FAQ - NIS2, CRA & BSI TR-03183
Häufige Fragen zu EU-Cybersicherheitsregulierung - verständlich beantwortet für IT-Verantwortliche und Hersteller im Mittelstand.
Verordnung (EU) 2024/2847 - Sicherheitsanforderungen für Produkte mit digitalen Elementen
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung mit der Bezeichnung (EU) 2024/2847. Sie legt Sicherheitsanforderungen für Produkte mit digitalen Elementen fest. Das betrifft Hardware und Software, die in der EU verkauft werden. Ziel ist es, Sicherheit bereits in der Entwicklung zu verankern - nicht nachträglich.
Quelle: Verordnung (EU) 2024/2847
Für wen gilt der CRA?
Der CRA gilt für Hersteller von Produkten mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Das umfasst Hardware-Produkte mit Software-Anteil ebenso wie reine Software-Produkte. Importeure und Händler haben ebenfalls Pflichten, wenn auch in geringerem Umfang als Hersteller.
Wann gelten welche CRA-Fristen?
Der CRA tritt in drei Stufen in Kraft. Am 11. Dezember 2024 ist die Verordnung in Kraft getreten - die Übergangsfristen laufen seitdem. Am 11. September 2026 greift die 24-Stunden-Meldepflicht für aktiv ausgenutzte Schwachstellen. Am 11. Dezember 2027 gilt der CRA vollständig: CE-Kennzeichnung wird Pflicht, nicht-konforme Produkte dürfen nicht mehr in der EU verkauft werden.
Quelle: Verordnung (EU) 2024/2847; BSI
Was bedeutet Security by Design im CRA?
Security by Design ist eine der drei Kernanforderungen des CRA. Sie bedeutet: Sicherheit muss ab der Planungs- und Entwicklungsphase berücksichtigt werden. Sicherheit darf kein nachträglicher Zusatz sein. Hersteller müssen dokumentieren, wie sie Sicherheit im Entwicklungsprozess verankern.
Quelle: Verordnung (EU) 2024/2847, Anhang I
Was fordert der CRA zum Schwachstellenmanagement?
Hersteller müssen Schwachstellen über den gesamten Produktlebenszyklus identifizieren, verfolgen und beheben. Nutzer müssen über bekannte Schwachstellen informiert werden. Der Mindest-Supportzeitraum beträgt 5 Jahre. Ohne SBOM und aktives Monitoring ist die Einhaltung dieser Pflichten in der Praxis kaum möglich.
Quelle: Verordnung (EU) 2024/2847, Anhang I, Teil II
Welche Meldefristen gelten nach dem CRA?
Ab dem 11. September 2026 gelten drei Fristen. Innerhalb von 24 Stunden muss eine Frühwarnung an ENISA und das zuständige nationale CSIRT erfolgen. Innerhalb von 72 Stunden ist eine vollständige Meldung erforderlich. Spätestens nach 14 Tagen ist ein Abschlussbericht einzureichen. Die Fristen beginnen ab dem Zeitpunkt der Kenntniserlangung.
Quelle: Verordnung (EU) 2024/2847, Art. 14
Brauche ich eine SBOM für den CRA?
Ja. Der CRA verpflichtet Hersteller, eine Software Bill of Materials (SBOM) zu erstellen und bereitzuhalten. Eine SBOM listet alle Softwarekomponenten eines Produkts maschinenlesbar auf. Ohne SBOM lässt sich nicht feststellen, welche Produkte von einer bekannten Schwachstelle betroffen sind. Das macht eine gezielte Reaktion auf Vorfälle wie Log4Shell unmöglich.
Quelle: Verordnung (EU) 2024/2847, Anhang I, Teil II
EU-Richtlinie zur Netz- und Informationssicherheit
Was ist NIS2?
NIS2 ist die zweite Fassung der EU-Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die erste NIS-Richtlinie und erweitert den Anwendungsbereich erheblich. Mitgliedstaaten mussten sie bis Oktober 2024 in nationales Recht umsetzen. In Deutschland erfolgt die Umsetzung durch das NIS2UmsuCG.
Quelle: Richtlinie (EU) 2022/2555
Für wen gilt NIS2?
NIS2 gilt für Unternehmen in kritischen und wichtigen Sektoren. Die Einstufung hängt von Sektor, Mitarbeiterzahl und Umsatz ab. Betroffen sind unter anderem Energie, Transport, Gesundheit, digitale Infrastruktur, Finanzwesen und öffentliche Verwaltung. Ob ein Unternehmen betroffen ist, muss anhand des nationalen Umsetzungsgesetzes geprüft werden.
Quelle: Richtlinie (EU) 2022/2555, Art. 2 und Anhang
Welche Meldepflichten gelten nach NIS2?
Erhebliche Sicherheitsvorfälle müssen in drei Stufen gemeldet werden. Innerhalb von 24 Stunden ab Kenntniserlangung ist eine Frühwarnung an die zuständige Behörde oder das CSIRT erforderlich. Innerhalb von 72 Stunden folgt eine vollständige Meldung. Nach spätestens einem Monat ist ein Abschlussbericht einzureichen.
Quelle: Richtlinie (EU) 2022/2555, Art. 23
Wann beginnt die 24-Stunden-Meldefrist nach NIS2?
Die Frist beginnt ab dem Zeitpunkt der Kenntniserlangung. Das bedeutet: Wird ein Vorfall nicht erkannt, beginnt die Frist nicht. Das ist jedoch kein Freifahrtschein. Wer durch fehlendes Monitoring keine Kenntnis erlangt, verstößt damit selbst gegen NIS2 - denn die Pflicht zur Erkennung ist Teil der Sicherheitsanforderungen.
Quelle: Richtlinie (EU) 2022/2555, Art. 23
Was passiert, wenn ein Vorfall wegen fehlenden Monitorings nicht erkannt wird?
Fehlende Kenntnis durch fehlendes Monitoring ist kein Schutz vor einer NIS2-Verletzung. NIS2 verlangt, dass betroffene Unternehmen die nötigen Maßnahmen treffen, um Sicherheitsvorfälle erkennen zu können - technisch wie organisatorisch. Wer kein Monitoring betreibt, erfüllt diese Anforderung nicht - unabhängig davon, ob ein Vorfall tatsächlich eintritt.
Quelle: Richtlinie (EU) 2022/2555, Art. 21
Was ist der Unterschied zwischen NIS2 und dem CRA?
NIS2 richtet sich an Betreiber kritischer und wichtiger Dienste. Der CRA richtet sich an Hersteller von Produkten mit digitalen Elementen. Ein Unternehmen kann unter beide Regelwerke fallen - zum Beispiel ein Hersteller von Industriesteuerungen, der selbst Teil kritischer Infrastruktur ist. Die Meldepflichten überschneiden sich, unterscheiden sich aber in Empfänger und Detail.
Quelle: Richtlinie (EU) 2022/2555; Verordnung (EU) 2024/2847
Technische Richtlinie des BSI zur technischen Umsetzung des CRA
Was ist die BSI TR-03183?
Die BSI TR-03183 ist eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik. Sie beschreibt, wie Hersteller die Anforderungen des CRA technisch umsetzen können. Die Richtlinie besteht aus drei Teilen: Teil 1 behandelt allgemeine Anforderungen, Teil 2 beschreibt SBOM-Anforderungen, Teil 3 regelt Schwachstellen-Reports und Notifications. Alle drei Teile sind kostenlos beim BSI verfügbar.
Quelle: BSI TR-03183
Ist die BSI TR-03183 freiwillig?
Formal ist die TR-03183 eine Technische Richtlinie - kein verbindliches Gesetz. Für CRA-pflichtige Hersteller ist sie in der Praxis jedoch verbindlich: Wer sich an TR-03183 hält, erfüllt die wesentlichen technischen Anforderungen des CRA. Die Richtlinie als "freiwillig" zu beschreiben ist daher irreführend.
Quelle: BSI TR-03183; Verordnung (EU) 2024/2847
Was regelt TR-03183-3?
TR-03183-3 behandelt Schwachstellen-Reports und Notifications. Sie beschreibt den Prozess der Coordinated Vulnerability Disclosure, legt den Inhalt von Schwachstellen-Meldungen fest und regelt das Vorgehen nach Bekanntwerden einer Schwachstelle. Hersteller, die sich an TR-03183-3 halten, erfüllen die wesentlichen Anforderungen aus CRA Art. 14 - also die 24h-Frühwarnung, die 72h-Vollmeldung und den 14-Tage-Abschlussbericht.
Quelle: BSI TR-03183-3; Verordnung (EU) 2024/2847, Art. 14
Common Security Advisory Framework - OASIS-Standard für maschinenlesbare Schwachstellen-Advisories
Warum ist CSAF für den CRA relevant?
Die ENISA Single Reporting Platform wird ab September 2026 Schwachstellen-Meldungen verarbeiten. CSAF ist das vorgesehene Format für maschinenlesbare Meldungen. CSAF deckt die Pflichtfelder aus CRA Art. 14 ab: Hersteller, betroffene Produkte, Schwachstelle, CVSS-Score und Patch-Status. Hersteller, die ab 2026 meldepflichtig sind, sollten das Format frühzeitig kennen.
Quelle: Verordnung (EU) 2024/2847, Art. 14; OASIS CSAF 2.0
Was enthält eine CSAF-Datei?
Eine CSAF-Datei ist ein JSON-Dokument mit definierten Pflichtfeldern. Dazu gehören Angaben zum Hersteller, zu betroffenen Produkten und Versionen, zur Schwachstelle selbst (inkl. CVE-Nummer und CVSS-Score) sowie zum Status eines verfügbaren Patches. CSAF ist maschinenlesbar und kann direkt in SIEM-Systeme und Schwachstellen-Management-Tools importiert werden.
Quelle: OASIS CSAF 2.0