Cyber Resilience Act

Der Cyber Resilience Act setzt Cybersicherheitsregeln für Produkte mit digitalen Elementen, die in der EU verkauft werden. Hersteller müssen Sicherheit von Anfang an einbauen, eine Software-Stückliste führen, Schwachstellen koordiniert behandeln und aktiv ausgenutzte Schwachstellen nach festem Zeitplan melden, bevor ein Produkt das CE-Zeichen tragen darf. turingsecure liefert die SBOM, die Schwachstellenbehandlung und die Nachweise für diese Pflichten.

Wer betroffen ist

Regeln für Produkte mit digitalen Elementen

Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, also Hardware und Software, die sich mit einem Gerät oder Netzwerk verbinden können. Wer ein solches Produkt in der EU in Verkehr bringt, für den ist dessen Sicherheit nun eine rechtliche Verkaufsvoraussetzung, über die gesamte erwartete Lebensdauer, nicht nur beim Marktstart.

Die Pflichten teilen sich in zwei Hälften. Vor der Auslieferung muss ein Produkt die grundlegenden Cybersicherheitsanforderungen erfüllen und sicher durch Gestaltung und Voreinstellung sein. Nach der Auslieferung müssen Sie über den Unterstützungszeitraum weiter Schwachstellen behandeln und Sicherheitsupdates liefern. Die folgenden Pflichten ziehen sich durch beide Hälften.

Regeln des Cyber Resilience Act für Produkte mit digitalen Elementen

Ihre Pflichten

Was der CRA von Ihnen verlangt

Sicherheit durch Gestaltung und Voreinstellung

Gestalten Sie Produkte so, dass sie die grundlegenden Cybersicherheitsanforderungen erfüllen, liefern Sie sie mit sicherer Voreinstellung aus und stellen Sie über den Unterstützungszeitraum Sicherheitsupdates bereit.

Software-Stückliste

Führen Sie für Ihr Produkt eine Software-Stückliste in einem gängigen maschinenlesbaren Format, um jede ausgelieferte Komponente nachzuverfolgen.

Koordinierte Schwachstellenbehandlung

Behandeln Sie Schwachstellen über den Produktlebenszyklus: ein Offenlegungsverfahren, Behebung und die Pflicht, eine aktiv ausgenutzte Schwachstelle binnen 24 Stunden nach Kenntnis an die ENISA zu melden.

CE-Kennzeichnung

Nur Produkte, die die Anforderungen des CRA erfüllen und die vorgeschriebene Konformitätsbewertung bestehen, dürfen das CE-Zeichen tragen und in der EU verkauft werden.

Bereit für den CRA

Buchen Sie eine persönliche Demo und sehen Sie, wie turingsecure die SBOM, die Schwachstellenbehandlung und die Nachweise abdeckt, die der Cyber Resilience Act verlangt.