Cybersicherheit: Prozesse für neue Pflichten implementieren

Im ersten Teil haben wir die grundlegenden Anforderungen des CRA beschrieben (siehe Cybersicherheit: Rechtzeitig auf neue Pflichten vorbereiten). Nun geht es um die konkreten Pflichten, die die Adressaten des CRA erfüllen müssen. Der Schwerpunkt der Pflichten liegt naturgemäß bei den Herstellern der betreffenden Produkte.

Wesentliche Pflichten der ­Hersteller

Die wesentlichen Pflichten der Hersteller im Hinblick auf die Eigenschaften eines Produkts mit digitalen Elementen sind in Art. 13 CRA festgeschrieben:

• Hersteller gewährleisten, dass die Produkte nach grundlegenden Cybersicherheitsanforderungen entsprechend Anhang I Teil 1 CRA konzipiert, entwickelt und hergestellt sind. Dazu gehört z.B., dass keine ausnutzbaren Schwachstellen vorhanden sind, Sicherheitsaktualisierungen später auftauchende Schwachstellen beheben, die Vertraulichkeit und Integrität personenbezogener Daten gewährleistet ist und grundlegende Funktionen des Produkts auch nach einem Sicherheitsvorfall noch vorhanden sind.
• Hersteller nehmen Risikobewertungen im Hinblick auf die Cybersicherheit während des gesamten Produktlebenszyklus vor und dokumentieren sie.
• Dies gilt auch für im Produkt enthaltene Softwarekomponenten von Zulieferern. Der Hersteller führt eine Dokumentation aller im Produkt enthaltenen Software (Software Bill of Materials, siehe Anhang I Teil 2 CRA).
• Hersteller müssen ein Konformitätsbewertungsverfahren für das Produkt gemäß Art. 32 CRA durchführen. Bei positivem Ausgang erhält das Produkt ein CE-Kennzeichen.
• Die Konformität is…