Cyber Resilience Act
Security by Design und grundlegende Sicherheitsanforderungen
Der CRA verlangt, dass Produkte mit digitalen Elementen nach dem Grundsatz Security by Design und Security by Default entwickelt und hergestellt werden. Anhang I Teil I definiert die grundlegenden Sicherheitseigenschaften des Produkts, von sicheren Voreinstellungen über Datenschutz durch Technik bis zur Minimierung der Angriffsfläche. Grundlage ist eine dokumentierte Cybersicherheits-Risikobewertung.
Warum diese Pflicht wichtig ist
Diese Anforderungen sind der inhaltliche Kern des CRA. Ohne eine dokumentierte Risikobewertung und nachweislich umgesetzte Sicherheitsmerkmale lässt sich keine Konformität erklären und keine CE-Kennzeichnung anbringen. Verstöße gegen Anhang I gehören zur höchsten Bußgeldstufe.
So setzen Sie die Pflicht um
- 1Cybersicherheits-Risikobewertung je Produkt durchführen und dokumentieren
- 2Produkt ohne bekannte ausnutzbare Schwachstellen ausliefern
- 3Sichere Standardkonfiguration (Security by Default) einstellen, inklusive Möglichkeit zum Zurücksetzen
- 4Angriffsfläche minimieren, Daten schützen (Vertraulichkeit, Integrität) und Zugriffe kontrollieren
- 5Sorgfaltspflicht bei Drittkomponenten wahrnehmen (auch Open-Source-Bestandteile)
Diese Nachweise sind gefragt
- Dokumentierte Cybersicherheits-Risikobewertung je Produkt
- Nachweis der umgesetzten Anforderungen aus Anhang I Teil I
- Dokumentation der eingesetzten Drittkomponenten und ihrer Bewertung
Häufige Fehler
Sicherheit als Nachgedanke
Sicherheitsfunktionen werden erst am Ende der Entwicklung ergänzt, statt sie von Beginn an einzuplanen. Das widerspricht dem Security-by-Design-Grundsatz.
Unsichere Voreinstellungen
Produkte werden mit Standardpasswörtern oder offenen Diensten ausgeliefert. Der CRA verlangt sichere Voreinstellungen ab Werk.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
SBOM (Software Bill of Materials)
Eine SBOM (Software Bill of Materials) ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Grundlage, um Schwachstellen schnell zuzuordnen.
Häufig gestellte Fragen
Was bedeutet Security by Design im CRA?
Sicherheit muss von der Konzeption an in Entwurf, Entwicklung und Produktion eingeplant werden, nicht erst nachträglich. Grundlage ist eine dokumentierte Risikobewertung, aus der die konkreten Sicherheitsmaßnahmen abgeleitet werden.
Was steht in Anhang I des CRA?
Teil I beschreibt die grundlegenden Sicherheitseigenschaften des Produkts, Teil II die Anforderungen an das Schwachstellenmanagement des Herstellers.
Muss ich Open-Source-Komponenten prüfen?
Ja. Der Hersteller trägt die Sorgfaltspflicht für alle integrierten Komponenten, auch quelloffene. Eine Software-Stückliste (SBOM) hilft, den Überblick zu behalten.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
