Cyber Resilience Act

Security by Design und grundlegende Sicherheitsanforderungen

CRAArt. 13 CRA, Anhang I Teil I

Der CRA verlangt, dass Produkte mit digitalen Elementen nach dem Grundsatz Security by Design und Security by Default entwickelt und hergestellt werden. Anhang I Teil I definiert die grundlegenden Sicherheitseigenschaften des Produkts, von sicheren Voreinstellungen über Datenschutz durch Technik bis zur Minimierung der Angriffsfläche. Grundlage ist eine dokumentierte Cybersicherheits-Risikobewertung.

Warum diese Pflicht wichtig ist

Diese Anforderungen sind der inhaltliche Kern des CRA. Ohne eine dokumentierte Risikobewertung und nachweislich umgesetzte Sicherheitsmerkmale lässt sich keine Konformität erklären und keine CE-Kennzeichnung anbringen. Verstöße gegen Anhang I gehören zur höchsten Bußgeldstufe.

So setzen Sie die Pflicht um

  1. 1Cybersicherheits-Risikobewertung je Produkt durchführen und dokumentieren
  2. 2Produkt ohne bekannte ausnutzbare Schwachstellen ausliefern
  3. 3Sichere Standardkonfiguration (Security by Default) einstellen, inklusive Möglichkeit zum Zurücksetzen
  4. 4Angriffsfläche minimieren, Daten schützen (Vertraulichkeit, Integrität) und Zugriffe kontrollieren
  5. 5Sorgfaltspflicht bei Drittkomponenten wahrnehmen (auch Open-Source-Bestandteile)

Diese Nachweise sind gefragt

  • Dokumentierte Cybersicherheits-Risikobewertung je Produkt
  • Nachweis der umgesetzten Anforderungen aus Anhang I Teil I
  • Dokumentation der eingesetzten Drittkomponenten und ihrer Bewertung

Häufige Fehler

Sicherheit als Nachgedanke

Sicherheitsfunktionen werden erst am Ende der Entwicklung ergänzt, statt sie von Beginn an einzuplanen. Das widerspricht dem Security-by-Design-Grundsatz.

Unsichere Voreinstellungen

Produkte werden mit Standardpasswörtern oder offenen Diensten ausgeliefert. Der CRA verlangt sichere Voreinstellungen ab Werk.

Häufig gestellte Fragen

Was bedeutet Security by Design im CRA?

Sicherheit muss von der Konzeption an in Entwurf, Entwicklung und Produktion eingeplant werden, nicht erst nachträglich. Grundlage ist eine dokumentierte Risikobewertung, aus der die konkreten Sicherheitsmaßnahmen abgeleitet werden.

Was steht in Anhang I des CRA?

Teil I beschreibt die grundlegenden Sicherheitseigenschaften des Produkts, Teil II die Anforderungen an das Schwachstellenmanagement des Herstellers.

Muss ich Open-Source-Komponenten prüfen?

Ja. Der Hersteller trägt die Sorgfaltspflicht für alle integrierten Komponenten, auch quelloffene. Eine Software-Stückliste (SBOM) hilft, den Überblick zu behalten.

Ihren CRA-Handlungsbedarf klären

Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.