CRA-Leitfaden für Softwareentwickler
Wie die Cyberresilienz-Verordnung auf Softwareprodukte anzuwenden ist; von der sicheren Entwicklung über die Schwachstellenbehandlung und SBOMs bis hin zur CE-Kennzeichnung.
Schritte zur Konformität
Anwendungsbereich und Klasse bestätigen
Art. 2 · 6Die meiste Software, die mit einer Datenverbindung auf dem EU-Markt in Verkehr gebracht wird, fällt in den Anwendungsbereich, und viele Entwicklerwerkzeuge gehören zur Kategorie der „wichtigen“ Produkte nach Anhang III.
- ✓Führen Sie den CRA Fast Check durch, um den Anwendungsbereich zu bestätigen
- ✓Stellen Sie fest, ob Ihr Produkt ein Standardprodukt, ein wichtiges oder ein kritisches Produkt ist
- ✓Halten Sie die Begründung in Ihrer Dokumentation fest
Sicherheit von Grund auf einbauen
Annex I · IGestalten und entwickeln Sie das Produkt so, dass es die grundlegenden Sicherheitseigenschaften über seinen gesamten Lebenszyklus hinweg erfüllt.
- ✓Lieferung mit sicherer Standardkonfiguration
- ✓Authentifizierung und Zugriffskontrollen umsetzen
- ✓Schützen Sie Daten durch Verschlüsselung bei der Übertragung und im Ruhezustand
- ✓Die Angriffsfläche und die offengelegten Schnittstellen minimieren
Debug-Schnittstellen, Standardanmeldedaten oder ausführliche Fehlerausgaben in Produktions-Builds aktiviert zu lassen.
Richten Sie die Schwachstellenbehandlung ein
Annex I · IIBetreiben Sie über den gesamten Unterstützungszeitraum hinweg einen dokumentierten Prozess zum Auffinden, Beheben und Offenlegen von Schwachstellen.
- ✓Veröffentlichen Sie eine Richtlinie zur koordinierten Offenlegung von Schwachstellen
- ✓Stellen Sie eine Kontaktstelle für die Meldung von Problemen bereit
- ✓Schwachstellen ohne unangemessene Verzögerung beheben
- ✓Behobene Schwachstellen offenlegen, sobald ein Update verfügbar ist
Eine Softwarestückliste (SBOM) führen
Anhang I · II(1)Eine aktuelle SBOM führen, die mindestens die obersten Abhängigkeiten Ihres Produkts abdeckt.
- ✓Erstellen Sie eine SBOM in einem maschinenlesbaren Format
- ✓Komponenten und ihre bekannten Schwachstellen verfolgen
- ✓Mit jeder Veröffentlichung aktuell halten
Stellen Sie kostenlose, zeitnahe Sicherheitsupdates bereit
Annex I · I(2)Stellen Sie Sicherheitsupdates getrennt von Funktionsupdates, kostenlos und für den angegebenen Unterstützungszeitraum bereit.
- ✓Den Unterstützungszeitraum festlegen und veröffentlichen
- ✓Sicherheitsupdates zeitnah bereitstellen
- ✓Patches über einen sicheren Mechanismus verteilen
Technische Dokumentation zusammenstellen
Anhang VIIStellen Sie die Dokumentation zusammen, die die Konformität nachweist, und halten Sie sie für die Marktüberwachung bereit.
- ✓Produktbeschreibung und Verwendungszweck
- ✓Cybersicherheits-Risikobewertung
- ✓Aufzeichnungen über die angewandten Normen
Konformität bewerten und CE anbringen
Art. 32 · 36Durchlaufen Sie den für Ihre Klasse geltenden Weg der Konformitätsbewertung und vervollständigen Sie die EU-Konformitätserklärung.
- ✓Selbstbewertung (Standard) oder Einschaltung einer notifizierten Stelle (wichtig/kritisch)
- ✓Erstellen und unterzeichnen Sie die EU-Konformitätserklärung
- ✓Bringen Sie die CE-Kennzeichnung an
Meldepflichten erfüllen und das Produkt pflegen
Art. 13(8) · 14Ab September 2026 müssen Sie aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden und das Produkt während seines gesamten Unterstützungszeitraums weiter pflegen.
- ✓Übermitteln Sie der ENISA und dem CSIRT innerhalb von 24 Stunden eine Frühwarnung
- ✓Lassen Sie eine Meldung und einen Abschlussbericht folgen
- ✓Betroffene Nutzer informieren, sofern angebracht
Der Unterstützungszeitraum muss mindestens fünf Jahre betragen (oder die erwartete Lebensdauer des Produkts, falls länger), gerechnet ab dem Inverkehrbringen auf dem EU-Markt. Während dieser Zeit müssen Sie Schwachstellen behandeln und kostenlose Sicherheitsupdates bereitstellen; jedes Update muss anschließend 10 Jahre lang verfügbar bleiben, und die technischen Unterlagen sowie die EU-Konformitätserklärung müssen 10 Jahre lang aufbewahrt werden.
Jedes Werkzeug unten ist kostenlos nutzbar und öffnet sich hier in einem Seitenbereich, damit Sie nicht Ihre Stelle verlieren.
Klären Sie, ob die Verordnung anwendbar ist und welche Klasse für Sie wahrscheinlich gilt.
Hier öffnen →KostenlosKonformitätsmatrixOrdnen Sie jede Pflicht aus Anhang I und VII zu und verfolgen Sie sie bis zur Erledigung.
Hier öffnen →KostenlosKostenrechnerSchätzen Sie die einmaligen und jährlichen Kosten der Konformität ab.
Hier öffnen →KostenlosVulnerability AnalyzerGleichen Sie Ihre SBOM mit der NVD und der EUVD ab und behalten Sie End-of-Life-Komponenten im Blick.
Hier öffnen →KostenlosDoC-GeneratorErstellen Sie eine EU-Konformitätserklärung (Anhang V) für Ihr Produkt.
Hier öffnen →KostenlosKlassifizierungsfinderStellen Sie namentlich fest, ob Ihr Produkt zur Standardkategorie zählt oder als wichtig oder kritisch gilt.
Hier öffnen →KostenlosPlaner für den UnterstützungszeitraumLegen Sie Ihren Mindest-Unterstützungszeitraum fest und kennzeichnen Sie Komponenten, die zu früh das Ende ihrer Lebensdauer erreichen.
Hier öffnen →Weitere Leitfäden für Beteiligte
Hersteller
Die Pflichten, die die Cyberresilienz-Verordnung den Herstellern von Produkten mit digitalen Elementen auferlegt; von der Risikobewertung über die CE-Kennzeichnung bis hin zu den Pflichten nach dem Inverkehrbringen.
Einführer und Händler
Was Wirtschaftsakteure prüfen müssen, bevor; und nachdem; sie ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellen.
So erhalten Sie eine CE-Kennzeichnung
Die Schritte zur Erklärung der Konformität und zum Anbringen der CE-Kennzeichnung für ein Produkt mit digitalen Elementen.