Cyber Resilience Act
Schwachstellenmanagement und Support-Zeitraum
Anders als bisher endet die Verantwortung nicht mit dem Verkauf. Der CRA verpflichtet Hersteller, Schwachstellen über einen festgelegten Support-Zeitraum zu behandeln, Sicherheitsupdates zeitnah und in der Regel kostenlos bereitzustellen und eine Software-Stückliste (SBOM) zu führen. Der Support-Zeitraum muss die erwartete Nutzungsdauer des Produkts abbilden.
Warum diese Pflicht wichtig ist
Das Schwachstellenmanagement ist die dauerhafteste CRA-Pflicht: Sie läuft über die gesamte Lebensdauer des Produkts. Für viele Mittelständler bedeutet das erstmals einen strukturierten Update- und Offenlegungsprozess statt punktueller Reaktion. Verstöße gegen Anhang I Teil II gehören zur höchsten Bußgeldstufe.
So setzen Sie die Pflicht um
- 1Support-Zeitraum je Produkt festlegen und beim Kauf klar kommunizieren
- 2Schwachstellen erkennen, dokumentieren und mit Priorität beheben
- 3Sicherheitsupdates zeitnah und getrennt von Funktionsupdates bereitstellen
- 4Software-Stückliste (SBOM) führen und aktuell halten
- 5Prozess zur koordinierten Schwachstellen-Offenlegung (CVD) mit Kontaktstelle einrichten
Diese Nachweise sind gefragt
- Dokumentierter Support-Zeitraum je Produkt (auch für Kunden sichtbar)
- Schwachstellen-Register mit Behandlungsstatus und SBOM
- Veröffentlichte Kontaktstelle und Richtlinie zur Schwachstellen-Offenlegung
Häufige Fehler
Kein Update-Kanal
Es gibt keinen etablierten Weg, Sicherheitsupdates auszuliefern. Im Ernstfall bleibt eine bekannte Lücke offen.
Support-Ende unklar
Kunden erfahren nicht, wie lange ein Produkt Sicherheitsupdates erhält. Der CRA verlangt eine klare Angabe beim Kauf.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
SBOM (Software Bill of Materials)
Eine SBOM (Software Bill of Materials) ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Grundlage, um Schwachstellen schnell zuzuordnen.
Koordinierte Schwachstellen-Offenlegung (CVD)
Die koordinierte Schwachstellen-Offenlegung (CVD) ist ein geregelter Prozess, über den Sicherheitsforscher gefundene Schwachstellen vertraulich an den Hersteller melden, damit dieser sie vor einer Veröffentlichung beheben kann.
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Häufig gestellte Fragen
Wie lange muss ich Sicherheitsupdates bereitstellen?
Maßgeblich ist die erwartete Nutzungsdauer des Produkts: Der Support-Zeitraum muss sie nach Artikel 13 widerspiegeln. Die häufig genannten fünf Jahre sind kein harter Mindestwert, sondern ein Orientierungswert aus den Erwägungsgründen, der greift, sofern das Produkt nicht erkennbar kürzer genutzt wird.
Was ist eine SBOM?
Eine Software Bill of Materials ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Voraussetzung, um Schwachstellen in Komponenten schnell zuzuordnen.
Müssen Sicherheitsupdates kostenlos sein?
Sicherheitsupdates müssen grundsätzlich kostenlos bereitgestellt werden. Davon zu trennen sind kostenpflichtige Funktions- oder Feature-Updates.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
