CRA-Konformitäts-Glossar
Wesentliche Terminologie zum Verständnis des EU Cyberresilienz-Verordnung, der Sicherheitsstandards für Software-Lieferketten und der Compliance-Anforderungen.
Keine passenden Begriffe gefunden.
A
Anhang VII
CRA-Anhang VII legt den Mindestinhalt der EU-Konformitätserklärung fest, die Hersteller für Produkte mit digitalen Elementen ausstellen müssen. Enthält Produktidentifikation, Herstellerangaben, angewendete Normen und die Unterschrift eines bevollmächtigten Vertreters.
Artikel 13 - Pflichten der Hersteller
CRA Artikel 13 legt die grundlegenden Herstellerpflichten fest: Security by Design, SBOM-Pflege, Schwachstellenbehandlung, Bereitstellung von Sicherheitsupdates über den gesamten Produktlebenszyklus und Aufbewahrung der technischen Dokumentation für mindestens 10 Jahre.
Artikel 14 - Meldepflichten
CRA Artikel 14 verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden (Frühwarnung), 72 Stunden (Detailbericht) und 14 Tagen (Abschlussbericht) an ENISA zu melden. Schwerwiegende Vorfälle folgen demselben Schema, jedoch mit einer 30-Tage-Frist für den Abschlussbericht.
B
Benannte Stelle
Unabhängige Konformitätsbewertungsstelle, die von einem EU-Mitgliedstaat benannt wurde, um zu beurteilen, ob Produkte regulatorische Anforderungen erfüllen. Erforderlich für die Drittpartei-Konformitätsbewertung von Wichtiges Produkt (Klasse I), Wichtiges Produkt (Klasse II) und Kritische Produkte gemäß CRA-Anhang III und IV.
Bevollmächtigter - Artikel 18
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
C
CE-Kennzeichnung
Europäisches Konformitätszeichen, das die Einhaltung der EU-Gesetzgebung anzeigt. Unter CRA müssen Produkte mit digitalen Elementen die CE-Kennzeichnung tragen, um legal im EU-Markt verkauft zu werden. Erfordert die Durchführung der Konformitätsbewertung und EU-Konformitätserklärung.
CRA - Cyberresilienz-Verordnung
EU-Verordnung 2024/2847 zur Festlegung verbindlicher Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (PDEs), die in der Europäischen Union verkauft werden. In Kraft getreten am 10. Dezember 2024. Hauptpflichten gelten ab 11. Dezember 2027. Umfasst Hardware- und Softwareprodukte mit Netzwerkkonnektivität.
CSAF - Gemeinsames Rahmenwerk für Sicherheitshinweise
OASIS-Standard für maschinenlesbare Sicherheitshinweise. Ermöglicht die automatisierte Verarbeitung von Schwachstellenmeldungen. Wird für koordinierte Schwachstellenoffenlegung (CVD) und ENISA-Berichterstattung unter CRA-Anforderungen verwendet.
CSIRT - Computer Security Incident Response Teams
Designated cybersecurity bodies that manufacturers must notify of actively exploited vulnerabilities and significant incidents under CRA Article 14, and that coordinate with ENISA on EU-level vulnerability response.
CVD - Koordinierte Offenlegung von Schwachstellen
Prozess zur verantwortungsvollen Offenlegung von Sicherheitslücken gegenüber Anbietern vor der öffentlichen Bekanntgabe. CRA Artikel 13(8) verlangt von Herstellern, CVD-Richtlinien einzuführen und zu veröffentlichen, einschließlich Sicherheitskontaktinformationen.
CVE - Häufige Schwachstellen und Gefährdungen
Standardisierter Identifikator für öffentlich bekannte Cybersicherheitslücken (z. B. CVE-2024-12345). Verwaltet von MITRE Corporation. Weltweit verwendet für Schwachstellenverfolgung, Offenlegung und Behebungskoordination.
CVSS - Gemeinsames Bewertungssystem für Schwachstellen
Industriestandard zur Bewertung der Schwachstellenschwere auf einer Skala von 0-10. CVSS 4.0 ist die neueste Version. Bietet Basis-, zeitliche und Umgebungsmetriken. Kritisch (9.0-10.0), Hoch (7.0-8.9), Mittel (4.0-6.9), Niedrig (0.1-3.9).
CycloneDX
OWASP-Standard zur Erstellung von Software-Stücklisten (SBOMs) und verwandten Artefakten. Unterstützt SBOM, VEX, HBOM, SaaSBOM und mehr. Version 1.5+ empfohlen. Von BSI TR-03183 als bevorzugtes Format für CRA-Compliance referenziert.
E
ENISA - Agentur der Europäischen Union für Cybersicherheit
EU-Agentur verantwortlich für Cybersicherheitspolitik und Incident-Koordination. Unter CRA müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden und schwere Vorfälle innerhalb von 72 Stunden. Meldepflicht beginnt am 11. September 2026.
EPSS - System zur Vorhersage von Exploit-Wahrscheinlichkeit
FIRST.org-Modell zur Schätzung der Wahrscheinlichkeit (0-100%), dass eine Schwachstelle in den nächsten 30 Tagen in freier Wildbahn ausgenutzt wird. Wird für risikobasierte Schwachstellenpriorisierung zusammen mit CVSS verwendet. Höherer EPSS = höhere Priorität für Behebung.
EU-Konformitätserklärung
Formelles Dokument, das erklärt, dass ein Produkt die anwendbare EU-Gesetzgebung einschließlich CRA einhält. Muss vom Hersteller oder bevollmächtigten Vertreter unterzeichnet werden. Erforderlich für CE-Kennzeichnung. Muss auf anwendbare harmonisierte Normen verweisen.
EU-Maschinenverordnung - Verordnung (EU) 2023/1230
EU-Verordnung, die die Maschinenrichtlinie 2006/42/EG ersetzt und ab dem 20. Januar 2027 gilt. Für Maschinen mit digitalen Elementen sind Cybersicherheitsnachweise in der technischen Dokumentation erforderlich (Anhang III §1.1.9 — Schutz vor Korrumpierung). Produkte mit digitalen Elementen müssen gleichzeitig dieser Verordnung und dem CRA entsprechen.
H
Harmonisierte Normen
Europäische Normen, die von anerkannten Normungsorganisationen (CEN, CENELEC, ETSI) verabschiedet und im EU-Amtsblatt referenziert werden. Produkte, die harmonisierten Normen entsprechen, profitieren von einer Konformitätsvermutung mit den entsprechenden wesentlichen CRA-Anforderungen, was die Konformitätsbewertung vereinfacht.
HBOM - Hardware-Stückliste
Maschinenlesbares Inventar von Hardware-Komponenten in einem Produkt, einschließlich Prozessoren, Speicher, integrierte Schaltkreise und Firmware. Ergänzt SBOM für vollständige Produkttransparenz. CycloneDX unterstützt das HBOM-Format.
Hersteller
Die Einrichtung, die ein Produkt mit digitalen Elementen entwickelt oder herstellt und unter eigenem Namen oder eigener Marke auf dem EU-Markt in Verkehr bringt. Hersteller tragen die Hauptpflichten des CRA: Risikobeurteilungen durchführen, SBOMs pflegen, Schwachstellen behandeln, Sicherheitsupdates für mindestens fünf Jahre bereitstellen und ausgenutzte Schwachstellen an die ENISA melden.
I
Importeur
Eine in der EU ansässige Einrichtung, die ein Produkt mit digitalen Elementen eines Herstellers außerhalb der EU auf dem europäischen Markt in Verkehr bringt. Importeure müssen überprüfen, ob der Hersteller die Konformitätsbewertung durchgeführt hat, die CE-Kennzeichnung angebracht ist und die technische Dokumentation verfügbar ist. Sie haften gemeinsam für nicht konforme Produkte.
K
KEV - Bekannte ausgenutzte Schwachstellen
CISAs maßgeblicher Katalog von Schwachstellen, die aktiv in freier Wildbahn ausgenutzt werden. Höchste Priorität für die Behebung, da sie bestätigte reale Bedrohungen darstellen. Bundesbehörden müssen KEV-Schwachstellen innerhalb festgelegter Fristen beheben.
Konformitätsbewertung
Verfahren zur Überprüfung, ob ein Produkt die wesentlichen CRA-Cybersicherheitsanforderungen erfüllt. Standardprodukte können die Selbstbewertung (Modul A) nutzen, während Wichtiges Produkt (Klasse I), Wichtiges Produkt (Klasse II) und Kritische Produkte eine Bewertung durch Dritte bei benannten Stellen erfordern.
Kritisches Produkt (Anhang IV) - CRA Anhang IV
Produkte mit digitalen Elementen, die wesentliche Cybersicherheitsfunktionen für andere Produkte, Netzwerke oder Dienste erfüllen. In CRA Anhang IV aufgeführt, umfassen diese Hardware-Sicherheitsmodule (HSMs), Smartcard-Leser, sichere Elemente und Hardwaregeräte mit Sicherheitsboxen. Kritische Produkte erfordern eine europäische Cybersicherheitszertifizierung gemäß einem anwendbaren Schema oder — falls kein Schema existiert — eine Konformitätsbewertung durch Dritte bei einer benannten Stelle.
N
NVD - Nationale Schwachstellendatenbank
US-Regierungs-Repository für Schwachstellendaten, gepflegt von NIST. Aufgebaut auf CVE-Identifikatoren. Bietet CVSS-Scores, CPE-Informationen (betroffenes Produkt), CWE-Klassifizierungen und Behebungshinweise.
O
OSV.dev - Open-Source-Schwachstellendatenbank
Open-Source-Schwachstellendatenbank, gepflegt von Google. Aggregiert Sicherheitshinweise von GitHub (GHSA), Go, Rust, PyPI und 15+ Ökosystemen in eine einzige abfragbare API. CRA Evidence nutzt OSV.dev als sekundäre Schwachstellenquelle neben NVD, um Hinweise zu erfassen, die ökosystemspezifische Datenbanken verfolgen, bevor sie CVE-IDs erhalten.
P
PDE - Produkt mit digitalen Elementen
A product with digital elements is hardware or software placed on the EU market whose intended or reasonably foreseeable use involves a direct or indirect data connection to another device or network. The legal definition is in CRA Article 3(1). The CRA distinguishes four forms: software products (Article 3(4)), hardware products (Article 3(5)), components placed on the market separately (Article 3(6), including firmware and SDKs), and remote data processing solutions supplied by the manufacturer (Article 3(2), cloud or remote services necessary for the product to perform its functions). A pure cloud SaaS without an installable client is generally outside the CRA; a hybrid product where the manufacturer's cloud service is necessary for the product to function is in scope through Article 3(2). The decisive test is the data connection, and Article 3(8), (9), and (10) distinguish logical, physical, and indirect connections.
prEN 50742
Europäischer Normentwurf für die Sicherheit von Maschinen zum Schutz vor Korrumpierung. Enthält technische Spezifikationen zur Umsetzung von §1.1.9 der Maschinenverordnung (EU) 2023/1230. Definiert zwei Konformitätspfade: eigenständiger Ansatz und Integration mit IEC 62443 für Hersteller, die bereits in diesem industriellen Cybersicherheitsrahmen arbeiten. Nach der Veröffentlichung als harmonisierte Norm schafft die Konformität eine Konformitätsvermutung hinsichtlich der Cybersicherheitsanforderungen der Maschinenverordnung. Veröffentlichung für Ende 2026 erwartet.
PURL - Paket-URL
Standardisiertes Format zur Identifizierung von Softwarepaketen über Ökosysteme hinweg (z. B. pkg:npm/lodash@4.17.21). Wird in SBOMs zur eindeutigen Identifizierung von Komponenten verwendet. Ermöglicht automatisiertes Schwachstellenmatching und Lizenzcompliance.
R
RDPS - Fernverarbeitungslösungen für Daten
Cloud or SaaS functionality that processes data remotely as part of a product with digital elements. Falls within the product's CRA conformity assessment scope if it meets a three-part test: data is processed 'at a distance', the product would lose a core function without it, and it is designed by or under the responsibility of the manufacturer. Third-party SaaS that does not meet this test must still be treated as a component under Article 13(5) due diligence.
Risikobewertung
Systematischer Prozess zur Identifizierung, Analyse und Bewertung von Cybersicherheitsrisiken im Zusammenhang mit einem Produkt mit digitalen Elementen. Vorgeschrieben durch CRA Artikel 13(2) und muss in der technischen Dokumentation dokumentiert werden. Umfasst Bedrohungen, Schwachstellen, potenzielle Auswirkungen und Risikominderungsmaßnahmen über den gesamten Produktlebenszyklus.
S
SBOM - Software-Stückliste
Formales, maschinenlesbares Inventar von Softwarekomponenten und Abhängigkeiten, einschließlich Versionen, Lizenzen und Beziehungen. Erforderlich durch CRA Artikel 13(4) für Schwachstellenmanagement und Lieferkettentransparenz. Kann im CycloneDX- oder SPDX-Format sein.
SCA - Software Composition Analysis
Software Composition Analysis (SCA) identifiziert Open-Source- und Drittanbieterkomponenten, Versionen, Lizenzen und bekannte Schwachstellen in einem Softwareprodukt. Sie wird häufig genutzt, um SBOMs zu erzeugen, über Releases hinweg aktuell zu halten und die Schwachstellenüberwachung nach CRA Artikel 13 zu speisen.
SPDX - Software-Paketdatenaustausch
ISO/IEC 5962:2021 Standard zur Kommunikation von Software-Stücklisteninformationen. Entwickelt von der Linux Foundation. Weit verbreitet für Lizenzcompliance und Schwachstellenverfolgung. Version 2.2.1+ empfohlen für CRA-Compliance.
Standardprodukt
Produkte mit digitalen Elementen, die nicht unter die in den CRA-Anhängen III und IV definierten Kategorien „Wichtig“ oder „Kritisch“ fallen. Standardprodukte können die Konformitätsbewertung durch interne Kontrolle (Selbstbewertung) des Herstellers gemäß CRA Anhang VIII ohne Beteiligung Dritter durchlaufen. Dies umfasst die überwiegende Mehrheit kommerzieller Software und Hardware.
T
Technische Dokumentation
Vollständiges Dokumentationspaket zum Nachweis der CRA-Konformität. Umfasst Risikobewertung, SBOM, Sicherheitsdesign-Dokumentation, Schwachstellenbehandlungsverfahren, Testergebnisse und EU-Konformitätserklärung. Muss 10 Jahre oder die Produktlebensdauer aufbewahrt werden (je nachdem, was länger ist).
TR-03183
Technische Richtlinie des deutschen BSI (Bundesamt für Sicherheit in der Informationstechnik) mit detaillierten Anforderungen für die SBOM-Erstellung und -Verwaltung. Weithin als Best Practice für die Einhaltung von CRA Artikel 13 referenziert. Spezifiziert minimale SBOM-Felder, Formate und Aktualisierungsanforderungen.
V
Vertriebspartner
Jede Einrichtung in der Lieferkette, die nicht Hersteller oder Importeur ist und ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt. Händler müssen vor der Bereitstellung prüfen, ob das Produkt die CE-Kennzeichnung trägt und die EU-Konformitätserklärung beigefügt ist. Wenn ein Händler das Produkt verändert, wird er nach dem CRA zum Hersteller.
VEX - Austausch zur Ausnutzbarkeit von Schwachstellen
Dokument, das den Ausnutzbarkeitsstatus von Schwachstellen in einem bestimmten Produkt kommuniziert. Gibt an, ob ein CVE Ihr Produkt betrifft (betroffen, nicht betroffen, behoben, in Untersuchung). Hilft nachgelagerten Benutzern, Alert-Fatigue durch Fehlalarme zu reduzieren.
VKB - Vulnerability Knowledge Base
Kontinuierlich aktualisierte Schwachstellendatenbank, die Advisories aus mehreren Quellen — wie NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV und EPSS — in einer einzigen abfragbaren Wissensdatenbank zusammenführt. Anstatt Abhängigkeiten bei Bedarf gegen eine einzelne Quelle zu scannen, pflegt eine VKB einen lokalen Spiegel aller bekannten Schwachstellen und gleicht sie mit Softwarekomponenten ab, sobald neue CVEs veröffentlicht werden. Dies reduziert die Erkennungslatenz von Stunden oder Tagen auf Minuten, und die Kreuzreferenzierung mehrerer Quellen senkt das Risiko übersehener Advisories.
W
Wichtiges Produkt (Klasse I) - CRA Anhang III, Teil I
Produkte mit digitalen Elementen, die eine cybersicherheitsrelevante Funktion erfüllen oder ein erhöhtes Risiko bergen. Klasse I umfasst Identitätsmanagementsysteme, VPNs, Netzwerkmanagement-Tools, SIEM-Systeme, Boot-Manager und andere in CRA Anhang III Teil I aufgeführte Kategorien. Hersteller müssen entweder harmonisierte Normen anwenden, die alle wesentlichen Anforderungen abdecken (was eine Selbstbewertung ermöglicht), oder eine Konformitätsbewertung durch Dritte bei einer benannten Stelle durchlaufen.
Wichtiges Produkt (Klasse II) - CRA Anhang III, Teil II
Produkte mit digitalen Elementen, die kritische Cybersicherheitsfunktionen erfüllen und ein erhebliches Risiko bergen. Klasse II umfasst Betriebssysteme, Hypervisoren, Firewalls, Intrusion-Detection-Systeme, Mikrocontroller, industrielle Automatisierungssysteme und andere in CRA Anhang III Teil II aufgeführte Kategorien. Diese Produkte erfordern stets eine Konformitätsbewertung durch Dritte bei einer benannten Stelle, unabhängig davon, ob harmonisierte Normen existieren.
Bereit für die CRA-Compliance?
CRA Evidence hilft Ihnen bei der Verwaltung von SBOMs, der Nachverfolgung von Schwachstellen und der Erstellung prüfungsfertiger Dokumentation.