CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL

Wesentliche Cybersicherheitsanforderungen

Die verbindlichen Sicherheitsanforderungen in Anhang I des CRA, unterteilt in zwei Teile. Teil I legt 11 Sicherheitseigenschaften fest, die Produkte mit digitalen Elementen durch Design und Standard erreichen müssen. Teil II legt 8 Pflichten zur Schwachstellenbehandlung fest, die Hersteller als Prozesse über den gesamten Produktlebenszyklus umsetzen müssen.

Quellenangaben

cracra-annex-i

Siehe auch

Struktur

Anhang I der Verordnung (EU) 2024/2847 ist in zwei Teile gegliedert:

Teil I — Sicherheitsanforderungen für Produkte mit digitalen Elementen

Produkte müssen so konzipiert, entwickelt und produziert werden, dass sie:

  1. Keine bekannten ausnutzbaren Schwachstellen — ohne bekannte ausnutzbare Schwachstellen ausgeliefert
  2. Sicher standardmäßig — sicherheitsrelevante Standardeinstellungen; unnötige Funktionen deaktiviert
  3. Vertraulichkeit — Datenschutz im Ruhezustand und bei der Übertragung
  4. Integrität — Schutz gegen unbefugte Manipulation
  5. Angriffsfläche einschränken — minimale Schnittstellen und Kommunikationskanäle
  6. Ausfallsicherheit — Minimierung der Auswirkungen von Vorfällen
  7. Störungen begrenzen — Begrenzung von Dienstunterbrechungen
  8. Sichere Datenverarbeitung — nur notwendige Daten sammeln und schützen
  9. Zugangskontrolle — Schutz gegen unbefugten Zugriff
  10. Sichere Aktualisierung — Möglichkeit zur Installation von Updates
  11. Endbenutzerdaten — Mechanismus zum sicheren Löschen von Daten

Teil II — Anforderungen zur Schwachstellenbehandlung (Prozesse)

Hersteller müssen Richtlinien und Prozesse einrichten für:

  1. Identifizierung und Dokumentation von Schwachstellen, einschließlich SBOM
  2. Behebung von Schwachstellen ohne ungebührliche Verzögerung
  3. Regelmäßige Sicherheitstests und -bewertungen
  4. Öffentliche Bekanntmachung von Informationen zu behobenen Schwachstellen
  5. Einrichten und Durchsetzen einer CVD-Richtlinie
  6. Erleichterung der Meldung über eine einzige Kontaktstelle
  7. Sichere Verteilung von Sicherheitsupdates
  8. Kostenlose Sicherheitsupdates während der Unterstützungsdauer

Konformitätsvermutung

Die Anwendung einer einschlägigen harmonisierten Norm (Art. 27) begründet eine Konformitätsvermutung für die entsprechenden wesentlichen Cybersicherheitsanforderungen.

Wesentliche Cybersicherheitsanforderungen — CRA-Compliance-Hub