Cyber Resilience Act

Schwachstellenmanagement und Support-Zeitraum

CRAArt. 13 CRA, Anhang I Teil II

Anders als bisher endet die Verantwortung nicht mit dem Verkauf. Der CRA verpflichtet Hersteller, Schwachstellen über einen festgelegten Support-Zeitraum zu behandeln, Sicherheitsupdates zeitnah und in der Regel kostenlos bereitzustellen und eine Software-Stückliste (SBOM) zu führen. Der Support-Zeitraum muss die erwartete Nutzungsdauer des Produkts abbilden.

Warum diese Pflicht wichtig ist

Das Schwachstellenmanagement ist die dauerhafteste CRA-Pflicht: Sie läuft über die gesamte Lebensdauer des Produkts. Für viele Mittelständler bedeutet das erstmals einen strukturierten Update- und Offenlegungsprozess statt punktueller Reaktion. Verstöße gegen Anhang I Teil II gehören zur höchsten Bußgeldstufe.

So setzen Sie die Pflicht um

  1. 1Support-Zeitraum je Produkt festlegen und beim Kauf klar kommunizieren
  2. 2Schwachstellen erkennen, dokumentieren und mit Priorität beheben
  3. 3Sicherheitsupdates zeitnah und getrennt von Funktionsupdates bereitstellen
  4. 4Software-Stückliste (SBOM) führen und aktuell halten
  5. 5Prozess zur koordinierten Schwachstellen-Offenlegung (CVD) mit Kontaktstelle einrichten

Diese Nachweise sind gefragt

  • Dokumentierter Support-Zeitraum je Produkt (auch für Kunden sichtbar)
  • Schwachstellen-Register mit Behandlungsstatus und SBOM
  • Veröffentlichte Kontaktstelle und Richtlinie zur Schwachstellen-Offenlegung

Häufige Fehler

Kein Update-Kanal

Es gibt keinen etablierten Weg, Sicherheitsupdates auszuliefern. Im Ernstfall bleibt eine bekannte Lücke offen.

Support-Ende unklar

Kunden erfahren nicht, wie lange ein Produkt Sicherheitsupdates erhält. Der CRA verlangt eine klare Angabe beim Kauf.

Häufig gestellte Fragen

Wie lange muss ich Sicherheitsupdates bereitstellen?

Maßgeblich ist die erwartete Nutzungsdauer des Produkts: Der Support-Zeitraum muss sie nach Artikel 13 widerspiegeln. Die häufig genannten fünf Jahre sind kein harter Mindestwert, sondern ein Orientierungswert aus den Erwägungsgründen, der greift, sofern das Produkt nicht erkennbar kürzer genutzt wird.

Was ist eine SBOM?

Eine Software Bill of Materials ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Voraussetzung, um Schwachstellen in Komponenten schnell zuzuordnen.

Müssen Sicherheitsupdates kostenlos sein?

Sicherheitsupdates müssen grundsätzlich kostenlos bereitgestellt werden. Davon zu trennen sind kostenpflichtige Funktions- oder Feature-Updates.

Ihren CRA-Handlungsbedarf klären

Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.