Neue BSI Informationen und Empfehlungen

Neue BSI Informationen und Empfehlungen

Einordnung: Warum das BSI beim CRA eine Schlüsselrolle spielt

Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) schafft die Europäische Union erstmals verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden.
In Deutschland kommt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle zu: Es unterstützt Hersteller, Importeure und weitere Wirtschaftsakteure mit konkreten Informationen, technischen Leitlinien und Umsetzungsempfehlungen, um die abstrakten Vorgaben der Verordnung praxisnah operationalisierbar zu machen.

Das BSI agiert dabei nicht als zusätzliche Aufsichtsinstanz, sondern als fachliche Orientierungs- und Standardisierungsstelle, insbesondere an der Schnittstelle zwischen Regulierung, Normung und technischer Umsetzung.

Zielrichtung der BSI-Informationen

Die BSI-Informationen verfolgen drei klare Ziele:

  1. Konkretisierung der CRA-Anforderungen
    Übersetzung der rechtlichen Pflichten aus Artikeln und Anhängen des CRA in technisch und organisatorisch umsetzbare Anforderungen.
  2. Unterstützung der Herstellerpraxis
    Hilfestellung für Produktentwicklung, Konformitätsbewertung, technische Dokumentation und Schwachstellenmanagement.
  3. Förderung von Security by Design & Security by Default
    Stärkung präventiver Sicherheitskonzepte entlang des gesamten Produktlebenszyklus.

Technische Richtlinien des BSI zum CRA

Um die CRA-Anforderungen greifbar zu machen, erarbeitet das BSI eine mehrteilige Technische Richtlinie, die sich explizit an Hersteller von Produkten mit digitalen Elementen richtet.

Teil 1: General requirements

Dieser Teil bündelt die grundlegenden Anforderungen an Cyberresilienz, abgeleitet aus den Artikeln und Anhängen des CRA.
Behandelt werden unter anderem:

  • Secure by Design (sichere Architektur, minimale Angriffsfläche)
  • Secure by Default (sichere Standardeinstellungen, keine schwachen Default-Passwörter)
  • Kryptographischer Schutz von Daten
  • Zugriffskontrollen und Authentisierung
  • Sichere Update-Mechanismen
  • Dokumentationspflichten und Nachweisführung

Teil 2: Software Bill of Materials (SBOM)

Der CRA verpflichtet Hersteller zur Erstellung einer SBOM.
Das BSI konkretisiert hierzu:

  • formale Anforderungen an Aufbau und Inhalt
  • empfohlene Datenformate
  • Mindestangaben zu Bibliotheken, Abhängigkeiten und Versionen
  • Nutzung der SBOM für Schwachstellenmanagement und Risikoanalysen

Wichtig: Die SBOM muss erstellt, aber nicht veröffentlicht werden.

Teil 3: Schwachstellenmeldungen

Dieser Teil beschreibt den strukturierten Umgang mit:

  • eingehenden Schwachstellenmeldungen
  • aktiv ausgenutzten Schwachstellen
  • schwerwiegenden Sicherheitsvorfällen

Er adressiert insbesondere die Meldepflichten gegenüber der zentralen ENISA-Meldeplattform und die organisatorischen Prozesse, die Hersteller hierfür vorhalten müssen.

Empfehlungen zur Produktentwicklung: Sicherheit von Anfang an

Das BSI betont in seinen Empfehlungen, dass CRA-Compliance kein reines Nachweis- oder Dokumentationsprojekt ist, sondern tief in der Produktentwicklung verankert sein muss.

Kernempfehlungen sind:

  • frühzeitige Risikobewertung bereits in der Konzeptionsphase
  • Integration von Security-Tests in Entwicklungs- und CI/CD-Prozesse
  • systematische Behandlung von Schwachstellen über den gesamten Lebenszyklus
  • klare Definition und Kommunikation des Supportzeitraums (regelmäßig mindestens fünf Jahre)

Unterstützung für KMU und Start-ups

Ein zentraler Aspekt der BSI-Informationen ist die Unterstützung kleiner und mittlerer Unternehmen. Der CRA sieht ausdrücklich Erleichterungen vor, die vom BSI flankiert werden, darunter:

  • vereinfachte technische Dokumentation
  • praxisnahe Leitfäden und Info-Flyer
  • Helpdesks zur Unterstützung bei Meldepflichten
  • Nutzung von Regulatory Sandboxes zur kontrollierten Produktprüfung

Ziel ist es, regulatorische Anforderungen verhältnismäßig und innovationsfreundlich umzusetzen.

Normen und Standardisierung als Umsetzungsinstrument

Das BSI wirkt aktiv an der Entwicklung harmonisierter europäischer Normen mit, die die CRA-Anforderungen konkretisieren.
Diese Normen werden durch die europäischen Standardisierungsorganisationen CEN, CENELEC und ETSI erarbeitet.

Für Hersteller bedeutet dies:

  • Rechtssicherheit durch Vermutungswirkung bei Anwendung harmonisierter Normen
  • höhere Transparenz und Vergleichbarkeit von Produkten
  • ein einheitlicher Sicherheitsstandard im EU-Binnenmarkt

BSI als zentraler Umsetzungsanker des CRA

Die Informationen und Empfehlungen des BSI sind ein entscheidender Erfolgsfaktor für die CRA-Umsetzung.
Sie helfen Herstellern, regulatorische Anforderungen technisch korrekt, effizient und auditfest umzusetzen – von der Produktentwicklung über die Konformitätsbewertung bis hin zum Schwachstellenmanagement.

Wer sich frühzeitig an den BSI-Leitlinien orientiert, schafft nicht nur CRA-Compliance, sondern stärkt nachhaltig die Cyberresilienz seiner Produkte und das Vertrauen der Kunden.

Downloads

Dashboard_CRAHerunterladen
Management_Blitzlicht_CRAHerunterladen
CRA_Flyer-1_ProduktanforderungenHerunterladen
CRA_Flyer-2_Produktklassen_KonformitaetHerunterladen
CRA_Flyer-3_DrittstellenbewertungHerunterladen

Quelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert