top of page

Eine der zentralen Anforderungen des CRA ist die durchgängige Integration von Cybersicherheitsmaßnahmen in den gesamten Produktlebenszyklus – von der Planung über die Entwicklung bis hin zu Wartung und Updates. Hersteller sind verpflichtet, Sicherheitsaspekte bereits in der Design- und Entwicklungsphase zu berücksichtigen (Security by Design)[MH1] , um potenzielle Schwachstellen zu minimieren.

 

Hauptanforderungen

  • Sicherheitsplanung: Bereits in der Konzeptionsphase müssen Risiken identifiziert und Sicherheitsmaßnahmen geplant werden.

  • Sicherheitsentwicklung: Produkte müssen unter Berücksichtigung aktueller Sicherheitsstandards entwickelt werden, um Schwachstellen vorzubeugen.

  • Regelmäßige Sicherheitsupdates: Während der gesamten Nutzungsdauer eines Produkts sind regelmäßige Sicherheitsupdates und Patches erforderlich, um neu auftretende Bedrohungen zu adressieren.

  • Sicherheitswartung: Auch nach der Markteinführung müssen Unternehmen die Produkte hinsichtlich Cybersicherheitsbedrohungen überwachen und Sicherheitslösungen bereitstellen.

 [MH1]Add reference to more detailed information about security by design. (I have written a text about Security by Design that we might use here)

Vor der Markteinführung eines Produkts müssen Hersteller eine umfassende Risikobewertung durchführen. Ziel ist es, potenzielle Bedrohungen und Schwachstellen zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen, um das Risiko von Cyberangriffen zu minimieren. Die Risikobewertung muss dokumentiert werden und der zuständigen Behörde auf Anfrage zur Verfügung stehen.

 

Schlüsselaspekte der Risikobewertung

  • Identifikation potenzieller Bedrohungen: Alle möglichen Cyberbedrohungen für das Produkt müssen erfasst werden.

  • Bewertung der Risiken: Die Eintrittswahrscheinlichkeit und die potenziellen Auswirkungen dieser Bedrohungen müssen bewertet werden.

  • Maßnahmen zur Risikominderung: Sicherheitsvorkehrungen und -protokolle müssen implementiert werden, um Risiken zu minimieren.

  • Regelmäßige Überprüfung: Die Risikobewertung ist regelmäßig zu überprüfen und anzupassen, um auf neue Bedrohungen oder Schwachstellen reagieren zu können.

Hersteller müssen umfassende Sicherheitsdokumentationen für ihre Produkte erstellen. Diese können bei Bedarf von der zuständigen Behörde angefragt werden. Ebenso sind Hersteller verpflichtet Benutzerinformationen für das Produkt zur Verfügung zu stellen, damit Endbenutzer das Produkt sicher verwenden können.

 

Anforderungen an die Dokumentation:

  • Benutzerhandbücher: Unternehmen müssen den Benutzern Anleitungen zur sicheren Nutzung und Verwaltung des Produkts bereitstellen. Dies umfasst Sicherheitskonfigurationen, Update-Prozesse und den Umgang mit Sicherheitsvorfällen.

  • Sicherheitsinformationen: Hersteller müssen klare und verständliche Informationen zu den Sicherheitsmerkmalen und -anforderungen des Produkts zur Verfügung stellen.

  • Technische Dokumentation: Es muss eine technische Dokumentation erstellt werden, die den Entwicklungsprozess, die Risikobewertung und die implementierten Sicherheitsmaßnahmen beschreibt. Die zuständige Behörde kann diese Dokumentation im Bedarfsfall einfordern.

EU-Konformitätserklärung:

Der CRA verpflichtet Betroffene, schwerwiegende Sicherheitsvorfälle und entdeckte Schwachstellen unverzüglich den zuständigen Behörden zu melden. Diese Meldepflicht ist ein zentrales Element, um eine schnelle Reaktion auf Cybersicherheitsvorfälle zu gewährleisten und den Schutz der Verbraucher zu erhöhen.

 

Wichtige Punkte zur Meldepflicht:

  • Zeitliche Vorgaben: Sicherheitsvorfälle und Schwachstellen müssen innerhalb von 24 Stunden nach ihrer Entdeckung gemeldet werden.

  • Inhalt der Meldung: Die Meldung muss detaillierte Informationen zum Vorfall, den betroffenen Produkten und den ergriffenen Maßnahmen enthalten.

  • Kontinuierliches Monitoring: Unternehmen müssen Mechanismen zur kontinuierlichen Überwachung und Erkennung von Sicherheitsvorfällen einrichten.

Der CRA erweitert die Bedeutung der CE-Kennzeichnung, die bislang vor allem Sicherheitsanforderungen (Safety) abdeckte, um den Bereich der Security. Produkte mit digitalen Elementen, die unter den CRA fallen, müssen die neuen Cybersicherheitsanforderungen erfüllen, um die CE-Kennzeichnung zu erhalten und in der EU verkauft werden zu dürfen.

 

CE-Kennzeichnung im CRA-Kontext:

  • Cybersecurity-Anforderungen: Produkte müssen sowohl traditionelle Sicherheitsanforderungen (Safety) als auch die neuen Security-Anforderungen erfüllen.

  • Marktzugang: Ohne CE-Kennzeichnung dürfen entsprechende Produkte nicht auf dem EU-Markt verkauft werden.

  • Erweiterter Produktumfang: Durch die Integration der Security-Anforderungen wird der Umfang der Produkte, die die CE-Kennzeichnung benötigen, erheblich erweitert.

bottom of page