Der CRA reguliert Zuständigkeiten und Prozesse der einzelnen Akteure innerhalb der Europäischen Union. Hier erfahren Sie von dreien, in denen der Hersteller in der Pflicht ist zu handeln. 

  • Technische Dokumentation: Wem müssen Hersteller sie zugänglich machen und welche Inhalte hat sie?
  • Fremdkomponenten mit Schwachstellen: Wem müssen Hersteller dies melden?
  • Produkt oder Geschäfts aufgeben: Was müssen Hersteller beachten?


Das sind natürlich nicht alle Prozesse, die der Cyber Resilience Act regelt. Aber Fälle, in denen Hersteller in Zukunft konform mit dem CRA handeln müssen.

 

Klicken Sie sich hier durch den originalen LinkedIn-Post. Nutzen Sie die Pfeile links und rechts zur Navigation. Mit einem Klick auf jedes Bild können Sie es vergrößern. 

Für die aktuellen Posts folgen Sie Dominik Merli, Leiter des Instituts für innovative Sicherheit an der Technischen Hochschule Augsburg, auf LinkedIn. Oder folgen Sie dem Hashtag #CRAmitINNOS suchen. 

Sprechen Sie mit uns über den CRA

Prof. Merli freut sich auf Ihre Fragen, Kommentare und Meinungen zum Cyber Resilience Act. Oder, falls Sie LinkedIn nicht nutzen, alternativ über [Bitte aktivieren Sie Javascript]. Hier können Sie im Betreff ebenfalls den Hashtag CRAmitINNOS nutzen. 

 

Der CRA gibt nicht nur vor, wer handeln muss. Er reguliert auch, wie diese Akteure sich verhalten. Hier finden Sie Erklärungen zu drei dieser Interaktionen. 

  • Weitergabe der Technischen Dokumentation
  • Meldung einer Komponente
    mit Schwachstelle
  • Aufgabe des Geschäfts oder Produkts

Verschiedene Interaktionen laut CRA

 
CRA Interaktionen
CRA Interaktionen

Hersteller müssen im Conformity Assesment eine technische Dokumentation erstellen und eine EU-Konformitätserklärung abgeben.

Die technische Dokumentation muss mindestens für 10 Jahre aufbewahrt werden. Sollte der Support-Zeitraum länger als 10 Jahre sein, gilt dieser als Zeitraum zur Aufbewahrung der technischen Dokumentation. 

Zudem muss die technische Dokumentation der Marktaufsichtsbehörde zur Verfügung stehen. In Deutschland ist das das Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Technische Dokumentation

 
Beträchtliche Veränderungen
Technische Dokumentation laut CRA

Bei der technischen Dokumentation gibt es drei Punkt zu beachten.

  • Sie sollte die relevanten Informationen enthalten, um die Konformität des Produkts zu sichern.
  • Sie sollte erstellt werden, bevor das Produkt auf den Markt kommt.
  • Sie sollte in der vom Mitgliedsstaat erforderlichen Häufigkeit und Sprache erfolgen.

Inhalte der Technischen Dokumentation

  • Produktbeschreibung (vgl. Annex VII)
  • Prozessbeschreibungen (Design, Entwicklung, Produktion, Schwachstellen Management)
  • Risikobewertung (Cybersecurity) als Grundlage für Prozesse (Design, Entwicklung, etc.)
  • Eine Liste genutzter harmonisierter StandardsSpezifikationen oder Zertifizierungen.
  • Berichte zu den durchgeführten Tests, um die Konformität des Produkts zu beweisen.
  • Die EU-Konformitätserklärung (als Kopie).
  • Die Software Bill of Materials (SBOM), wo anwendbar
 

Was passiert, wenn ein Hersteller sein Geschäft aufgibt? 

Sollte ein Hersteller sein Geschäft aufgeben, muss er sowohl die Marktüberwachungsbehörde (in Deutschland: BSI) sowie die Anwender des betroffenen Produkts informieren. Gleiches gilt, wenn er das Produkt aufgibt und damit seinen Pflichten laut CRA nicht nachkommen kann. 

Was passiert, wenn eine Schwachstelle in einer Fremdkomponente gefunden wird? 

Produkthersteller benutzt oft Fremdkomponenten. Allerdings können auch diese Schwachstellen enthalten. Sollte ein Produkthersteller eine Cybersecurity-Schwachstelle in einer Fremdkomponente entdecken, identifiziert er diese und meldet sie an den Komponentenhersteller. 

Interaktionen im CRA
Interaktionen im CRA
 
Dominik Merli, Leiter THA_innos
Dominik Merli, Leiter THA_innos

Über THA_innos - Embedded Security und mehr

 

Das Institut für innovative Sicherheit der Technischen Hochschule Augsburg (THA_innos) unterstützt Organisationen aller Größen, sicher und nachhaltig erfolgreich in einer vernetzten Welt zu agieren. Durch die innovativen Ansätze des Instituts werden Systeme, Produkte und Personal widerstandsfähig gegenüber digitalen Bedrohungen für Wirtschaft und Gesellschaft.

Vorteile von THA_innos

  • Individuelle Sicherheitslösungen: Maßgeschneiderte Konzepte, die genau auf Ihre Anforderungen und die spezifischen Gegebenheiten Ihrer eingebetteten Systeme abgestimmt sind.
  • Erfahrung und Expertise: Profitieren Sie von unserem umfangreichen Know-how und unserer langjährigen Erfahrung im Bereich der Embedded Security.
  • Ganzheitlicher Ansatz: Wir betrachten nicht nur die technischen Aspekte, sondern auch organisatorische und prozessuale Faktoren, um eine umfassende Sicherheitsstrategie zu entwickeln.
  • Zukunftssicherheit: Durch die Implementierung modernster Sicherheitsstandards und -technologien machen wir Ihre Produkte fit für die Herausforderungen von morgen.

Hier finden Sie die weiteren Schwerpunktthemen von THA_innos:

Signet von THA_innos

Fragen zum Cyber Resilience Act

 

Was ist der Cyber Resilience Act?

Hier erfahren Sie mehr zu den Hintergründen des Cyber Resilience Acts, seiner Ziele und über die Herausforderungen, die er innerhalb der Europäischen Union adressieren soll. 

Was sind die Ziele des Cyber Resilience Acts?

Was möchte die Europäische Union überhaupt verändern und wo möchte sie in Sachen Cybersicherheit hin? Erfahren Sie mehr über die übergeordneten Ziele des CRA. 

Was sind die Vorteile des Cyber Resilience Acts?

Erfahren Sie mehr zu den prognostizierten Vorteilen des CRA für Hersteller und Nutzer in der Europäischen Union. Und warum KMUs vom CRA profitieren könnten.

Timeline des CRA - wann kommt der Cyber Resilience Act?

Das Europäischen Parlament hat den CRA zwar bereits verabschiedet. Allerdings muss der Europäische Rat ihn noch verabschieden. Ab diesem Tag läuft die Übergangsfrist. Aber wie lang geht diese und was passiert währenddessen?

Was sind Produkte mit digitalen Elementen?

Der CRA verweist immer wieder auf diesen Begriff. Hier erfahren Sie, was er bedeutet. Und welche Produkte der CRA  betrifft oder nicht betrifft.

Was sind die CRA Requirements?

Welche Anforderungen stellt der Cyber Resilience Act an die Cybersicherheit von Produkten in der Europäischen Union?

Wie CRA-konform mit Schwachstellen umgehen?

Schwachstellen sind unvermeidlich. Deshalb gibt der CRA auch vor, wie Hersteller bei der Entdeckung von Schwachstellen handeln sollten. 

Welche Produktkategorien kennt der CRA?

Wie Hersteller die Konformität ihrer Produkte mit den Anforderungen des CRA sicherstellen, hängt auch davon ab, in welche Kategorie sie fallen.

Was ist ein Conformity Assessment und wie führt man es durch?

Es gibt verschiedene Verfahren, wie Hersteller die Konformität ihrer Produkte bestätigen können. Das hängt auch von der Produktkategorie ab.

Wie reguliert der CRA Free und Open Source Software?

FOSS fällt unter den CRA, wenn sie in einem wichtigen Produkt integriert ist und kommerziell genutzt wird. 

Wie reguliert der CRA Fremdkomponenten?

Kein Hersteller baut alles selbst. So geht der Cyber Resilience Act mit Komponenten von Drittanbietern um.