Source: OJ L 2024/2847, 20.11.2024Current language: DE
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Anhang VII INHALT DER TECHNISCHEN DOKUMENTATION
Die in Artikel 31 genannte technische Dokumentation muss mindestens die folgenden Informationen enthalten, soweit sie für das betreffende Produkt mit digitalen Elementen von Bedeutung sind:
eine allgemeine Beschreibung des Produkts mit digitalen Elementen, einschließlich
seiner Zweckbestimmung,
Softwareversionen, die sich auf die Erfüllung der grundlegenden Cybersicherheitsanforderungen auswirken,
wenn es sich bei dem Produkt mit digitalen Elementen um ein Hardwareprodukt handelt: Fotografien oder Abbildungen, aus denen äußere Merkmale, Kennzeichnungen und innerer Aufbau hervorgehen;
Informationen und Anleitungen für die Nutzer gemäß Anhang II;
eine Beschreibung der Konzeption, Entwicklung und Herstellung des Produkts mit digitalen Elementen und der Verfahren zur Behandlung von Schwachstellen, einschließlich
erforderlicher Informationen über die Konzeption und Entwicklung des Produkts mit digitalen Elementen, gegebenenfalls mit Zeichnungen und Schemata und/oder einer Beschreibung der Systemarchitektur, aus der hervorgeht, wie Softwarekomponenten aufeinander aufbauen, miteinander zusammenwirken und sich in die Gesamtverarbeitung integrieren;
erforderlicher Informationen und Spezifikationen bezüglich der vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen, einschließlich der Software-Stückliste, des Konzepts für die koordinierte Offenlegung von Schwachstellen, des Nachweises der Bereitstellung einer Kontaktadresse für die Meldung der Schwachstellen und einer Beschreibung der gewählten technischen Lösungen für die sichere Verbreitung von Aktualisierungen;
erforderlicher Informationen und Spezifikationen bezüglich der Herstellungs- und Überwachungsprozesse des Produkts mit digitalen Elementen und der Validierung dieser Prozesse;
eine Bewertung der Cybersicherheitsrisiken, die bei der Konzeption, Entwicklung, Herstellung, Lieferung und Wartung des Produkts mit digitalen Elementen nach Artikel 13 berücksichtigt werden, einschließlich der Frage, inwieweit die grundlegenden Cybersicherheitsanforderungen gemäß Anhang I Teil I Anwendung finden;
einschlägige Informationen, die bei der Festlegung des Unterstützungszeitraums gemäß Artikel 13 Absatz 8 des Produkts mit digitalen Elementen berücksichtigt wurden;
eine Aufstellung der vollständig oder teilweise angewandten harmonisierten Normen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, der in Artikel 27 dieser Verordnung genannten gemeinsamen Spezifikationen oder der in Artikel 27 Absatz 8 dieser Verordnung genannten europäischen Schemata für die Cybersicherheitszertifizierung, angenommen gemäß der Verordnung (EU) 2019/881, und, falls keine solchen harmonisierten Normen, gemeinsamen Spezifikationen und europäischen Schemata für die Cybersicherheitszertifizierung angewandt werden, Beschreibungen der Lösungen, mit denen die grundlegenden Cybersicherheitsanforderungen in Anhang I Teile I und II erfüllt werden, mit einer Aufstellung sonstiger angewandter einschlägiger technischer Spezifikationen. Bei einer teilweisen Anwendung harmonisierter Normen, gemeinsamer Spezifikationen oder europäischer Schemata für die Cybersicherheitszertifizierung ist in der technischen Dokumentation anzugeben, welche Teile angewandt wurden;
Berichte über die Tests und Prüfungen, die durchgeführt wurden, um die Konformität des Produkts mit digitalen Elementen und der Verfahren zur Behandlung von Schwachstellen mit den geltenden grundlegenden Cybersicherheitsanforderungen in Anhang I Teile I und II zu überprüfen;
ein Exemplar der EU-Konformitätserklärung;
gegebenenfalls auf begründetes Verlangen der Marktüberwachungsbehörde die Software-Stückliste, sofern dies erforderlich ist, damit diese Behörde die Einhaltung der grundlegenden Cybersicherheitsanforderungen in Anhang I überprüfen kann.
Relevant recitals
Erwägungsgrund 43 Important products
Produkte mit digitalen Elementen sollten als wichtig betrachtet werden, wenn die negativen Auswirkungen der Ausnutzung potenzieller Cybersicherheitslücken in dem Produkt schwerwiegend sein können, unter anderem aufgrund seiner Cybersicherheitsfunktion oder einer Funktion, die ein beträchtliches Risiko nachteiliger Auswirkungen birgt, was ihre Tragweite und ihre Möglichkeit anbelangt, eine große Zahl anderer Produkte mit digitalen Elementen zu stören, zu kontrollieren oder zu schädigen oder die Gesundheit, die Sicherheit oder die Unversehrtheit ihrer Nutzer zu beeinträchtigen, indem sie direkt manipuliert wird, wie etwa eine zentrale Systemfunktion, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten. Insbesondere können Schwachstellen in Produkten mit digitalen Elementen, die eine Cybersicherheitsfunktion haben, wie z. B. Bootmanager, zu einer Ausbreitung von Sicherheitsproblemen in der gesamten Lieferkette führen. Die Schwere der Auswirkungen eines Sicherheitsvorfalls kann auch zunehmen, wenn das Produkt in erster Linie eine zentrale Systemfunktion ausübt, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten.
Erwägungsgrund 44 Class I and II of important products
Bestimmte Kategorien von Produkten mit digitalen Elementen sollten strengeren Konformitätsbewertungsverfahren unterliegen, wobei die Verhältnismäßigkeit gewahrt werden sollte. Zu diesem Zweck sollten wichtige Produkte mit digitalen Elementen in zwei Klassen unterteilt werden, die das mit diesen Produktkategorien verbundene Cybersicherheitsrisiko widerspiegeln. Ein Sicherheitsvorfall mit wichtigen Produkten mit digitalen Elementen, die in Klasse II fallen, könnte größere negative Auswirkungen haben als ein Sicherheitsvorfall mit wichtigen Produkten mit digitalen Elementen, die in Klasse I fallen, beispielsweise wegen der Art ihrer Cybersicherheitsfunktion oder der Ausübung einer anderen Funktion, die ein erhebliches Risiko nachteiliger Auswirkungen birgt. Ein Anhaltspunkt für größere negative Auswirkungen könnte es sein, dass Produkte mit digitalen Elementen, die in Klasse II fallen, entweder eine Cybersicherheitsfunktion übernehmen oder eine andere Funktion, die mit einem höheren Risiko schädlicher Auswirkungen als bei Produkten in Klasse I verbunden ist, oder beide genannten Kriterien erfüllen. Wichtige Produkte mit digitalen Elementen, die in Klasse II fallen, sollten daher einem strengeren Konformitätsbewertungsverfahren unterzogen werden.
Erwägungsgrund 76 Vulnerability disclosure policy and bug bounty programmes
Die Hersteller von Produkten mit digitalen Elementen sollten Konzepte für die koordinierte Offenlegung von Schwachstellen einführen, um das Melden von Schwachstellen durch natürliche oder juristische Personen entweder direkt an den Hersteller oder indirekt und auf Wunsch anonym über die CSIRTs zu erleichtern, die gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 als Koordinatoren für die Zwecke der koordinierten Offenlegung von Schwachstellen benannt werden. Das Konzept der Hersteller für die koordinierte Offenlegung von Schwachstellen sollte einen strukturierten Prozess vorsehen, in dem Schwachstellen dem Hersteller in einer Weise gemeldet werden, die dem Hersteller die Diagnose und Behebung solcher Schwachstellen ermöglicht, bevor detaillierte Informationen über die Schwachstelle an Dritte oder die Öffentlichkeit weitergegeben werden. Darüber hinaus sollten die Hersteller auch in Erwägung ziehen, ihre Sicherheitskonzepte in maschinenlesbarem Format zu veröffentlichen. Angesichts dessen, dass mit Informationen über ausnutzbare Schwachstellen in weitverbreiteten Produkten mit digitalen Elementen auf dem Schwarzmarkt hohe Preisen zu erzielen sind, sollten die Hersteller solcher Produkte in der Lage sein, im Rahmen ihrer Konzepte für die koordinierte Offenlegung von Schwachstellen Programme durchzuführen, mit denen sie Anreize für das Melden von Schwachstellen schaffen, indem sie dafür sorgen, dass natürliche oder juristische Personen Anerkennung und Belohnung für ihre Bemühungen erhalten. Hierbei handelt es sich um sogenannte „Bug-Bounty-Programme“.
Erwägungsgrund 77 Software bill of materials
Zur Erleichterung der Schwachstellenanalyse sollten die Hersteller feststellen und dokumentieren, welche Komponenten in den Produkten mit digitalen Elementen enthalten sind, und dazu gegebenenfalls eine Software-Stückliste aufstellen. Über eine Software-Stückliste können denjenigen, die Software herstellen, kaufen und betreiben, Informationen bereitgestellt werden, die ihnen helfen, die Lieferkette besser zu verstehen, was zahlreiche Vorteile mit sich bringt und insbesondere Herstellern und Nutzern hilft, bekannte neu aufgetretene Schwachstellen und Cybersicherheitsrisiken zu verfolgen. Besonders wichtig ist es, dass die Hersteller sicherstellen, dass ihre Produkte mit digitalen Elementen keine anfälligen Komponenten enthalten, die von Dritten entwickelt wurden. Die Hersteller sollten nicht verpflichtet sein, die Software-Stückliste zu veröffentlichen.
Erwägungsgrund 93 Simplified technical documentation
In Bezug auf Kleinstunternehmen und kleine Unternehmen ist es zur Sicherstellung von Verhältnismäßigkeit angezeigt, die Verwaltungskosten zu senken, ohne das Maß an Cybersicherheit von Produkten mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen, oder das Vorliegen gleicher Wettbewerbsbedingungen zwischen den Herstellern zu beeinträchtigen. Daher sollte die Kommission ein vereinfachtes Formular für die technische Dokumentation erstellen, das auf die Bedürfnisse von Kleinst- und Kleinunternehmen zugeschnitten ist. Das von der Kommission angenommene vereinfachte Formular für die technische Dokumentation sollte alle anwendbaren Elemente im Zusammenhang mit der technischen Dokumentation gemäß dieser Verordnung abdecken und angeben, wie ein Kleinstunternehmen oder kleines Unternehmen die angeforderten Elemente in knapper Form bereitstellen kann, beispielsweise die Beschreibung der Gestaltung, Entwicklung und Herstellung des Produkts mit digitalen Elementen. Auf diese Weise würde das Formular dazu beitragen, die Verwaltungslast für die Einhaltung der Vorschriften zu verringern, indem den betroffenen Unternehmen Rechtssicherheit hinsichtlich des Umfangs und der Einzelheiten der bereitzustellenden Informationen geboten wird. Kleinstunternehmen und kleine Unternehmen sollten die Option haben, die anwendbaren Elemente im Zusammenhang mit der technischen Dokumentation in umfassender Form vorzulegen und das ihnen zur Verfügung stehende vereinfachte technische Formular nicht zu verwenden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.