Anhang I — Wesentliche Cybersicherheitsanforderungen

Anhang I der Verordnung (EU) 2024/2847 enthält die zwei Gruppen wesentlicher Cybersicherheitsanforderungen, auf die in der gesamten Verordnung Bezug genommen wird.

Produkte müssen so konzipiert, entwickelt und produziert werden, dass sie:

1. Keine bekannten ausnutzbaren Schwachstellen in öffentlich zugänglichen Datenbanken aufweisen
2. Sicher standardmäßig sind — sicherheitsrelevante Standardkonfigurationen; unnötige Funktionen deaktiviert
3. Vertraulichkeit gewährleisten — Datenschutz gegen unbefugten Zugriff
4. Integrität gewährleisten — Schutz gegen unbefugte Manipulation
5. Nur notwendige Daten verarbeiten (Datensparsamkeit)
6. Die Verfügbarkeit wesentlicher Funktionen schützen
7. Die eigene negative Auswirkung auf andere Dienste minimieren
8. Die Angriffsfläche begrenzen
9. Die Auswirkungen eines Vorfalls durch Isolation und Resilienz reduzieren
10. Relevante Sicherheitsereignisse protokollieren und überwachen
11. Die sichere Übertragung aller Daten vor Lebensende ermöglichen

Hersteller müssen Prozesse einrichten und pflegen, um:

1. Schwachstellen zu identifizieren und dokumentieren, einschließlich SBOM
2. Schwachstellen zu beheben ohne ungebührliche Verzögerung
3. Regelmäßige Sicherheitstests durchzuführen
4. Informationen über behobene Schwachstellen öffentlich bekanntzugeben
5. Eine CVD-Richtlinie einzurichten
6. Die Meldung von Schwachstellen zu ermöglichen
7. Die sichere Verteilung von Sicherheitsupdates sicherzustellen
8. Sicherheitsupdates während der Unterstützungsdauer kostenlos bereitzustellen