Cyber Resilience Act
EU-Verordnung tritt schrittweise in Kraft
Der Leitfaden hilt einzuschätzen, wann ein Produkt unter den CRA fällt, gibt Empfehlungen zur Vorbereitung und klärt auf, ab welchem Zeitpunkt ein Produkt CRA-konform sein muss.
Auf folgende Fragen wird eingegangen:
Wann geht es los?
Der CRA tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft. Der aktuelle Status kann › hier eingesehen werden. Die Umsetzung erfolgt schrittweise, sodass bis Ende 2027 alle neuen Produkte den festgelegten Anforderungen entsprechen müssen.
Fällt mein Produkt unter den CRA?
Ein Produkt fällt unter den CRA, wenn es digitale Elemente verwendet oder ein Softwareprodukt ist, ab Ende 2027 neu auf den EU-Markt gebracht wird, nicht zu den fünf Ausnahmesektoren (Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt sowie Produkte im Kontext der nationalen Sicherheit) gehört und keine kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht ist.
Was ist zu tun?
Ein Hersteller muss im Rahmen des CRA verschiedene Anforderungen erfüllen, um die Cybersicherheit seiner Produkte zu gewährleisten und die Konformität mit den EU-Vorgaben sicherzustellen. Zu den wichtigsten Pflichten gehören:
- Risikobewertung
- Grundsätze „security by design“ und „security by default“ berücksichtigen
- Software Bill of Materials (SBOM) integrieren
- Konformitätsbewertung
- Informationsaustausch zu Schwachstellen
- Sicherheitsupdates und Wartung
Wie unterstützt das BSI?
Das BSI entwickelt eine Technische Richtlinie, um die Anforderungen des CRA verständlicher zu machen. Diese Richtlinie beschreibt die Anforderungen an Hersteller und Produkte zur Cyberresilienz klar und übersichtlich. Teil 1, „General Requirements“, fasst die Anforderungen an Hersteller und Produkte in Anlehnung an die Artikel und Anhänge des CRA zusammen. Teil 2, „Software Bill of Materials (SBOM)“, legt formelle und fachliche Vorgaben für SBOMs fest. Teil 3, „Vulnerability Reports and Notifications“, beschreibt den Umgang mit eingehenden Schwachstellenmeldungen.
Mehr Infos in der BSI-PDF "Cyber Resilience Act - Cybersicherheit EU-weit gedacht"
Zur Übersicht