiterungen nicht ab. Ihre Custom Extensions sind rechtlich eigenständige Produkte.

Typische Arbeit und ihre regulatorische Einordnung #

Custom Extensions und Plug-ins #

Wenn Sie Module, Plug-ins, Erweiterungen oder eigene Komponenten für eine Plattform entwickeln, sind diese nach CRA eigenständige "Produkte mit digitalen Elementen" oder Teile davon (Art. 3 Nr. 1). Selbst wenn sie nur in Verbindung mit der Plattform funktionieren, haben Sie sie entwickelt und in Verkehr gebracht. Die Produkthaftungsrichtlinie (Art. 8) macht Sie zum Hersteller dieser Komponenten.

Schwachstellen in Ihren Extensions sind Ihre Schwachstellen - nicht die des Plattform-Herstellers.

Integrationen zwischen Plattformen #

Wenn Sie Salesforce mit einem SAP-System verbinden, Shopware an ein ERP anbinden oder Cross-Plattform-Datenflüsse entwickeln, liefern Sie Integrationscode, der personenbezogene und oft geschäftskritische Daten verarbeitet. Fehler hier führen zu Datenlecks oder Betriebsstörungen - beides sind Haftungsgründe nach der neuen Produkthaftungsrichtlinie.

Templates, Themes, Storefronts #

Shop-Themes, CMS-Templates und Storefront-Implementierungen bestehen nicht nur aus Design: Sie enthalten JavaScript, Server-seitige Logik, Tracking, oft Third-Party-Bundles. Das sind Produkte mit digitalen Elementen. Schwachstellen in Frontend-Code treffen Endkunden unmittelbar

• und führen zu DSGVO- und Produkthaftungsfällen, bei denen der Kunde auf Sie durchgreift.

Customizing vs. Standardkonfiguration #

Reine Konfiguration ohne Code ist regulatorisch weniger kritisch. Sobald Sie aber Skripte, Workflows, Trigger, eigene Objekte, Apex-Code, ABAP-Erweiterungen oder Ähnliches schreiben, liefern Sie Software - und sind Hersteller im Sinne des CRA und der Produkthaftungsrichtlinie.

Migrations- und Roll-out-Projekte #

Bei großen Migrationen - etwa SAP S/4HANA-Umstellungen, Salesforce-Einführungen, CMS-Relaunches - ist Ihre Rolle besonders exponiert. Sie sind der unmittelbare Anbieter für einen kritischen Systemwechsel. Ihre Kunden erwarten und brauchen DORA-/NIS2-konforme Dokumentation.

Welche Gesetze greifen bei welchen Kunden #

Zwei Gesetze greifen immer, unabhängig von der Plattform und vom Kundensektor:

• Produkthaftungsrichtlinie (RL 2024/2853) macht Sie als Entwickler der Extension zum Hersteller dieser Extension (Art. 8). Die Plattform-Zertifizierung hilft Ihnen dabei nicht - Ihre Custom-Komponenten sind rechtlich eigenständige Produkte. Kein Haftungsdeckel (Art. 12), Datenverlust als Haftungsgrund (Art. 6 Abs. 1 lit. c).
• Cyber Resilience Act (VO (EU) 2024/2847) erfasst Ihre Extensions, Module, Integrationen und Templates als eigenständige "Produkte mit digitalen Elementen" oder als Teile eines solchen (Art. 3 Nr. 1). Art. 13 Abs. 5 verlangt Sorgfalt bei FOSS-Integration in Ihren Extensions - unabhängig davon, welche Open-Source-Bibliotheken die Plattform selbst mitbringt.

Hinzu kommen - je nach Kundenseite - DORA und NIS2:

• Finanzsektor: DORA. Salesforce-Partner im Banken- oder Versicherungsumfeld werden IKT-Drittdienstleister. SAP-Partner in Banken ebenso. Die DORA-Lieferantensteuerung greift unmittelbar (Art. 28 DORA).
• Gesundheit, Pharma: NIS2 plus MDR plus DSGVO-Verschärfung. Custom Extensions für Krankenhaus-CRM oder Patientenportale sind hoch reguliert.
• Energie und Versorgung: NIS2 als wesentliche Einrichtungen. CMS- und Portal-Partner, die Kundenportale für Energieversorger bauen, sind Zulieferer nach Art. 21 Abs. 3 NIS2.
• Öffentliche Verwaltung: NIS2 plus BSI-Vorgaben. Typo3- und Drupal-Partner in der öffentlichen Verwaltung liefern direkt in den kritischen Sektor.
• Automotive, Industrie: NIS2 als wichtige Einrichtungen. SAP-Partner und MES-Partner sind hier Kern-Zulieferer.
• E-Commerce-Handel: NIS2 greift bei großen Handelsorganisationen, Produkthaftung und DSGVO greifen immer.

Besonderheit für Plattform-Partner: Die Plattform-Hersteller selbst erwarten zunehmend von ihren Partnern, dass sie die neuen Gesetze erfüllen - unter anderem, weil Plattformen in DORA- Informationsregistern ihrer Kunden ebenfalls auftauchen.

Konkrete Konsequenzen #

Rechtlich stehen auf dem Spiel:

• Unbegrenzte Haftung nach der Produkthaftungsrichtlinie für Ihre Extensions, Module und Integrationen - unabhängig von der Zertifizierung der Plattform
• Bußgelder bis 15 Mio. Euro oder 2,5 % des Jahresumsatzes nach CRA (Art. 64), wenn Ihre Extension nicht CRA-konform ausgeliefert wird
• Verlust des EU-Marktzugangs für Extensions, die den CRA nicht erfüllen - inklusive Rückruf bereits ausgelieferter Versionen (Art. 52, 53 CRA)
• Ausschluss aus Partner-Programmen (SAP Partner Center, Salesforce AppExchange, Microsoft Partner Network): Plattform-Hersteller werden selbst zur Einhaltung gezwungen und reichen diese Anforderungen an ihre Partner weiter. Wer die Prüfungen nicht besteht, verliert den Partner-Status und damit den Marktzugang zur Plattform
• 24-/72-Stunden-Meldepflichten nach Art. 14 CRA
• Verlust regulierter Kundensegmente bei DORA- und NIS2-Kunden

Vertraglich werden Ihre Kunden - und die Plattform-Hersteller - verlangen:

• Dokumentierte Sicherheit Ihrer Custom Extensions und Integrationen
• SBOM für Ihre Erweiterungen, getrennt von der Plattform-SBOM
• Schwachstellenmanagement mit Reaktionszeiten
• Patch-Prozesse bei Plattform-Updates, die Ihre Extensions betreffen
• Kompatibilität zu CRA-Pflichten der Plattform-Hersteller
• Nachweise in Partner-Programmen (SAP Partner Center, Salesforce AppExchange, Microsoft Partner Network)

Operativ müssen Sie etablieren:

• Trennung zwischen Plattform- und Extension-SBOM
• Monitoring aller eingesetzten Drittbibliotheken in Ihren Extensions
• Responsible-Disclosure-Prozess für gemeldete Schwachstellen
• Koordination mit dem Plattform-Hersteller bei gemeinsamen Sicherheitsthemen
• Dokumentation pro Kunde, pro Extension-Version, pro eingesetzter Plattform-Version

Finanziell kommt auf Sie zu:

• Zertifizierungskosten für Partner-Programme, die zunehmend CRA-Nachweise verlangen
• Pflegekosten für ausgelieferte Extensions über mindestens fünf Jahre
• Versicherungsbedarf als Hersteller nach Produkthaftungsrichtlinie
• Unsichtbarer Aufwand für Plattform-Updates, die Ihre Extensions neu kompatibel machen müssen

Sicherheit ist auch ohne Pflicht ein Wettbewerbsvorteil #

Plattform-Partner stehen im Wettbewerb mit Hunderten anderer Dienstleister, die auf den gleichen Plattformen arbeiten. Der Unterschied entsteht bei den Nachweisen: Wer seine Extensions mit SBOM, dokumentiertem Schwachstellenmanagement und Responsible-Disclosure-Prozess ausliefert, erfüllt die Anforderungen der Plattform-Hersteller besser, gewinnt schnellere Review-Zyklen in deren Marktplätzen und bekommt leichter Zertifikatsstufen.

Konkret heißt das: höhere Sichtbarkeit in Partner-Katalogen, bessere Positionierung in Ausschreibungen, stärkere Kundenbindung und ein klares Qualitätssignal gegenüber Einkäufern, die unterschiedliche Partner vergleichen. Compliance wird so vom Kostenfaktor zum Verkaufsargument.

Wie OTTRIA Plattform-Partner unterstützt #

Plattform-Partner haben eine spezielle Lage: Sie kombinieren Fremdcode (die Plattform) mit eigenem Code (die Extensions) mit Drittbibliotheken (NPM, Composer, Maven, NuGet, PyPI). OTTRIA übernimmt den Open-Source-Teil dieser Mischung:

• SBOM-Analyse für Ihre Extensions getrennt von der Plattform, einschließlich aller transitiven Abhängigkeiten
• Vulnerability-Monitoring der von Ihnen eingesetzten Open-Source-Bibliotheken
• Silent-Fix-Detection in Drittbibliotheken, bevor Plattform- Hersteller oder Scanner darauf reagieren
• Fehlerbehebung direkt im Open-Source-Projekt für Komponenten, die Sie in Extensions einsetzen
• Auditfähige Dokumentation pro Extension und pro Kunde, passend für SAP-, Salesforce-, Microsoft- und ähnliche Partner-Audits
• Frühwarnung bei Schwachstellen, die Ihre Extension- oder Plattform-Ökosysteme betreffen
• Koordinierte Offenlegung bei Sicherheitsthemen, die Sie und den Plattform-Hersteller gemeinsam betreffen

Die Plattform-Hersteller schauen zunehmend genauer hin, welche Sorgfalt ihre Partner bei eigenem Code und Drittbibliotheken walten lassen. OTTRIA liefert die Nachweise, die Sie sowohl gegenüber Ihren Kunden als auch gegenüber Ihren Plattform-Herstellern vorlegen müssen.

Erstgespräch vereinbaren

Zurück zur Übersicht für Software-Dienstleister

Weiterlesen

• CRA für Unternehmen
• DORA für Unternehmen
• NIS2 für Unternehmen
• Produkthaftung für Unternehmen
• Was ist eine SBOM?
• Warum Ihre SBOM verrottet
• Glossar