CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL

Glossar

Definierte Begriffe und Konzepte aus dem EU Cyber Resilience Act und zugehörigen Leitlinien.

A

Aktiv ausgenutzte Schwachstelle
Eine Schwachstelle in einem Produkt mit digitalen Elementen, bei der ein böswilliger Akteur den Fehler aktiv ausnutzt, um die Sicherheit von Nutzern oder anderen betroffenen Personen zu verletzen. Die Entdeckung einer aktiv ausgenutzten Schwachstelle löst eine Meldepflicht an das zuständige CSIRT und ENISA innerhalb von 24 Stunden aus (Art. 14(1)), mit weiteren Meldungen nach 72 Stunden und nach der Behebung.
Anhang I — Wesentliche Cybersicherheitsanforderungen
Der normative Anhang des CRA mit den verbindlichen technischen und prozessbezogenen Anforderungen, die Produkte mit digitalen Elementen erfüllen müssen. Er ist in Teil I (11 Sicherheitseigenschaften, die Produkte durch Design und Standard aufweisen müssen) und Teil II (8 Pflichten zur Schwachstellenbehandlung für die Entwicklungs- und Wartungsprozesse des Herstellers) unterteilt.

B

Bevollmächtigter Vertreter
Eine natürliche oder juristische Person mit Sitz in der Europäischen Union, die vom Hersteller ein schriftliches Mandat erhalten hat, in dessen Namen bestimmte Aufgaben nach dem CRA wahrzunehmen. Zu den Mindestaufgaben des bevollmächtigten Vertreters gehören: EU-Konformitätserklärung und technische Dokumentation bereithalten, auf Anfrage Konformitätsinformationen vorlegen und mit der Marktüberwachung zusammenarbeiten.
Bereitstellung auf dem Markt
Jede entgeltliche oder unentgeltliche Lieferung eines Produkts mit digitalen Elementen zur Verteilung, zum Verbrauch oder zur Verwendung auf dem EU-Markt im Rahmen einer wirtschaftlichen Tätigkeit. Im Gegensatz zum „Inverkehrbringen" (das sich auf die erstmalige Lieferung bezieht) umfasst die „Bereitstellung" jede nachfolgende Lieferung in der Lieferkette, einschließlich durch Einführer und Händler.

C

CE-Kennzeichnung
Die Kennzeichnung, die der Hersteller an einem Produkt anbringt, um anzuzeigen, dass das Produkt bewertet wurde und alle anwendbaren EU-Harmonisierungsrechtsvorschriften, einschließlich der wesentlichen Cybersicherheitsanforderungen des CRA, erfüllt. Die CE-Kennzeichnung ist erforderlich, bevor ein Produkt mit digitalen Elementen auf dem EU-Markt in Verkehr gebracht wird, und muss sichtbar, lesbar und dauerhaft angebracht sein.

E

EU-Konformitätserklärung (EU-DoK)
Ein formelles Dokument, das der Hersteller vor dem Inverkehrbringen eines Produkts mit digitalen Elementen ausstellt und in dem er erklärt, dass das Produkt die wesentlichen Cybersicherheitsanforderungen des Anhangs I und alle anderen anwendbaren EU-Harmonisierungsrechtsvorschriften erfüllt. Die EU-DoK muss der Musterstruktur in Anhang V entsprechen und alle acht in Artikel 28 festgelegten Elemente enthalten.
Einführer
Eine in der Europäischen Union ansässige natürliche oder juristische Person, die ein Produkt mit digitalen Elementen auf dem EU-Markt in Verkehr bringt, das den Namen oder das Warenzeichen einer außerhalb der Union ansässigen natürlichen oder juristischen Person trägt.

F

Freie und Open-Source-Software (FOSS)
Software, deren Quellcode mit einer Lizenz verfügbar gemacht wird, die Nutzern die Rechte zur Verwendung, Vervielfältigung, Änderung und Verbreitung einräumt. In ein kommerzielles Produkt integrierte FOSS-Komponenten fallen für den integrierenden Hersteller in den Anwendungsbereich des CRA. Nicht-kommerzielle FOSS-Entwicklung und -Lieferung ist generell ausgeschlossen; OSS-Stewards unterliegen einem angepassten Regime.
Ferndatenverarbeitungslösung (FDVL)
Ein Ferndienst, der für ein Produkt mit digitalen Elementen notwendig ist, um eine seiner Funktionen zu erfüllen. Eine FDVL ist Teil des PDE und unterliegt daher denselben CRA-Pflichten wie das Produkt selbst. Der dreiteilige Test (Fernzugriff, funktionale Abhängigkeit, Herstellerverantwortung) bestimmt, ob ein Ferndienst qualifiziert.

H

Händler
Eine natürliche oder juristische Person in der Lieferkette, die weder Hersteller noch Einführer ist und ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt, ohne dessen Eigenschaften zu beeinflussen. Händler haben geringere Pflichten als Hersteller oder Einführer, müssen jedoch vor dem Inverkehrbringen die CE-Kennzeichnung und grundlegende Compliance überprüfen.
Harmonisierte Norm
Eine europäische Norm, die von einer Europäischen Normungsorganisation (CEN, CENELEC oder ETSI) auf Ersuchen der Europäischen Kommission entwickelt wurde. Wendet ein Hersteller eine harmonisierte Norm an, die im Amtsblatt der EU veröffentlicht wurde, so wird vermutet, dass er die von dieser Norm erfassten wesentlichen Cybersicherheitsanforderungen ohne eigenständigen Nachweis erfüllt.
Hersteller
Eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt (oder entwickeln, entwerfen oder herstellen lässt) und sie unter ihrem eigenen Namen oder Warenzeichen vermarktet, ob entgeltlich, gegen Monetarisierung oder unentgeltlich. Dies ist die primäre Rolle mit Pflichten nach dem CRA.

I

Inverkehrbringen
Die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem EU-Markt. Ein Hersteller bringt ein Produkt in Verkehr, wenn er es zum ersten Mal einem Händler, Einführer oder Nutzer in der EU liefert, im Rahmen einer wirtschaftlichen Tätigkeit, ob entgeltlich oder unentgeltlich. Das Datum der erstmaligen Markteinführung bestimmt, wann die CRA-Pflichten für dieses Produkt wirksam werden.

K

Konformitätsbewertung
Das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt mit digitalen Elementen die wesentlichen Cybersicherheitsanforderungen des Anhangs I erfüllt. Artikel 32 sieht vier verfügbare Verfahren vor: Modul A (Selbstbewertung), Modul B+C, Modul H und EUCC-Zertifizierung. Das erforderliche Verfahren hängt von der Produktklassifizierung und der vollständigen Anwendung harmonisierter Normen ab.
Kritisches Produkt mit digitalen Elementen
Ein Produkt, dessen Kernfunktionalität unter Anhang IV des CRA fällt. Derzeit umfasst dies drei Kategorien: Hardware-Geräte mit Sicherheitsboxen, Smart-Meter-Gateways und Smartcards/Sicherheitselemente. Kritische Produkte unterliegen den strengsten Konformitätsanforderungen und müssen nach In-Kraft-Treten der delegierten Rechtsakte der Kommission eine formelle europäische Cybersicherheitszertifizierung (EUCC) erhalten.

M

Marktüberwachungsbehörde
Eine von einem Mitgliedstaat benannte nationale Behörde zur Überwachung und Durchsetzung der Konformität von Produkten mit digitalen Elementen mit dem CRA auf dem Markt. Marktüberwachungsbehörden können technische Dokumentation anfordern, Audits und Tests durchführen sowie Korrekturmaßnahmen oder den Marktrückzug nicht konformer Produkte anordnen.

N

Notifizierte Stelle
Eine unabhängige, akkreditierte Drittorganisation, die von einer Behörde eines Mitgliedstaats benannt und der Europäischen Kommission notifiziert wurde, um Drittpartei-Konformitätsbewertungsverfahren nach dem CRA durchzuführen. Notifizierte Stellen bewerten, ob wichtige und kritische Produkte die wesentlichen Cybersicherheitsanforderungen erfüllen, bevor die CE-Kennzeichnung angebracht wird.

O

Open-Source-Software-Steward
Eine juristische Person, die kein Hersteller ist und deren Zweck oder Ziel es ist, auf nachhaltiger Basis systematisch die Entwicklung bestimmter freier und Open-Source-Software-Produkte für gewerbliche Tätigkeiten zu unterstützen und deren Lebensfähigkeit zu gewährleisten. OSS-Stewards unterliegen einem leichteren, maßgeschneiderten Regulierungsregime nach dem CRA.

P

Produkt im Geltungsbereich (CRA-Anwendungsbereich)
Ein Produkt mit digitalen Elementen, das in den Geltungsbereich des CRA (Art. 2) fällt und daher seinen Anforderungen unterliegt. Produkte im Geltungsbereich sind solche, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk haben und im Rahmen einer wirtschaftlichen Tätigkeit auf dem EU-Markt bereitgestellt werden. Mehrere Produktkategorien sind ausdrücklich ausgeschlossen.
Produkt mit digitalen Elementen (PDE)
Jedes Software- oder Hardware-Produkt und seine Ferndatenverarbeitungslösungen, dessen beabsichtigter oder vernünftigerweise vorhersehbarer Verwendungszweck eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk einschließt. Der CRA gilt für PDEs, sofern kein sektoral bedingter Ausschluss gilt.

R

Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD)
Ein strukturierter Prozess, über den Schwachstellen in einem Produkt dem Hersteller so gemeldet werden können, dass der Hersteller sie diagnostizieren und beheben kann, bevor detaillierte Informationen an Dritte oder die Öffentlichkeit weitergegeben werden. Hersteller sind nach Anhang I Teil II des CRA verpflichtet, eine CVD-Richtlinie einzurichten und durchzusetzen.

S

Software-Stückliste (SBOM)
Eine formelle Aufzeichnung der Komponenten, Bibliotheken und Module eines Software-Produkts in einem gängigen, maschinenlesbaren Format. Nach Anhang I Teil II des CRA müssen Hersteller eine SBOM erstellen, die mindestens die Top-Level-Abhängigkeiten ihres Produkts abdeckt. Die SBOM muss nicht veröffentlicht werden, muss aber Marktüberwachungsbehörden auf begründete Anfrage zur Verfügung gestellt werden.
Schwerwiegender Vorfall mit Auswirkungen auf die Sicherheit eines Produkts
Ein Vorfall, der tatsächlich nachteilige Auswirkungen auf die Sicherheit der Netz- und Informationssysteme eines Herstellers hat, die für die Entwicklung, Produktion oder Wartung eines Produkts mit digitalen Elementen genutzt werden. Die Entdeckung eines solchen Vorfalls löst eine Meldepflicht an das zuständige CSIRT und ENISA innerhalb von 24 Stunden aus.
Schwachstelle
Eine Schwäche in einem Produkt mit digitalen Elementen, die potenziell von einem Bedrohungsakteur ausgenutzt werden kann, um die Sicherheit dieses Produkts oder verbundener Systeme zu verletzen. Der CRA legt Herstellern weitreichende Pflichten zur Identifizierung, Behebung und Offenlegung von Schwachstellen während des gesamten Unterstützungszeitraums auf.

T

Technische Dokumentation
Ein umfassendes Dokumentationspaket, das der Hersteller vor dem Inverkehrbringen eines Produkts erstellen und während des gesamten Unterstützungszeitraums pflegen muss, mit allen Informationen zum Nachweis der Konformität des Produkts und der Herstellerprozesse mit den wesentlichen Cybersicherheitsanforderungen des Anhangs I. Anhang VII legt den Mindestinhalt fest. Aufbewahrungsdauer: mindestens 10 Jahre.

U

Unterstützungszeitraum
Der Zeitraum, in dem ein Hersteller sicherstellen muss, dass Schwachstellen eines Produkts mit digitalen Elementen gemäß Anhang I Teil II wirksam behandelt werden. Der Unterstützungszeitraum muss mindestens fünf Jahre betragen, sofern die erwartete Nutzungsdauer des Produkts nicht kürzer ist. Hersteller müssen das Enddatum des Supports beim Kauf anzeigen.

W

Wesentliche Cybersicherheitsanforderungen
Die verbindlichen Sicherheitsanforderungen in Anhang I des CRA, unterteilt in zwei Teile. Teil I legt 11 Sicherheitseigenschaften fest, die Produkte mit digitalen Elementen durch Design und Standard erreichen müssen. Teil II legt 8 Pflichten zur Schwachstellenbehandlung fest, die Hersteller als Prozesse über den gesamten Produktlebenszyklus umsetzen müssen.
Wichtiges Produkt mit digitalen Elementen
Ein Produkt, dessen Kernfunktionalität in eine der in Anhang III des CRA aufgeführten Kategorien fällt. Solche Produkte erfüllen primär Funktionen, die für die Cybersicherheit anderer Produkte, Netzwerke oder Dienste entscheidend sind, oder bergen ein erhebliches Risiko nachteiliger Auswirkungen bei Ausnutzung. Wichtige Produkte werden in Klasse I und Klasse II unterteilt, wobei Klasse II strengere Konformitätsanforderungen hat.
Wesentliche Veränderung
Eine Änderung an einem Produkt mit digitalen Elementen nach dem Inverkehrbringen, die die Konformität des Produkts mit den wesentlichen Cybersicherheitsanforderungen in Anhang I Teil I beeinträchtigt oder den deklarierten Verwendungszweck ändert. Eine wesentliche Veränderung löst eine neue Konformitätsbewertung aus, wodurch das veränderte Produkt faktisch als neues Produkt behandelt wird.
Glossary — CRA-Compliance-Hub