Cybersicherheits-Risikobewertung vor dem Inverkehrbringen durchführen

Artikel 13(2) der Verordnung (EU) 2024/2847 verpflichtet Hersteller von Produkten mit digitalen Elementen, unter Berücksichtigung der grundlegenden Cybersicherheitsanforderungen gemäß Anhang I Teil I eine Bewertung der mit dem Produkt verbundenen Cybersicherheitsrisiken durchzuführen.

Diese Bewertung ist in den Phasen Planung, Konzeption, Entwicklung, Herstellung, Lieferung und Wartung des Produkts zu berücksichtigen, um Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und deren Auswirkungen zu begrenzen.

1. Risikobewertung vor der Markteinführung – abzuschließen vor dem Inverkehrbringen des Produkts
2. Risikobasierte Produktgestaltung – die Ergebnisse müssen in Produktdesignentscheidungen einfließen
3. Vollständiger Lebenszyklusumfang – umfasst Planung, Konzeption, Entwicklung, Herstellung, Lieferung und Wartung
4. Dokumentation – die Risikobewertung ist Bestandteil der nach Anhang VII erforderlichen technischen Dokumentation
5. Verhältnismäßigkeit – der Umfang der Bewertung muss den Risiken angemessen sein

Diese Pflicht ist die Grundlage für die meisten weiteren Pflichten aus Art. 13. Die Risikobewertung bestimmt:

• Welche Anforderungen aus Anhang I Teil I gelten und wie sie anzuwenden sind
• Die geeignete Konformitätsbewertungsroute (Modul A, B+C oder H)
• Den erklärten Unterstützungszeitraum (OBL-ART13-08)
• Welche Schwachstellen vor der Distribution zu beheben sind (OBL-ART13-05)

• Dokument zur Cybersicherheits-Risikobewertung (STRIDE, TARA oder vergleichbare Methodik)
• Bedrohungsmodell mit Angriffsoberflächenanalyse
• Risikobewältigungsentscheidungen verknüpft mit Designentscheidungen
• Aufzeichnungen, die belegen, dass die Bewertung bei Produktänderungen aktualisiert wurde