Welche Pflichten sind mit dem CRA verbunden?
Die Pflichten, welche mit dem CRA einhergehen, knüpfen an die Kritikalität des Produktes und Ihre Rolle als Wirtschaftsakteur an und sind hier aufgrund des Umfanges nicht vollends darstellbar. Für Hersteller haben wir daher die wichtigsten Punkte aufgelistet:
Grundlegende Sicherheitsanforderungen:
Das Produkt muss den grundlegenden Sicherheitsanforderungen bei Inverkehrbringen entsprechen. Die entsprechenden Anforderungen sind in Anhang I Abschnitt I festgelegt. Sie beziehen sich auf das Konzipieren, Entwickeln und Herstellen des Produktes mit digitalen Elementen.
Grundlegende Sicherheitsanforderungen bei Komponenten Dritter:
Sollten Sie Komponenten von Dritten beziehen und in Ihre Produkte integrieren, müssen sie nicht nur sicherstellen, dass diese Komponenten die Sicherheit Ihres Produktes nicht beeinträchtigen. Auch müssen unter der Betrachtung der grundlegenden Sicherheitsanforderungen die gebotene Sorgfalt walten lassen.
Bewertung der Cybersicherheitsrisiken
Führen Sie eine Bewertung der Cybersicherheitsrisiken ihres Produktes durch. Die Ergebnisse sind in den Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphasen zu berücksichtigen, sodass das Cybersicherheitsrisiko minimiert wird. Ebenso sind Sicherheitsvorfälle zu verhindern und die Auswirkungen, u.a. in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich zu halten.
Dokumentation von Cybersicherheitsrisiken:
Als Hersteller obliegt Ihnen die Pflicht systematisch und in Anbetracht der Cybersicherheitsrisiken angemessen alle relevante Cybersicherheitsaspekte des Produkts, einschließlich der Schwachstellen, von denen Sie Kenntnis erlangen, zu dokumentieren. Dies gilt auch für alle von Dritten bereitgestellten einschlägigen Informationen. Außerdem muss in Abhängigkeit davon ggf. die Risikobewertung aktualisiert werden.
Technische Dokumentation
In die Technische Dokumentation ist eine Bewertung der Cyberrisiken aufzunehmen. Die technische Dokumentation ist zehn Jahre nach dem Inverkehrbringen aufzubewahren. Sind grundlegende Anforderungen (Anhang I) auf das in Verkehr gebrachte Produkt nicht anwendbar, so nimmt der Hersteller eine klare Begründung dafür in diese Dokumentation auf.
Pflicht zur Behandlung von Schwachstellen:
Während der erwarteten Produktlebensdauer oder innerhalb von fünf Jahren ab in Verkehr bringen) sind Schwachstellen vom Hersteller wirksam zu behandeln. Dabei werden auch hier grundlegende Anforderungen an die Behandlung von Schwachstellen gestellt.
Konformitätsbewertungsverfahren:
Bei Konformitätsnachweis: Ausstellen der Konformitätserklärung sowie das Anbringen der CE-Kennzeichnung. Die Konformitätserklärung ist zehn Jahre nach dem Inverkehrbringen aufzubewahren. Hersteller haben dabei Änderungen am Entwicklungs- und Herstellungsverfahren oder an der Konzeption oder den Merkmalen des Produkts in angemessener Weise zu berücksichtigen. Gleiches gilt für Änderungen der harmonisierten Normen, der europäischen Systeme für die Cybersicherheitszertifizierung oder gemeinsamet Spezifikationen, die bei der Erklärung der Konformität des Produkts zugrunde gelegt oder bei der Überprüfung seiner Konformität angewandt wurden. Durch geeignete Verfahren ist sicherzustellen, dass die Konformität bei Produkten in Serienherstellung sichergestellt bleibt. Die Konformitätserklärung ist entweder dem Produkt beizufügen oder aber im Internet zu veröffentlichen. Die Internetadresse ist in einem solchen Fall in den Anleitungen und Informationen anzugeben.
Kooperations- und Informationspflichten:
Auf begründetes Verlangen hat der Hersteller der Marktüberwachungsbehörde in einer für die Behörde leicht verständlichen Sprache Informationen und Unterlagen für den Nachweis der Konformität des Produktes zu übermitteln. Dies bezieht sich sowohl auf die grundlegenden Sicherheitsanforderungen und die grundlegende Schwachstellenbehandlungen (Anhang I). Auf Verlangen ist mit der Marktüberwachungsbehörde zusammenzuarbeiten, um Maßnahmen zur Abwendung von Cybersicherheitsrisiken für in Verkehr gebrachte Produkte zu treffen.
Sollten Sie ihre Betriebstätigkeit einstellen und infolgedessen nicht in der Lage sein, die Pflichten dieser Verordnung zu erfüllen ist die Marktüberwachungsbehörde zu informieren. Außerdem sind mit allen verfügbaren Mitteln (soweit möglich) die Nutzer zu informieren. Beides ist vor dem Wirksamwerden der Betriebseinstellung zu tun.
Meldepflicht bei Breaches:
Bei Kenntnis von aktiv ausgenutzten Schwachstellen des Produktes, ist die ENISA unverzüglich, jedenfalls aber innerhalb 24 Stunden von darüber zu informieren. Darin enthalten sind Einzelheiten der Schwachstelle, sowie ergriffene Korrektur- und Minderungsmaßnahmen.
Gleiches gilt bei anderen Vorfällen, welche sich auf die Sicherheit des Produktes auswirken. Dabei beinhaltet die Meldung abweichend jedoch die Schwere und die Auswirkungen des Vorfalls sowie Angaben, ob Verdacht besteht, dass der Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde. Außerdem, ob der Hersteller von grenzüberschreitenden Auswirkungen ausgeht.
Die Meldepflicht dehnt sich auch auf Nutzer aus, sobald der Hersteller Kenntnis über diesen erlangt hat. In diesem Fall muss er Informationen über den Vorfall und erforderlichenfalls über Korrekturmaßnahmen, die der Nutzer ergreifen kann, um die Auswirkungen des Vorfalls zu mindern bereitstellen.
Sollte die Schwachstelle in einer integrierten Komponente (einsch. Open-Source) festgestellt werden, so meldet er diese Schwachstelle der Person oder Einrichtung, welche diese Komponente wartet.
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge IT-Sicherheit
ITS-Couch
Ratgeber IT-Sicherheit
IT-Sicherheitstools
Interaktive Listen
Zertifikate IT-Sicherheit
