Welche CRA-Compliance-Maßnahmen müssen Hersteller umsetzen?
Hersteller stehen vor einem strukturierten Katalog technischer und dokumentationsbezogener Anforderungen, um die CRA-Compliance zu erreichen. Die Grundlage bildet eine umfassende Risikobewertung, die potenzielle Schwachstellen über die gesamte Produktarchitektur hinweg identifiziert. Dazu gehören die Analyse von Hardwarekomponenten, Softwareelementen, Netzwerkkommunikation sowie Benutzeroberflächen im Hinblick auf mögliche Sicherheitslücken.
Die Dokumentationspflichten sind umfangreich und gelten über den gesamten Produktlebenszyklus. Hersteller müssen technische Unterlagen erstellen und regelmäßig aktualisieren, darunter detaillierte Produktspezifikationen, Risikobewertungen, Ergebnisse von Sicherheitstests sowie Prozesse zum Schwachstellenmanagement. Diese Unterlagen dienen als Nachweis der Konformität im Rahmen von Zertifizierungsverfahren und möglichen behördlichen Prüfungen.
Der Konformitätsweg hängt von der Risikoklassifizierung des Produkts ab. Als „kritisch“ eingestufte Produkte erfordern eine Konformitätsbewertung durch eine unabhängige Drittstelle, während Standardprodukte unter bestimmten Voraussetzungen eine Selbstbewertung durchführen können. In beiden Fällen umfasst die CE-Kennzeichnung künftig spezifische Cybersicherheitsnachweise, die bislang nicht erforderlich waren.
Ein wesentlicher Paradigmenwechsel betrifft die kontinuierliche Überwachungspflicht. Der CRA schreibt verbindliche Meldeverfahren für schwerwiegende Sicherheitsvorfälle vor. Hersteller müssen zuständige Behörden informieren, wenn erhebliche Sicherheitsprobleme auftreten. Diese Verpflichtung besteht während der gesamten unterstützten Produktlebensdauer und erfordert angepasste organisatorische und operative Strukturen.
Für industrielle Automatisierungssysteme muss die Compliance-Dokumentation zudem die spezifischen Anforderungen von Operational-Technology-(OT)-Umgebungen berücksichtigen, einschließlich industrieller Kommunikationsprotokolle, der Integration von Bestandsanlagen sowie möglicher sicherheitsrelevanter Auswirkungen von Cybersicherheitsmaßnahmen.
