Laut dem Cyber Resilience Act müssen Hersteller schwere Sicherheitsvorfälle melden. Dabei geht es um Vorfälle beim Hersteller oder an einer Stelle seiner Lieferkette, die sich auf die Cybersicherheit seines Produkts auswirken.

Ein schwerer Sicherheitsvorfall laut CRA könnte, zum Beispiel, das Entwenden von privatem Schlüsselmaterial sein, das zur Signierung von Firmware verwendet wird. Oder Angreifer konnten die Produktionslinie für ein Produkt kompromittieren.

Die Meldung erfolgt in ähnlichen Schritten wie die Meldung einer aktiv ausgenutzten Schwachstelle: Identifikation, Bericht, Frühwarnung, detaillierte Benachrichtigung und finaler Bericht. Allerdings unterscheiden sie sich die Fristen und Inhalte. 

Wenn ein Vorfall beim Hersteller oder an einer Stelle seiner Lieferkette sich auf die Cyber-sicherheit des Produkts auswirkt, dann ist dieser Vorfall schwer. 

Gemeint sind also tatsächlich Vorfälle, die sich im Rahmen eines sicheren Entwicklungsprozesses beim Herstellers und nicht beim Anwender ereignen.

Early Warning | Frühwarnung

Die erste Frühwarnung muss innerhalb von 24 Stunden erfolgen. Der CRA schreibt hier allerdings keine konkreten Inhalte vor.

Detailed Notification | Detaillierte Benachrichtigung

Eine detallierte Benachrichtigung muss innerhalb von 72 Stunden nach Bekanntwerden der Schwachstelle erfolgen. 

Der schwere Sicherheitsvorfall muss mit folgenden Inhalten dargestellt werden: Art des Vorfalls, erste Bewertungen, Maßnahmen zur Korrektur

Final Report | Abschlussbericht

Der finale Bericht muss innerhalb von eines Monats nach der detallierten Benachrichtigung erfolgen.

Der schwere Sicherheitsvorfall muss mit folgenden Inhalten dargestellt werden: detaillierte Beschreibung des Vorfalls, Art der Bedrohung, Gegenmaßnahmen

Was ist der Cyber Resilience Act?

Hier erfahren Sie mehr zu den Hintergründen des Cyber Resilience Acts, seiner Ziele und über die Herausforderungen, die er innerhalb der Europäischen Union adressieren soll. 

Was sind die Ziele des Cyber Resilience Acts?

Was möchte die Europäische Union überhaupt verändern und wo möchte sie in Sachen Cybersicherheit hin? Erfahren Sie mehr über die übergeordneten Ziele des CRA. 

Was sind die Vorteile des Cyber Resilience Acts?

Erfahren Sie mehr zu den prognostizierten Vorteilen des CRA für Hersteller und Nutzer in der Europäischen Union. Und warum KMUs vom CRA profitieren könnten.

Timeline des CRA - wann kommt der Cyber Resilience Act?

Das Europäischen Parlament hat den CRA zwar bereits verabschiedet. Allerdings muss der Europäische Rat ihn noch verabschieden. Ab diesem Tag läuft die Übergangsfrist. Aber wie lang geht diese und was passiert währenddessen?

Was sind Produkte mit digitalen Elementen?

Der CRA verweist immer wieder auf diesen Begriff. Hier erfahren Sie, was er bedeutet. Und welche Produkte der CRA  betrifft oder nicht betrifft.

Was sind die CRA Requirements?

Welche Anforderungen stellt der Cyber Resilience Act an die Cybersicherheit von Produkten in der Europäischen Union?

Wie CRA-konform mit Schwachstellen umgehen?

Schwachstellen sind unvermeidlich. Deshalb gibt der CRA auch vor, wie Hersteller bei der Entdeckung von Schwachstellen handeln sollten. 

Welche Produktkategorien kennt der CRA?

Wie Hersteller die Konformität ihrer Produkte mit den Anforderungen des CRA sicherstellen, hängt auch davon ab, in welche Kategorie sie fallen.

Was ist ein Conformity Assessment und wie führt man es durch?

Es gibt verschiedene Verfahren, wie Hersteller die Konformität ihrer Produkte bestätigen können. Das hängt auch von der Produktkategorie ab.

Wie reguliert der CRA Free und Open Source Software?

FOSS fällt unter den CRA, wenn sie in einem wichtigen Produkt integriert ist und kommerziell genutzt wird. 

Wie reguliert der CRA Fremdkomponenten?

 Kein Hersteller baut alles selbst. So geht der Cyber Resilience Act mit Komponenten von Drittanbietern um.