Seitenpfad:

Was ist ein Conformity Assessment?

Auf diese Arten können Sie es durchführen

 

Welches Conformity Assessment das richtige ist, bestimmt auch die Kategorie in die das Produkt mit digitalen Elementen laut Cyber Resilience Act fällt. Es gibt Standard- oder als wichtige Produkt. Wichtige Produkte werden in die Klassen I und II sowie Kritisch geteilt. 

Je nach Produktkategorie sind Hersteller dazu verpflichtet, unterschiedliche Conformity Assessments durchzuführen. Ein solches Verfahren überprüft, ob die Anforderungen des CRA hinsichtlich der Cybersecurity eingehalten werden.

Die Kategorie des Produkts bestimmt die möglich Prüfprozeduren und einer gewissen Wahlfreiheit für Hersteller. In manchen Fällen können Hersteller diese Prüfung selbst durchführen. Teils müssen die Produkte auch durch Dritte bewertet werde

Welche Verfahren für Conformity Assessments gibt es, wie sie  funktionieren und welches das richtige für die einzelnen Produktkategorien ist, das erfahren Sie hier. Die vollständigen Informationen finden Sie im Annex VIII des Cyber Resilience Acts. 

Was ist ein Conformity Assessment laut CRA?

 

Ein Conformity Assessment überprüft, ob ein Produkt die grundlegenden Anforderungen des Cyber Resilience Acts erfüllt.

Für die Konformität mit dem CRA macht es einen Unterschied, welcher Produktkategorie es angehört. Folgende Kategorien gibt es: Standard, Klasse I, Kasse II, oder Kritisch.

Bei Standard-Produkten ist eine Selbstkontrolle ausreichend.

Hersteller sollten Produkte der Klasse I und müssen Klasse II und Kritische Produkte von Dritten kontrollieren lassen.

 
CRA Conformity Assessment
CRA Conformity Assessment
 
 

Conformity Assessment - Modul A

 
Was ist ein Conformity Assessment?

Conformity Assessment: Verfahren basierend auf interner Kontrolle (Modul A)

In diesem Verfahren sichert der Hersteller die Konformität des Produkts. Er erstellt die technischen Dokumentationen und muss die Konformität mit dem CRA bei DesignEntwicklung, Produktion und Umgang mit Schwachstellen sicherstellen. Zuletzt bringt der Hersteller  die CE-Kennzeichnung an und stellt eine schriftliche EU-Konformitätserklärung aus.

 

Conformity Assessment: Verfahren basierend der EU-Baumusterprüfung (Modul B)

In diesem Verfahren prüft ein NotifiedBody die Konformität des Produkts. Dieser prüft die technische Dokumentation und untersucht Muster des Produkts. Der Herstellerbeantragt bei einem Notified Body seiner Wahl eine EU-Baumusterprüfung. Ein Notified Body kann dem Hersteller eine EU-Baumusterprüfbescheinigung ausstellen. Notified Body führt regelmäßige Audits durch.

Was ist ein Conformity Assessment?
Was ist ein Conformity Assessment?
 
Was ist ein Conformity Assessment?

Conformity Assessment: Konformität mit Baumuster basierend auf der internen Fertigungskontrolle (Modul C)

In diesem Verfahren erklärt der Hersteller, dass das Produkt mit dem in der EU-Baumusterprüfbescheinigung beschriebenen Baumuster übereinstimmt. Er muss alle Maßnahmen ergreifen, um Konformität der Produktion und deren Überwachung zu gewährleisten. Der Hersteller bringt die CE-Kennzeichnung an und stellt eine schriftliche EU Konformitätserklärung aus.

 

Conformity Assessment: verfahren basierend auf umfassender Qualitätssicherung (Module H)

In diesem Verfahren sichert der Hersteller die Konformität des Produkts. Er braucht ein zugelassenes Qualitätssicherungssystem für Design, Entwicklung, Prüfung und Überwachung. Der Hersteller beantragt bei einem Notified Body eine Prüfung seines QualitätssicherungssytemsNotified Body verantwortet die ÜberwachungDer Hersteller bringt die CE-Kennzeichnung unter der Verantwortung des Notified Body an.

Was ist ein Conformity Assessment?
 
 
 
Conformity Assessment Verfahren

In dieser Übersicht sehen Sie, welches Verfahren der Conformity Assessments für ein Produkt einer entsprechenden Kategorie möglich ist. 

 
 
 
 
Dominik Merli, Leiter THA_innos
Dominik Merli, Leiter THA_innos

Fragen zum Cyber Resilience Act

 

Was ist der Cyber Resilience Act?

Hier erfahren Sie mehr zu den Hintergründen des Cyber Resilience Acts, seiner Ziele und über die Herausforderungen, die er innerhalb der Europäischen Union adressieren soll. 

Was sind die Ziele des Cyber Resilience Acts?

Was möchte die Europäische Union überhaupt verändern und wo möchte sie in Sachen Cybersicherheit hin? Erfahren Sie mehr über die übergeordneten Ziele des CRA. 

Was sind die Vorteile des Cyber Resilience Acts?

Erfahren Sie mehr zu den prognostizierten Vorteilen des CRA für Hersteller und Nutzer in der Europäischen Union. Und warum KMUs vom CRA profitieren könnten.

Timeline des CRA - wann kommt der Cyber Resilience Act?

Das Europäischen Parlament hat den CRA zwar bereits verabschiedet. Allerdings muss der Europäische Rat ihn noch verabschieden. Ab diesem Tag läuft die Übergangsfrist. Aber wie lang geht diese und was passiert währenddessen?

Was sind Produkte mit digitalen Elementen?

Der CRA verweist immer wieder auf diesen Begriff. Hier erfahren Sie, was er bedeutet. Und welche Produkte der CRA  betrifft oder nicht betrifft.

Was sind die CRA Requirements?

Welche Anforderungen stellt der Cyber Resilience Act an die Cybersicherheit von Produkten in der Europäischen Union?

Wie CRA-konform mit Schwachstellen umgehen?

Schwachstellen sind unvermeidlich. Deshalb gibt der CRA auch vor, wie Hersteller bei der Entdeckung von Schwachstellen handeln sollten. 

Welche Produktkategorien kennt der CRA?

Wie Hersteller die Konformität ihrer Produkte mit den Anforderungen des CRA sicherstellen, hängt auch davon ab, in welche Kategorie sie fallen.

Was ist ein Conformity Assessment und wie führt man es durch?

Es gibt verschiedene Verfahren, wie Hersteller die Konformität ihrer Produkte bestätigen können. Das hängt auch von der Produktkategorie ab.

Wie reguliert der CRA Free und Open Source Software?

FOSS fällt unter den CRA, wenn sie in einem wichtigen Produkt integriert ist und kommerziell genutzt wird. 

Wie reguliert der CRA Fremdkomponenten?

 Kein Hersteller baut alles selbst. So geht der Cyber Resilience Act mit Komponenten von Drittanbietern um. 

Das komplette Posting als Slideshow

 

Klicken Sie sich hier durch den originalen LinkedIn-Post. Nutzen Sie die Pfeile links und rechts zur Navigation. Mit einem Klick auf jedes Bild können Sie es vergrößern. 

Für die aktuellen Posts folgen Sie Dominik Merli, Leiter des Instituts für innovative Sicherheit an der Technischen Hochschule Augsburg, auf LinkedIn. Oder folgen Sie dem Hashtag #CRAmitINNOS suchen. 

Sprechen Sie mit uns über den CRA

Prof. Merli freut sich auf Ihre Fragen, Kommentare und Meinungen zum Cyber Resilience Act. Oder, falls Sie LinkedIn nicht nutzen, alternativ über [Bitte aktivieren Sie Javascript]. Hier können Sie im Betreff ebenfalls den Hashtag #CRAmitINNOS nutzen.