Unabhängiger Leitfaden zur Verordnung (EU) 2024/2847 · Status: in Kraft
Diese Seite ist eine automatische (KI-)Übersetzung und wurde nicht von einer Person geprüft.
Tools · Checkliste für Hersteller

Konformitätsmatrix

Jede Pflicht für Hersteller von Produkten mit digitalen Elementen, über den gesamten Produktlebenszyklus mit ihrem Artikelverweis dargestellt. Arbeiten Sie sie durch und verfolgen Sie Ihren Fortschritt; die gesamte Checkliste ist kostenlos einsehbar. Der Fortschritt wird in diesem Browser gespeichert.

0% abgeschlossen0 / 40 Einträge
Drucken
Standard · route

Standardprodukte dürfen die interne Kontrolle nach Modul A anwenden. Eine notifizierte Stelle ist nicht erforderlich, doch müssen die vollständigen technischen Unterlagen und die DoC dennoch vorliegen.

1 · Grundlagen

Grundlagen auf Unternehmensebene

0 / 4

Organisatorische Anforderungen, die erfüllt sein müssen, bevor produktspezifische Arbeiten beginnen.

Dokumentierter Security Development LifecycleEinen dokumentierten SDL führen, der Phasen, Rollen und Verantwortlichkeiten festlegt. Eine externe Zertifizierung (IEC 62443-4-1, ISO/IEC 27001) ist optional, begründet jedoch eine Konformitätsvermutung.
Art. 13(1) · Anhang IAusstehend
Nachweis der Konformität mit dem SDLLiegt keine externe Zertifizierung vor, bewahren Sie dokumentierte Nachweise der internen Konformität mit dem SDL auf.
Anhang I · Teil IAusstehend
SDL deckt Secure-by-Design und Secure-by-Default abNEUDer SDL muss ausdrücklich darlegen, wie das Produkt seine Angriffsfläche ohne Konfiguration durch den Endnutzer minimiert.
Anhang I · I(2)(3)Ausstehend
EU-Bevollmächtigter (Hersteller außerhalb der EU)NEUHersteller außerhalb der EU müssen durch schriftliches Mandat einen in der EU niedergelassenen Bevollmächtigten benennen, der in der technischen Dokumentation und in der DoC aufgeführt wird.
Art. 19Ausstehend
2 · Vor der Entwicklung

Bevor die Entwicklung beginnt

0 / 9

Klassifizierung, Risikobewertung und technische Voraussetzungen legen den Rahmen für alles Weitere fest.

Die Produktklassifizierung bestimmenNEUTOOL VERFÜGBARStellen Sie fest, ob es sich um ein Standardprodukt, ein wichtiges Produkt der Klasse I/II oder ein kritisches Produkt handelt (Anhänge III und IV). Die Einstufung bestimmt das Konformitätsbewertungsverfahren.
Anhang III/IVAusstehend
Bestimmen Sie das KonformitätsbewertungsverfahrenNEUStandard: Selbstbewertung nach Modul A. Wichtig Klasse I: Modul A mit einer harmonisierten Norm, andernfalls B+C oder H. Wichtig Klasse II und kritisch: stets über eine notifizierte Stelle. Vorlaufzeiten von 4–10 Monaten sind üblich.
Art. 32 · Anhang VIIIAusstehend
Produktspezifische Cybersicherheits-RisikobewertungFühren Sie vor der Entwicklung eine Risikobewertung durch. Bewahren Sie alle Versionen auf; die anfängliche Version vor der Entwicklung ist Teil der technischen Dokumentation.
Anhang I · I(1)Ausstehend
BedrohungsmodellierungNEUErmitteln Sie die Angriffsfläche, Bedrohungsakteure, Angriffsvektoren und die daraus resultierenden Sicherheitsanforderungen. Dokumentieren Sie die verwendete Methodik.
Anhang I · I(1)Ausstehend
Richtlinie für Komponenten von Drittanbietern und Open-Source-KomponentenNEUTOOL VERFÜGBARLegen Sie fest, wie Komponenten von Drittanbietern und Open-Source-Komponenten ausgewählt, bewertet und freigegeben werden, einschließlich Mindestanforderungen an EOL und an die Reaktion auf Schwachstellen.
Anhang I · Teil IIAusstehend
EOL-Prüfung für Werkzeuge und AbhängigkeitenTOOL VERFÜGBARPrüfen Sie das End-of-Life-Datum aller wichtigen Tools, Kernel, Datenbanken und Bibliotheken. Vermeiden Sie Komponenten, deren EOL in den Unterstützungszeitraum des Produkts fällt.
Anhang I · Teil IIAusstehend
Machbarkeit der SpeicherverschlüsselungBestätigen Sie, dass die Zielhardware die Verschlüsselung ruhender Daten unterstützt; eine zwingende Anforderung, die einen Hardwarewechsel erforderlich machen kann.
Anhang I · I(4)(e)Ausstehend
Design mit minimaler AngriffsflächeNEUPlanen Sie, jede Schnittstelle, jeden Dienst, jeden Port und jedes Protokoll, das für die vorgesehene Funktion nicht erforderlich ist, standardmäßig zu entfernen oder zu deaktivieren.
Anhang I · I(2)(b)Ausstehend
Richtlinie für StandardzugangsdatenNEULiefern Sie das Produkt ohne Standardpasswörter aus oder zwingen Sie den Nutzer, bei der ersten Verwendung eindeutige Zugangsdaten festzulegen.
Anhang I · I(2)(c)Ausstehend
3 · Entwicklung

Während der Entwicklung

0 / 5

Sichere Programmierung, Tests und der Update-Mechanismus, über den gesamten Entwicklungsprozess hinweg nachgewiesen.

Auf Cybersicherheit ausgerichteter TestplanTestfälle für Authentifizierung, Zugriffskontrolle, Eingabevalidierung, Verschlüsselung und Fehlerbehandlung. Dokumentiert und in den technischen Unterlagen aufbewahrt.
Anhang I · I(1)Ausstehend
Nachweis der SDL-KonformitätWeisen Sie anhand dokumentierter Nachweise nach, dass der SDL in jeder Phase eingehalten wurde.
Anhang I · Teil IAusstehend
Penetrationstests / SchwachstellenbewertungNEUFühren Sie vor der Freigabe Sicherheitstests am Produkt oder an einem repräsentativen Build durch.
Anhang I · I(1)Ausstehend
Sicherer Software-AktualisierungsmechanismusNEUEin authentifizierter, integritätsgeprüfter Aktualisierungsmechanismus, der vom Gerät vor der Installation überprüft werden kann und nach Möglichkeit automatisch erfolgt.
Anhang I · I(2)(f)Ausstehend
DatenminimierungNEUErheben, verarbeiten und speichern Sie nur die Daten, die für die vorgesehene Funktion unbedingt erforderlich sind.
Anhang I · I(4)(f)Ausstehend
4 · Vor der Veröffentlichung

Vor der Produktveröffentlichung

0 / 12

SBOM, Netzwerk-Audit, EOL, Konformitätsbewertung, CE-Kennzeichnung und technische Unterlagen.

SBOM erstellt und auf Schwachstellen geprüftTOOL VERFÜGBARErstellen Sie eine SBOM, die mindestens alle direkten Abhängigkeiten abdeckt, und prüfen Sie, dass keine Komponente eine bekannte, bereits behobene Schwachstelle aufweist. Die Aufnahme eines bereits geschlossenen CVE ist ein direkter Verstoß.
Anhang I · II(1)Ausstehend
SBOM in maschinenlesbarem FormatNEUTOOL VERFÜGBARSpeichern Sie die SBOM als SPDX oder CycloneDX (JSON/XML). PDF kann als nicht maschinenlesbar abgelehnt werden.
Anhang I · Teil IIAusstehend
Liste der eingehenden VerbindungenJede eingehende Verbindung und jeden offenen Port auflisten und einzeln begründen; alles Nicht-Erforderliche standardmäßig entfernen oder deaktivieren.
Anhang I · I(2)(b)Ausstehend
Liste der ausgehenden VerbindungenPrüfen und begründen Sie alle ausgehenden Verbindungen, einschließlich derer aus dem Betriebssystem, Drittanbieter-Bibliotheken und Telemetrie.
Anhang I · Teil IAusstehend
Das Produktende (EOL) erklärenTOOL VERFÜGBARBerechnen und erklären Sie das EOL; es darf das EOL der wichtigsten Abhängigkeiten nicht überschreiten. Mindestens 5 Jahre Unterstützungszeitraum, sofern die erwartete Nutzungsdauer nicht kürzer ist.
Art. 13(8)Ausstehend
Schließen Sie die Konformitätsbewertung abNEUFühren Sie das anwendbare Verfahren durch (Module A oder B+C / H / notifizierte Stelle) und dokumentieren Sie es, bevor Sie die CE-Kennzeichnung anbringen.
Art. 32Ausstehend
Erstellen Sie die EU-KonformitätserklärungNEUTOOL VERFÜGBAREntwerfen und unterzeichnen Sie die DoC gemäß Anhang V mit Verweis auf die Verordnung, das Produkt und das Bewertungsverfahren. Halten Sie sie 10 Jahre lang verfügbar.
Art. 28 · Anhang VAusstehend
Bringen Sie die CE-Kennzeichnung anNEUBringen Sie eine sichtbare, lesbare und dauerhafte CE-Kennzeichnung an. Ohne CE-Kennzeichnung kein EU-Markt ab dem 11. Dez. 2027.
Art. 30Ausstehend
Technische Unterlagen zusammenstellenNEUStellen Sie das Anhang-VII-Paket zusammen: Beschreibung, Risikobewertung, SDL-Nachweise, Testergebnisse, SBOM, Verbindungsprüfungen, DoC und EOL-Erklärung.
Art. 31 · Anhang VIIAusstehend
Aufbewahrungsplan über 10 JahreNEUArchivieren Sie die gesamte technische Dokumentation, einschließlich jeder SBOM-Version, mindestens 10 Jahre ab dem ersten Inverkehrbringen.
Art. 31(3)Ausstehend
Nutzerseitige DokumentationNEUInformieren Sie über die vorgesehene Verwendung, die Cybersicherheitseigenschaften, die sichere Konfiguration, das erklärte EOL und die Meldung von Schwachstellen.
Anhang II · Art. 13(18)Ausstehend
Kontakt für die Schwachstellenoffenlegung veröffentlichtNEUVeröffentlichen Sie eine einzige, aktiv überwachte Kontaktstelle für die Meldung von Schwachstellen.
Art. 13(5)Ausstehend
5 · Nach der Veröffentlichung

Nach der Produktfreigabe

0 / 10

Laufende Überwachung, die Meldefristen nach Artikel 14 und die Update-Pflichten über den gesamten Unterstützungszeitraum.

Risikobewertung bei wesentlichen Änderungen aktualisierenFühren Sie eine erneute Bewertung durch, wenn eine wesentliche Produktänderung, eine erhebliche neue Bedrohung oder eine ausgenutzte Schwachstelle festgestellt wird; dokumentieren Sie den Auslöser und das Ergebnis.
Anhang I · I(1)Ausstehend
Automatisierte SBOM-SchwachstellenüberwachungTOOL VERFÜGBARSetzen Sie Werkzeuge ein, die SBOM-Komponenten gegen Live-Datenquellen (NVD, EUVD, OSV) so häufig überwachen, dass die 24-Stunden-Meldefrist eingehalten wird. Eine manuelle Überwachung reicht nicht aus.
Art. 14Ausstehend
Erste Schwachstellenmeldung innerhalb von 24 StundenNEUSobald Sie von einer aktiv ausgenutzten Schwachstelle Kenntnis erlangen, reichen Sie innerhalb von 24 Stunden über die zentrale Meldeplattform von ENISA einen ersten Bericht ein. Gilt ab dem 11. Sep. 2026.
Art. 14(2)Ausstehend
Technischer Bericht innerhalb von 72 StundenNEUÜbermitteln Sie der ENISA und dem nationalen CSIRT innerhalb von 72 Stunden einen ausführlichen technischen Bericht, einschließlich Schweregrad und etwaiger Gegenmaßnahmen.
Art. 14(3)Ausstehend
Abschlussbericht innerhalb von 14 Tagen nach BehebungNEUÜbermitteln Sie spätestens 14 Tage nach Bereitstellung eines Sicherheitsupdates oder einer Behelfslösung einen Abschlussbericht.
Art. 14(4)Ausstehend
Meldung schwerwiegender VorfälleNEUSchwerwiegende Vorfälle, die die Produktsicherheit beeinträchtigen, innerhalb derselben Frist von 24/72 Stunden melden.
Art. 14(2)Ausstehend
Automatisches Update für Schwachstellen in Drittanbieter-KomponentenEin automatisches Update-System bereithalten, das Schwachstellen in Komponenten von Drittanbietern beheben kann. Eine Behebung innerhalb von 24 Stunden befreit von der Meldepflicht, nicht von der Behebung.
Art. 14(2)(a)Ausstehend
Kostenlose SicherheitsupdatesNEUStellen Sie alle Sicherheitsupdates für die Dauer des Unterstützungszeitraums kostenlos bereit.
Art. 13(9)Ausstehend
Vorankündigung des End-of-LifeNEUInformieren Sie die Nutzer nach Möglichkeit mindestens 12 Monate vor dem letzten Sicherheitsupdate.
Art. 13(8)Ausstehend
Korrekturmaßnahmen für nicht konforme ProdukteNEUNicht konforme Produkte beheben, vom Markt nehmen oder zurückrufen und die Marktüberwachung benachrichtigen. Untätigkeit stellt selbst einen Verstoß dar.
Art. 13(14)Ausstehend
Ende der Checkliste · alle 40 oben angezeigte Einträge
Export (optional)

Exportieren Sie Ihre Matrix mit Ihrem aktuellen Fortschritt

Alles oben ist kostenlos lesbar und druckbar. Um die Checkliste und Ihren aktuellen Status als Tabelle oder PDF herunterzuladen, hinterlassen Sie eine E-Mail-Adresse, und wir nehmen Sie in den CRA-Newsletter auf.

Wir nehmen Sie in den CRA-Newsletter auf. Jederzeit abbestellbar. Kein Spam. Siehe unsere Datenschutzerklärung.