Cyber-Regulierung: CRA in der Entwicklung

Was muss ich im Detail tun? Was sind die Normen? Was muss ich als Entwickler und Projektleiter beachten?

Lesezeit 6 min

Das Inkrafttreten des Cyber Resilience Act (CRA, deutsch: Cyberresilienz-Verordnung (CRV)) bedeutet, das fast kein elektronisches Produkt mehr ohne Berücksichtigung der Cybersicherheit, ohne einen Damm zum Internet entwickelt werden kann.

Was heisst das für Sie als Entwicklungsleiter, als Projektleiter, als Entwickler? Hier haben wir hier Informationen zu verschiedenen Entwicklungs-Aspekten der CRA zusammengetragen. Melden Sie sich gerne bei mir, wenn Sie zusätzliche Fragen haben!

Für allgemeine Informationen zur CRA, sehen Sie CRA Allgemein.

Was bedeuten die Sicherheitsstufen im CRA? Welche Sicherheitsstufen gibt es?

Der CRA unterscheidet vier Stufen:

Standard/ Basis Produkte (Art. 6)
- z.B. Haushaltsgeräte, Messgeräte, IoT (Internet of Things) Geräte, Mobile- oder PC-Applikationen
Wichtige Produkte (Klasse I) (Art. 7, Anhang III)
- z.B. Virtuelle Assistenten, intelligente Türschlösser, Babyphones, Wearables mit dem Zweck der Gesundheitsüberwachung
Wichtige Produkte (Klasse II) (Art. 7, Anhang III)
- z.B. Firewall-Appliance
Kritische Produkte (Art. 8, Anhang IV)
- z.B. HSM-Appliance

Wie wirken sich die CRA-Sicherheitsstufen auf meine Tätigkeiten aus?

Alle Sicherheitsstufen müssen Anhang I entsprechen, d.h. alle Tätigkeiten müssen immer durchgeführt werden.

Der Unterschied zwischen den Sicherheitsstufen liegt in der Konzeption des Produkts, das ein der Sicherheitsstufe angemessenes Cybersicherheitsniveau gewährleisten muss (Anhang I Teil I Abs. 1), und im Konformitätsbewertungsverfahren (Anhang VIII).

Welche Normen muss ich erfüllen um die CRV zu erfüllen?

Derzeit gibt es noch keine harmonisierten Normen für die Verordnung. Harmonisierte Normen sind technische Standards, die von der EU-Kommission anerkannt sind und eine rechtlich vereinfachte Konformitätsbewertung ermöglichen.

Bis zur Veröffentlichung solcher harmonisierten Normen können Hersteller auf etablierte Normen wie die Normenreihe IEC 62443 zurückgreifen.

Kann der Nachweis der Konformität mit der CRA selbst erbracht werden?

Dies ist für Produkte der Sicherheitsstufe «Standard/ Basis» möglich (Art. 32 Abs. 1, Ewgr. 91). Das dazugehörige Verfahren (Modul A) ist im Anhang VIII Teil I beschrieben und verlangt:

gewährleisten, dass Konzeption, Entwicklung, Herstellung und Behandlung von Schwachstellen der CRA entsprechen
erstellen der technische Dokumentation gemäss Anhang VII
anbringen der Konformitätskennzeichnung (CE-Kennzeichnung) und erstellen der EU-Konformitätserklärung

Der Hersteller muss gewährleisten und auf eigene Verantwortung erklären, dass der CRA entspricht. Siehe auch «Brauche ich dafür Prozesse? Wieso? Welche?» und «Welche Strafen drohen bei Nichteinhaltung des CRA?».

Wie weise ich die Konformität meines Produkts mit der CRA nach?

Der Nachweis der Konformität hängt von der Sicherheitsstufe des Produkts ab.

Standard/ Basis Produkte

siehe oben

Alle höheren Sicherheitsstufen benötigen den Einbezug einer notifizierten Stelle.

Wichtige Produkte (Klasse I) (Art. 32 Abs. 2)

EU-Baumusterprüfung (Modul B) gemäss Anhang VIII Teil II und Konformität mit dem Baumuster (Modul C) gemäss Anhang VIII Teil III.
- Dies entspricht dem Standardverfahren zur Erlangung der CE-Kennzeichnung.

oder

Konformität auf der Grundlage einer umfassenden Qualitätssicherung (Modul H) gemäss Anhang VIII Teil IV
- Das Qualitätssicherungssystem muss von einer notifizierten Stelle zugelassen und regelmässig überprüft werden.
- Dieses Verfahren ermöglicht es dem Hersteller, die Konformität auf der Grundlage des zugelassenen Qualitätssicherungssystems im Namen der benannten Stelle zu bescheinigen.

Wichtige Produkte (Klasse II) (Art. 32 Abs. 3)

Gemäss Modul B und Modul C und Modul H (siehe Klasse I)

Kritische Produkte (Art. 32 Abs. 4)

Benötigt ein europäisches Cybersicherheitszertifikat, mindestens der Vertrauenswürdigkeitsstufe «mittel» gemäss der Verordnung EU 2019/881

Was muss ich in der Produktentwicklung für die CRA tun?

Das zentrale Element der CRA ist die Bewertung der Cybersicherheitsrisiken. Dieses Dokument wird zu Beginn der Produktentwicklung erstellt und anschliessend regelmässig aktualisiert (Art. 13 Abs. 2, 3).

Die Produktentwicklung (Planungs-, Konzeptions-, Entwicklungsphase) muss die Ergebnisse der Risikoanalyse berücksichtigen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen von Sicherheitsvorfälle zu minimieren.

Das Produkt muss so konzipiert, entwickelt und hergestellt werden, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleistet wird.

Die Cybersicherheitsanforderungen (Anhang I Teil I) müssen erfüllt werden. Gefordert werden unter anderem:

Security by Design und bewährte Praktiken für einen sicheren (Software-)Entwicklungszyklus
Security by Default (z.B. sichere Standardkonfiguration
Minimierung potenzieller Angriffsflächen
Schutz vor unbefugtem Zugriff
Vertraulichkeit, Integrität und Verfügbarkeit (z.B. Secure Boot)
Schutz personenbezogener Daten
Protokollierung sicherheitsrelevanter Daten und Ereignisse

Die Technische Richtlinie TR-03183-1 des BSI beschreibt den Stand der Technik im Detail.

Ist eine Software-Stückliste vorgeschrieben?

Eine Software-Stückliste (Software Bill of Materials (SBOM)) ist zwingend und muss in einer maschinenlesbaren Form vorliegen (Anhang I Teil II Abs. 1). Mögliche Formate sind CycloneDX oder SPDX.

Die Technische Richtlinie TR-03183-2 des BSI beschreibt die Anforderungen an eine SBOM im Detail.

Welche Dokumentation muss ich für die CRA erstellen?

Die Dokumentation ist in zwei Teile gegliedert:

Technische Dokumentation
Benutzerdokumentation

Die technische Dokumentation muss alle relevanten Daten oder Einzelheiten darüber enthalten, wie der Hersteller sicherstellt, dass das Produkt dem CRA entspricht (Art. 31 Abs. 1).

Die technische Dokumentation muss vollständig und in leicht verständlicher Sprache geschrieben sein und den Marktüberwachungsbehörden auf Antrag zur Verfügung gestellt werden (Artikel 53, 58). Sie muss es den Marktüberwachungsbehörden ermöglichen, die Konzeption, die Entwicklung, die Herstellung und den Umgang mit Schwachstellen zu verstehen (Artikel 31 Abs. 2).

Die technische Dokumentation beinhaltet mindesten (Anhang VII):

allgemeine Beschreibung des Produkts
Beschreibung der Konzeption, Entwicklung und Herstellung des Produkts
Beschreibung des Verfahrens zur Behandlung von Schwachstellen
Bewertung der Cybersicherheitsrisiken
Informationen, die bei der Festlegung des Unterstützungszeitraums gemäss Art. 13 Abs. 8 berücksichtigt wurden
Eine Liste der ganz oder teilweise angewandten harmonisierten Normen oder eine Beschreibung der Lösungen, mit denen die in Anhang I genannten grundlegenden Anforderungen an die Cybersicherheit erfüllt werden
Berichte über die durchgeführten Tests und Prüfungen
EU-Konformitätserklärung
Software-Stückliste

Die Dokumentation ist vor dem Inverkehrbringen zu erstellen und während der gesamten Lebensdauer des Produkts zu aktualisieren (Art. 31 Abs. 2).

Das Kapitel 6 der Technische Richtlinie TR-03183-1 des BSI geht detailliert auf die Dokumentationspflichten ein.

Alois Cavelti

Haben Sie zusätzliche Fragen? Haben Sie eine andere Meinung? Wenn ja, mailen Sie mir oder kommentieren Sie Ihre Gedanken unten!

Autor

Alois Cavelti

ist Dipl. Elektroingenieur FH , Mitgründer, stellvertretender Geschäftsführer und Software-Entwickler. Er ist Spezialist für Architekturen und Software in C, C++ und C#. Er setzt sich für wartbare Architektur, Security und sauberen Code ein. Dafür schaut er gerne über den «embedded» Tellerand in andere Bereiche der Softwareentwicklung. Gesamtsysteme jeglicher Art und deren Zusammenhänge interessieren ihn. Alois bewirtschaftet eine 5'000 m2 Biodiversitätsinsel und bringt dabei Natur, Pferd und Mensch in Einklang. Er liebt gute (Film)Geschichten und gutes Essen.

Beiträge dieses Autors E-Mail LinkedIn

Stichworte/ Tags

Kommentare

Keine Kommentare

Was ist Ihre Meinung?

Einen Kommentar schreiben