CRA Lieferanten-Due-Diligence: Fragebogenvorlage und Verifizierungsprozess

Ihre CRA-Compliance hängt von Ihren Lieferanten ab. Wenn Sie Produkte importieren, müssen Sie die Hersteller-Compliance verifizieren. Wenn Sie herstellen, beeinflussen Ihre Komponenten die Sicherheitslage Ihres Produkts.

Dieser Leitfaden bietet ein vollständiges Lieferanten-Due-Diligence-Framework, einschließlich eines Fragebogens, den Sie heute versenden können.

Warum Lieferanten-Due-Diligence wichtig ist

Für Einführer

Artikel 19 macht Einführer verantwortlich für die Verifizierung der Hersteller-Compliance:

• Hersteller hat Konformitätsbewertung durchgeführt
• Technische Dokumentation ist verfügbar
• Produkt trägt erforderliche Kennzeichnungen und Informationen
• Hersteller hat Schwachstellenbehandlungsprozesse

Wenn der Hersteller nicht konform ist, können Sie nicht legal importieren.

Für Hersteller

Auch als Hersteller enthält Ihr Produkt Komponenten von Lieferanten:

• Drittanbieter-Softwarebibliotheken
• Hardwarekomponenten
• Firmware-Module
• Cloud-Dienste

Schwachstellen in diesen Komponenten werden zu Ihren Schwachstellen. Ihre Konformitätsbewertung muss Lieferkettenrisiken berücksichtigen.

Due-Diligence-Framework

Stufenansatz

Nicht alle Lieferanten erfordern das gleiche Prüfungsniveau:

LIEFERANTEN-STUFEN-BEWERTUNG

STUFE 1 (Kritisch):
- Komponenten mit Sicherheitsfunktionen (Krypto, Auth, Firewalls)
- Kern-Softwareabhängigkeiten
- Hardware mit Firmware
Bewertung: Vollständiger Fragebogen + Dokumentationsprüfung + laufende Überwachung

STUFE 2 (Bedeutend):
- Hauptfunktionalitäts-Komponenten
- Netzwerkverbundene Elemente
- Datenverarbeitungskomponenten
Bewertung: Standardfragebogen + Dokumentationsprüfung

STUFE 3 (Standard):
- Nicht-Sicherheitskomponenten
- Hilfsbibliotheken
- Peripheriehardware
Bewertung: Basisfragebogen + Stichproben

STUFE 4 (Minimal):
- Commodity-Komponenten
- Etablierte OSS
- Nicht-vernetzte Hardware
Bewertung: Basisverifizierung + SBOM-Aufnahme

Bewertungsbereiche

Ihre Due Diligence sollte abdecken:

Der Fragebogen

Verwenden Sie diesen Fragebogen als Ausgangspunkt. Passen Sie ihn basierend auf Lieferantenstufe und Ihren spezifischen Bedürfnissen an.

Abschnitt 1: Unternehmensinformationen

LIEFERANTEN-DUE-DILIGENCE-FRAGEBOGEN
Abschnitt 1: Unternehmensinformationen

1.1 Unternehmensdetails
    Firmenname: _________________________________
    Geschäftsadresse: ________________________________
    Gründungsland: _____________________
    Hauptansprechpartner: _____________________________
    Sicherheitskontakt: ____________________________

1.2 Geschäftsinformationen
    Jahre im Geschäft: ___________________________
    Mitarbeiterzahl: _________________________
    Jahresumsatz (Bereich): ______________________

1.3 EU-Präsenz
    [ ] In der EU ansässig
    [ ] Bevollmächtigter Vertreter in der EU (falls Nicht-EU)
        Name/Adresse: ____________________________
    [ ] Keine EU-Präsenz (Arrangement erklären): _____

1.4 Zertifizierungen (Kopien beifügen)
    [ ] ISO 9001 (Qualitätsmanagement)
    [ ] ISO 27001 (Informationssicherheit)
    [ ] ISO 27701 (Datenschutz)
    [ ] SOC 2
    [ ] Sonstige: _________________________________

Abschnitt 2: Produkt-Compliance

Abschnitt 2: Produkt-Compliance

2.1 Produktidentifikation
    Produktname/Modell: __________________________
    Version/Revision: ___________________________
    Produktkategorie: ___________________________

2.2 CRA-Klassifizierung
    Was ist die CRA-Klassifizierung dieses Produkts?
    [ ] Standard
    [ ] Wichtige Klasse I (Anhang III, Teil I)
    [ ] Wichtige Klasse II (Anhang III, Teil II)
    [ ] Kritisch (Anhang IV)
    [ ] Noch nicht klassifiziert

2.3 Konformitätsbewertung
    Welcher Konformitätsbewertungsweg wurde verwendet?
    [ ] Modul A (Selbstbewertung)
    [ ] Modul B+C (EU-Baumusterprüfung)
    [ ] Modul H (Vollständige Qualitätssicherung)
    [ ] Noch nicht abgeschlossen

    Falls Modul B, C oder H:
    Name der Benannten Stelle: __________________________
    Zertifikatsnummer: __________________________
    Zertifikatsdatum: ____________________________

2.4 EU-Konformitätserklärung
    [ ] Konformitätserklärung verfügbar (Kopie beifügen)
    [ ] Konformitätserklärung noch nicht ausgestellt
    Datum der Konformitätserklärung: ________________________________

2.5 CE-Kennzeichnung
    [ ] CE-Kennzeichnung angebracht
    [ ] CE-Kennzeichnung noch nicht angebracht
    Falls angebracht, wo am Produkt: _________________

2.6 Technische Dokumentation
    [ ] Technische Datei auf Anfrage verfügbar
    [ ] SBOM verfügbar (Format: ________________)
    [ ] Risikobewertungsdokumentation verfügbar
    [ ] Benutzer-/Sicherheitsanleitung verfügbar

Abschnitt 3: Sicherheitspraktiken

Abschnitt 3: Sicherheitspraktiken

3.1 Sichere Entwicklung
    Befolgen Sie einen sicheren Entwicklungslebenszyklus?
    [ ] Ja - Beschreiben: __________________________
    [ ] Nein

    Führen Sie Sicherheitstests durch?
    [ ] Statische Analyse (SAST)
    [ ] Dynamische Analyse (DAST)
    [ ] Penetrationstests
    [ ] Fuzz-Tests
    [ ] Sonstiges: _________________________________

    Haben Sie einen sicheren Coding-Standard?
    [ ] Ja - Welchen: ____________________________
    [ ] Nein

3.2 Komponentenmanagement
    Wie verfolgen Sie Drittanbieter-Komponenten?
    [ ] SBOM gepflegt
    [ ] Abhängigkeits-Tracking-Tool (Name: _________)
    [ ] Manuelle Verfolgung
    [ ] Nicht systematisch verfolgt

    Wie überwachen Sie Schwachstellen in Abhängigkeiten?
    [ ] Automatisiertes Scanning (Tool: _______________)
    [ ] Manuelle CVE-Überwachung
    [ ] Verlassen auf Anbieterbenachrichtigungen
    [ ] Keine systematische Überwachung

3.3 Sicherheitsarchitektur
    Beschreiben Sie wesentliche Sicherheitsfunktionen des Produkts:
    _____________________________________________

    Welche kryptographischen Standards werden verwendet?
    _____________________________________________

    Wie ist die Authentifizierung implementiert?
    _____________________________________________

    Wie werden Daten im Ruhezustand und bei der Übertragung geschützt?
    _____________________________________________

Abschnitt 4: Schwachstellenmanagement

Abschnitt 4: Schwachstellenmanagement

4.1 Schwachstellen-Offenlegung
    Haben Sie eine koordinierte Schwachstellen-Offenlegungsrichtlinie?
    [ ] Ja - URL: ______________________________
    [ ] Nein

    Haben Sie eine security.txt-Datei?
    [ ] Ja - URL: ______________________________
    [ ] Nein

    Was ist die Sicherheitskontaktmethode?
    [ ] E-Mail: __________________________________
    [ ] Webformular: _______________________________
    [ ] Bug-Bounty-Plattform: ____________________
    [ ] Sonstiges: _________________________________

4.2 Reaktionszusagen
    Was ist Ihre Bestätigungsfrist?
    [ ] Innerhalb von 24 Stunden
    [ ] Innerhalb von 72 Stunden
    [ ] Innerhalb von 7 Tagen
    [ ] Keine Zusage

    Was ist Ihre typische Patch-Frist für:
    Kritische Schwachstellen: ___________________
    Hohe Schwachstellen: _______________________
    Mittlere Schwachstellen: _____________________

4.3 ENISA-Meldung
    Sind Sie auf ENISA-Meldung vorbereitet (Sept. 2026)?
    [ ] Ja, Prozess etabliert
    [ ] In Bearbeitung
    [ ] Nein
    [ ] Nicht zutreffend (nicht Hersteller)

4.4 Historische Schwachstellen
    Wie viele Sicherheitsschwachstellen wurden
    in diesem Produkt in den letzten 24 Monaten gemeldet? ______

    Wie wurden sie behoben?
    [ ] Alle innerhalb angegebener Fristen gepatcht
    [ ] Einige Verzögerungen (erklären): __________________
    [ ] Einige bleiben ungepatcht (erklären): ________

Abschnitt 5: Update und Support

Abschnitt 5: Update und Support

5.1 Supportzeitraum
    Was ist der zugesagte Supportzeitraum ab
    Marktplatzierung?
    [ ] 5 Jahre (CRA-Minimum)
    [ ] 7 Jahre
    [ ] 10 Jahre
    [ ] Sonstiges: _________________________________
    [ ] Nicht definiert

    Wann wurde dieses Produkt erstmals auf dem EU-Markt platziert?
    Datum: ______________________________________

    Wann endet der Supportzeitraum?
    Datum: ______________________________________

5.2 Update-Mechanismus
    Wie werden Sicherheitsupdates bereitgestellt?
    [ ] Automatische Updates (OTA)
    [ ] Manueller Download vom Portal
    [ ] Physische Medien
    [ ] Sonstiges: _________________________________

    Sind Sicherheitsupdates getrennt von Feature-Updates?
    [ ] Ja
    [ ] Nein - gebündelt

    Können Benutzer Updates aufschieben oder überspringen?
    [ ] Ja
    [ ] Nein - verpflichtend
    [ ] Konfigurierbar

5.3 Update-Verifizierung
    Sind Updates signiert?
    [ ] Ja - Methode: __________________________
    [ ] Nein

    Können Benutzer die Update-Authentizität verifizieren?
    [ ] Ja - Wie: _____________________________
    [ ] Nein

5.4 End-of-Support-Planung
    Haben Sie einen dokumentierten EOL-Prozess?
    [ ] Ja
    [ ] Nein

    Wie werden Kunden über EOL informiert?
    _____________________________________________

    Was passiert nach Ablauf des Supportzeitraums?
    [ ] Produkt funktioniert weiter
    [ ] Produkt verliert Funktionalität
    [ ] Produkt erfordert Migration

Abschnitt 6: Dokumentationsanforderungen

Abschnitt 6: Dokumentationsanforderungen

6.1 Verfügbare Dokumentation
    Markieren Sie alle Dokumentation, die Sie bereitstellen können:

    [ ] EU-Konformitätserklärung
    [ ] Technische Datei (oder relevante Auszüge)
    [ ] Software Bill of Materials (SBOM)
        Format: [ ] CycloneDX [ ] SPDX [ ] Sonstiges
    [ ] Risikobewertungszusammenfassung
    [ ] Sicherheitsarchitekturdokument
    [ ] Benutzeranleitung (sicherheitsrelevant)
    [ ] Schwachstellen-Offenlegungsrichtlinie
    [ ] Support-/Wartungsbedingungen

6.2 Dokumentationsbereitstellung
    Wie wird die Dokumentation bereitgestellt?
    [ ] Auf Anfrage (Antwortzeit: ____________)
    [ ] Über sicheres Portal
    [ ] Mit Produkt gebündelt
    [ ] Sonstiges: _________________________________

6.3 SBOM-Details (falls verfügbar)
    SBOM deckt ab:
    [ ] Nur direkte Abhängigkeiten
    [ ] Transitive Abhängigkeiten eingeschlossen
    [ ] Hardwarekomponenten (falls zutreffend)

    SBOM-Aktualisierungshäufigkeit:
    [ ] Pro Release
    [ ] Auf Anfrage
    [ ] Nicht systematisch aktualisiert

Abschnitt 7: Vertragliche Zusagen

Abschnitt 7: Vertragliche Zusagen

7.1 Compliance-Garantie
    Werden Sie CRA-Compliance im Vertrag garantieren?
    [ ] Ja
    [ ] Nein
    [ ] Verhandelbar

7.2 Dokumentationsaufbewahrung
    Werden Sie technische Dokumentation 10 Jahre aufbewahren?
    [ ] Ja
    [ ] Nein
    [ ] Kürzerer Zeitraum: ________________________

7.3 Benachrichtigungspflichten
    Werden Sie uns benachrichtigen über:
    [ ] Sicherheitsschwachstellen im Produkt
    [ ] Änderungen des Konformitätsstatus
    [ ] End-of-Support-Entscheidungen
    [ ] Wesentliche Änderungen der Sicherheitsarchitektur

7.4 Auditrechte
    Werden Sie Compliance-Audits erlauben?
    [ ] Ja - uneingeschränkt
    [ ] Ja - mit Vorankündigung
    [ ] Nein

7.5 Freistellung
    Werden Sie für CRA-Nicht-Compliance freistellen?
    [ ] Ja
    [ ] Nein
    [ ] Verhandelbar

Abschnitt 8: Bestätigung

Abschnitt 8: Bestätigung

Ich bestätige, dass die in diesem Fragebogen bereitgestellten
Informationen nach bestem Wissen und Gewissen richtig und
vollständig sind.

Ich verstehe, dass [Ihr Unternehmen] sich für CRA-Compliance-
Zwecke auf diese Informationen verlässt und dass wesentliche
Falschangaben zur Vertragskündigung führen können.

Ausgefüllt von: _____________________________________
Titel: ___________________________________________
Datum: ____________________________________________
Unterschrift: _______________________________________

Warnsignale

Achten Sie bei der Due Diligence auf diese Warnzeichen:

Kritische Warnsignale (Beziehung beenden)

Ernste Warnsignale (Erfordern Minderung)

Gelbe Warnsignale (Genau überwachen)

Verifizierungsprozess

Erstverifizierung

1. Dokumentensammlung

   • Konformitätserklärungskopie anfordern
   • SBOM anfordern (oder Verfügbarkeitsbestätigung)
   • Sicherheitskontaktinformationen anfordern
   • Supportzeitraum-Verpflichtung anfordern

2. Dokumentenprüfung

   • Konformitätserklärung auf Unterschrift und Vollständigkeit prüfen
   • Produktidentifikation stimmt überein prüfen
   • CE-Kennzeichnungsangaben verifizieren
   • SBOM-Format und -Vollständigkeit prüfen

3. Compliance-Stichproben

   • security.txt existiert verifizieren (falls webzugänglich)
   • CVD-Richtlinie ist veröffentlicht prüfen
   • Sicherheitskontakt antwortet testen
   • Supportzeitraum-Angaben in Dokumentation verifizieren

Laufende Überwachung

LIEFERANTEN-ÜBERWACHUNGSPLAN

Monatlich:
[ ] Auf veröffentlichte Sicherheitshinweise prüfen
[ ] Sicherheitskontakt funktioniert noch verifizieren
[ ] Schwachstellen-Offenlegungen prüfen

Vierteljährlich:
[ ] Aktualisiertes SBOM anfordern (bei signifikanten Releases)
[ ] CVD-Richtlinie noch zugänglich verifizieren
[ ] Auf neue Zertifizierungen oder Verfälle prüfen

Jährlich:
[ ] Vollständige Fragebogen-Aktualisierung
[ ] Supportzeitraum-Status prüfen
[ ] Dokumentation noch verfügbar verifizieren
[ ] Geschäftliche Stabilitätsprüfung

Trigger-basiert:
[ ] Größerer Sicherheitsvorfall → Sofortige Prüfung
[ ] Eigentümerwechsel → Vollständige Neubewertung
[ ] Produkteinstellung → EOL-Planung
[ ] Vertragsverlängerung → Compliance-Neuverifizierung

Lieferantenvertragsklauseln

Wesentliche Klauseln für CRA

Nehmen Sie diese Bestimmungen in Lieferantenverträge auf:

Compliance-Zusicherung:

Der Lieferant sichert zu und garantiert, dass das/die Produkt(e)
der Verordnung (EU) 2024/2847 (Cyber Resilience Act) entsprechen
und dass der Lieferant die erforderliche Konformitätsbewertung
durchgeführt hat.

Dokumentationsbereitstellung:

Der Lieferant stellt auf Anfrage bereit:
(a) Kopie der EU-Konformitätserklärung
(b) Software Bill of Materials im [CycloneDX/SPDX]-Format
(c) Technische Dokumentation, die für die Compliance-
    Pflichten des Käufers relevant ist
Antwortzeit: [5 Werktage]

Schwachstellen-Benachrichtigung:

Der Lieferant benachrichtigt den Käufer innerhalb von [24/48]
Stunden nach Kenntniserlangung von jeder Sicherheitsschwachstelle
im/in den Produkt(en), die:
(a) aktiv ausgenutzt wird, oder
(b) einen CVSS-Score von 7.0 oder höher hat, oder
(c) öffentlich offengelegt werden soll

Supportzeitraum-Verpflichtung:

Der Lieferant verpflichtet sich, Sicherheitsupdates für
das/die Produkt(e) für einen Mindestzeitraum von [5/7/10]
Jahren ab dem Datum der ersten Marktplatzierung in der EU
bereitzustellen.

SBOM-Aktualisierungen:

Der Lieferant stellt ein aktualisiertes SBOM innerhalb von
[10] Werktagen nach jedem Produkt-Release bereit, das
Änderungen an Drittanbieter-Komponenten enthält.

Auditrechte:

Der Käufer kann die Einhaltung dieser Vereinbarung und der
geltenden CRA-Anforderungen durch den Lieferanten nach
[30 Tagen] schriftlicher Vorankündigung prüfen, nicht öfter
als einmal pro Jahr, es sei denn, dies wird durch ein
Compliance-Problem ausgelöst.

Häufige Fehler

Auf Selbstauskunft verlassen

Problem: Mündliche Zusicherungen des Lieferanten ohne Dokumentation akzeptieren.

Lösung: Immer schriftliche Nachweise erhalten. Keine Konformitätserklärungskopie = kein Kauf.

Einmalige Bewertung

Problem: Due Diligence nur bei Vertragsabschluss.

Lösung: Laufenden Überwachungsplan implementieren. Compliance kann sich ändern.

Stufe-3-4-Lieferanten ignorieren

Problem: Nur "große" Lieferanten bewerten, kleinere ignorieren.

Lösung: Auch kleine Komponenten können Schwachstellen einführen. Bewertung skalieren, nicht überspringen.

Keine vertragliche Absicherung

Problem: Auf Lieferanten-Wohlwollen ohne Vertragsbedingungen verlassen.

Lösung: Compliance-Pflichten schriftlich festhalten. Abhilfen bei Nicht-Compliance einschließen.

Bis Dezember 2027 warten

Problem: Lieferantenbewertungen erst kurz vor CRA-Durchsetzung starten.

Lösung: Jetzt starten. Bewertung braucht Zeit. Nicht-konforme Lieferanten brauchen Zeit zur Sanierung oder zum Austausch.

Lieferanten-Due-Diligence-Checkliste

LIEFERANTEN-DUE-DILIGENCE-CHECKLISTE

VOR BEAUFTRAGUNG:
[ ] Lieferantenstufe bestimmt
[ ] Angemessener Fragebogen ausgewählt
[ ] Interner Prüfer zugewiesen

ERSTBEWERTUNG:
[ ] Fragebogen versendet
[ ] Fragebogen erhalten und geprüft
[ ] Warnsignale identifiziert und adressiert
[ ] Dokumentation gesammelt:
    [ ] EU-Konformitätserklärung
    [ ] SBOM (oder Verfügbarkeit bestätigt)
    [ ] CVD-Richtlinie
    [ ] Supportzeitraum-Verpflichtung
[ ] Stichproben abgeschlossen:
    [ ] security.txt verifiziert
    [ ] Sicherheitskontakt getestet
    [ ] CE-Kennzeichnung verifiziert

VERTRAGSVERHANDLUNG:
[ ] Compliance-Klauseln aufgenommen
[ ] Dokumentationsbestimmungen vereinbart
[ ] Schwachstellen-Benachrichtigungsbedingungen festgelegt
[ ] Supportzeitraum-Verpflichtung gesichert
[ ] Auditrechte aufgenommen
[ ] SBOM-Aktualisierungsplan vereinbart

NACH VERTRAGSABSCHLUSS:
[ ] Überwachungsplan etabliert
[ ] Erste Dokumentationslieferung bestätigt
[ ] Kontakte im Lieferantenmanagementsystem registriert
[ ] Prüfungstermine im Kalender

LAUFEND:
[ ] Monatliche Prüfungen abgeschlossen
[ ] Vierteljährliche Prüfungen abgeschlossen
[ ] Jährliche Neubewertung abgeschlossen
[ ] Trigger-Ereignisse behandelt

Wie CRA Evidence hilft

CRA Evidence enthält Lieferantenmanagement-Funktionen:

• Lieferantenregister: Alle Lieferanten mit CRA-Rollen verfolgen
• Fragebogen-Tracking: Bewertungen senden, empfangen, prüfen
• Dokumentationsablage: Konformitätserklärungen, SBOMs, Zertifizierungen
• Überwachungsalarme: Supportzeiträume, Prüfungstermine verfolgen
• SBOM-Aggregation: Lieferanten-SBOMs in Ihre Produkt-SBOM kombinieren

Verwalten Sie Ihre Lieferketten-Compliance unter app.craevidence.com.

Verwandte Leitfäden

• Wie man ein CRA-konformes SBOM erstellt: Tools, Formate und CI/CD-Integration
• Die CRA Technische Dokumentation: Was in jeden Abschnitt gehört (Anhang VII Aufschlüsselung)
• CRA-Compliance-Kosten: Wie Sie Konformitätsbewertung und Dokumentation budgetieren

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Anleitung konsultieren Sie qualifizierten Rechtsberater.