Cyber Resilience Act

2. Cyber Resilience Act
Konformität und Cybersicherheitsanforderungen
(CRA Anhang 1 Teile I und II)

3. 3
Agenda
(fast keine) CRA-Grundlagen
CE-Konformität und Standards
Praktische Umsetzung
OWASP SAMM
SBA Research

4. 4
Schwachstellen ...
… und wie Hersteller sie (nicht) beheben
SBA Research, 2025
https://www.a-trust.at/de/%C3%BCber_uns/newsbereich/20240905_de_post.html
https://www.heise.de/news/Yubikey-Cloning-Angriff-Kein-Firmware-Update-vielleicht-Key-Austausch-9857807.html

5. 5
SBA Research

6. 6
SBA Research
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R2847
14 Requirements
Risikobewertung/Threat Modelling
„secure by default“
Sicherheitsupdates
Datenschutz/Datenminimierung
Pentests
noch mehr Sicherheitsupdates
Veröffentlichung
Datenschutz/Löschung/Portierbarkeit
SBOM

7. 7
CRA = Konformitätsbewertung!
No CE-Mark – No EU-Market!
(seit 1985)
… und seit 2008 – Zulassungsverfahren und Marktüberwachung in ihrer
jetzigen Form
SBA Research, 2025
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022XC0629%2804%29&qid=1747224321757

8. 8
90% aller
Produkte
Standard
Interne Fertigungskontrolle in
Eigenverantwortung auf Basis einer
Risikoabschätzung
Alle Produkte, die nicht unter eine
höhere Kategorie fallen
10% aller Produkte*
Wichtig
Klasse I
Selbstbewertung möglich nach
standardisiertem Verfahren,
harmonisierten Normen oder Schemata
SONST - Konformitätsbewertung unter
Beteiligung Dritter
19 Produktgruppen
zB Browser, Passwortmanager, SIEM,
VPN, Router, Modems, Switches,
Netzwerkmonitore, „Virtuelle
Assistenten“, Smart-Home-Devices,
Wearables
Wichtig
Klasse II
Konformitätsbewertung unter
Beteiligung Dritter
(EU-Baumusterprüfung, interne
Fertigungskontrolle, umfassende
Qualitätskontrolle)
4 Produktgruppen
zB Firewalls/IDS/IPS,
Virtualisierungsumgebungen
Kritisch
Konformitätsbewertung unter
Beteiligung Dritter
(europäisches Schema für die
Cybersicherheitszertifizierung oder
eines der Verfahren für Kl. II)
dzt. 3 Produktgruppen
Hardwaregeräte mit Sicherheitsboxen;
Smart-Meter-Gateways in
intelligenten Messsystemen;
Chipkarten oder ähnliche Geräte
* https://digital-strategy.ec.europa.eu/en/news/commission-welcomes-political-agreement-cyber-resilience-act
Selbstbewertung der Konformität
Für die „90%“:
Eigenverantwortung
Für „Wichtig Klasse I“:
nur bei Anwendung von
Harmonisierten Normen

9. 9
Produktkonformität Cybersicherheit?
Standards & Normen?
SBA Research
Hernandez Ramos, J.L., Karopoulos, G., Nai Fovino, I., Spigolon, R., Sportiello L., Steri, G., Gorniak, S.,
Magnabosco, P., Atoui, R., Crippa Martinez, C.,
Cyber Resilence Act Requirements Standards Mapping, Publication Office of the European Union, 2024,
https://data.europa.eu/doi/10.2760/905934, JRC137340.

10. 10
Harmonisierte Normen?
SBA Research
https://europa.eu/youreurope/business/product-requirements/standards/standards-in-europe/index_de.htm
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R2847

11. 11
Standards & Normen
Kostenpflichtig, Umfangreich
Nur harmonisierte Normen ermöglichen
Konformitätsvermutung nach Selbstbewertung bei Produkten
„Wichtig Klasse I“
Für „90% aller Produkte“ gilt Eigenverantwortung
= risikobasierter Ansatz – auch ohne Anwendung einer hEN
SBA Research

12. 12
CRA Timeline 2024 - 2027
SBA Research, 2025
https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act.html
YOU ARE
HERE!
August 2026:
2 Harmonisierte Normen
# Vuln.Mgmt &
# Product Design&Development
Oktober 2027:
39 Harmonisierte
Normen

13. 13
Umsetzung
(Sie haben den rechtlichen Teil vorerst überstanden)
SBA Research

14. 14
Legalese for Engineers
SBA Research
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402847
“Regulation (EU) 2024/2847 of the
European Parliament and of the Council of
23 October 2024 on horizontal
cybersecurity requirements for products
with digital elements and amending
Regulations (EU) No 168/2013 and (EU)
2019/1020 and Directive (EU) 2020/1828
(Cyber Resilience Act) (Text with EEA
relevance)”

15. 15
Legalese for Engineers
SBA Research

16. 16
Legalese for Engineers
DISCLAIMER
• Ich lese und verstehen (manchmal) juristische
Texte, aber IANAL
• Die juicy bits helfen am Anfang zu fokussieren
• Die juicy bits können einen auf dem
gemeinsamen Weg weit bringen
• Sie sind aber vermutlich nicht ausreichend
o Gilt vor allem für Hersteller eines Important
Product
SBA Research

17. 17
Legalese for Engineers
Wo beginnen?
• Am Besten direct zum Anhang springen
o ANNEX I: ESSENTIAL CYBERSECURITY
REQUIREMENTS
o ANNEX II: INFORMATION AND
INSTRUCTIONS TO THE USER
• Das sind 3 Seiten, statt 81
SBA Research

18. 18
Was macht ein sicheres Produkt aus?
SBA Research

19. 19
Sicheres Design
• Herstellung gemäß secure by default
o Kein admin:admin Konto
o Authentifizierung notwendig
o Nur notwendige Dienste aktiviert
o Alle Entscheidungen die Datenschutz
betreffen müssen opt-in sein
o Verschlüsselung at-rest und in-motion
SBA Research

20. 20
Risiko Management
• Verwaltung einer umfassenden Liste von
Risiken für das Produkt
o Risiken und deren Behandlung müssen eine
solide technische Basis haben
o -> Threat Modeling
o Ableitung von security requirements für die
Gegenmaßnahmen
SBA Research

21. 21
Update Prozess
• Produkt muss aktualisierbar sein
• Updates müssen kostenlos & optional sein
• Sicherheitsupdates müssen kurzfristig verfügbar sein
• Unterstützungszeitraum mindestens 5 Jahre
• Funktionalität darf auch nach Ende des
Unterstützungszeitraumes nicht eingeschränkt sein
• Bonus: Source Code nach Ende der Unterstützung an
Community übergeben
SBA Research

22. 22
Schwachstellen Management
• Produkt darf keine known exploitable vulnerabilities
beinhalten
• Schwachstellen im Produkt
o Testautomatisierung
o Pentests
• Schwachstellen in der Supply Chain
o Know your Code: SBOM
o Probleme in der Supply Chain identifizieren
o Fokus auf Erreichbarkeit und exploitability (EPSS,
KEV)
SBA Research

23. 23
TL;DR: SDLC FTW
SBA Research
https://owaspsamm.org

24. 24
Alternative? Einstieg? Ansatz für die „90%“?
https://owaspsamm.org/
niederschwellig
strukturiert
kostenlos
selbst anwendbar
SBA Research
https://owaspsamm.org/about/

25. 25
Takeaways
Produktklasse(n) erheben (CRA ANHANG III) inkl. Bonusfrage: „ist es ein
Produkt??“
Sicherheitsanforderungen prüfen & Umsetzen
(ANHANG I Teil I)
Schwachstellenmanagement etablieren
(ANHANG I Teil II)
Framework zur Orientierung: zB SAMM - oder passende Normen
SBA Research, 2025

26. 26
Gerald Sendera
Mathias Tausig
SBA Research
Floragasse 7, 1040 Wien
gsendera@sba-research.org
mtausig@sba-research.org