Produktsicherheit über den gesamten Lebenszyklus gewährleisten (Security by Design)
- Gilt für
- Manufacturer
- Quellenangaben
- Art. 13(1)Art. 13(2)Annex I Part I §1
- Produktklassen
- DefaultImportant — Class IImportant — Class IICritical
Einfache Sprache
Das Produkt muss von Beginn an mit Blick auf Sicherheit entwickelt werden. Das bedeutet: Sicherheitsrisiken sind vor der Markteinführung zu identifizieren, Sicherheitsentscheidungen werden im Rahmen der Konzeption getroffen (nicht nachträglich), und die Sicherheit ist über die gesamte unterstützte Produktlaufzeit hinweg zu gewährleisten. Das Prinzip lautet „Security by Design" – erforderlich ist ein dokumentierter Prozess, nicht bloß gute Absichten.
Rechtstext
Artikel 13(1) der Verordnung (EU) 2024/2847 verpflichtet Hersteller von Produkten mit digitalen Elementen sicherzustellen, dass die Produkte in Übereinstimmung mit den grundlegenden Cybersicherheitsanforderungen gemäß Anhang I Teil I konzipiert, entwickelt und hergestellt werden.
Artikel 13(2) verpflichtet Hersteller darüber hinaus, unter Berücksichtigung der Risiken für die Sicherheit und die Unversehrtheit der Nutzer eine Bewertung der mit dem Produkt mit digitalen Elementen verbundenen Cybersicherheitsrisiken durchzuführen.
Wesentliche Anforderungen
- Risikobewertung in der Konzeptionsphase – Sicherheitsrisiken identifizieren und dokumentieren
- Sicherer Entwicklungsprozess – Anforderungen aus Anhang I Teil I durchgängig anwenden
- Standardmäßig sichere Konfiguration – keine standardmäßig unsicheren Zustände
- Minimierung der Angriffsfläche – nicht benötigte Funktionen und Ports deaktivieren
- Sicherheit im Lebenszyklus – Sicherheit in Konzeption, Entwicklung und Herstellung adressieren
Nachweise, die Sie möglicherweise benötigen
- Dokumentierte Cybersicherheits-Risikobewertung des Produkts
- Richtlinie zum sicheren Entwicklungslebenszyklus
- Architektur- und Designdokumente, die Sicherheitsentscheidungen belegen
- Testaufzeichnungen zum Nachweis der Konformität mit Anhang I