Thought Leadership
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen ersten Entwurf der TR-03183-H veröffentlicht. Hersteller von vernetzten Produkten können bis Ende März Feedback einreichen.
Bis Dezember 2027 müssen Hersteller von Produkten mit digitalen Elementen nachweisen, dass ihre Erzeugnisse den Anforderungen des Cyber Resilience Act genügen. Das BSI hat nun eine Technische Richtlinie erarbeitet, die einen konkreten Weg zur Konformitätsbewertung beschreibt. Die TR-03183-H befindet sich derzeit in der öffentlichen Kommentierungsphase. Wer Anmerkungen einbringen möchte, kann das bis zum 31. März 2026 per E-Mail an [email protected] tun.
Qualitätssicherung als Hebel
Der CRA erlaubt Herstellern grundsätzlich, die Konformität ihrer Produkte selbst zu erklären. Für bestimmte Produktgruppen wie Firewalls, Virtualisierungslösungen oder manipulationssichere Mikroprozessoren schreibt die Verordnung jedoch eine Bewertung durch unabhängige Dritte vor.
Die neue Richtlinie setzt an einem bestimmten Bewertungsverfahren an, dem sogenannten Modul H. Es basiert auf umfassender Qualitätssicherung und erlaubt Herstellern, ein bestehendes ISO/IEC-27001-konformes Managementsystem als Grundlage zu nutzen. Dieses kann dann auf die Produktentwicklung und den Umgang mit Schwachstellen ausgeweitet werden.
Skalierbar und prozessorientiert
Der wesentliche Unterschied zu einer klassischen Baumusterprüfung besteht darin, dass nicht einzelne Produkte bewertet werden, sondern die Prozesse des Herstellers. Das macht das Verfahren skalierbar: Ein zertifiziertes Prozessumfeld kann für viele Produkte gleichzeitig gelten, ohne dass jedes separat geprüft werden muss.
Für die technischen Produktanforderungen selbst kann auf die TR-03183-1 oder auf harmonisierte europäische Normen zurückgegriffen werden.
(lb/BSI)
