Kapitel 8: CRA-Anforderungsmatrix
Vollständige Zuordnung: CRA-Artikel → Dokumentation → Tooling
Diese Matrix ordnet jede relevante CRA-Anforderung der entsprechenden Dokumentation und dem implementierten Tooling zu. Sie dient als zentrale Referenz für Audits und Konformitätsprüfungen.
STATUSÜBERSICHT
| Kategorie | ✅ Implementiert | ⚠️ Produktspezifisch | ❌ Offen | Gesamt |
|---|---|---|---|---|
| Art. 10 – Herstellerpflichten | 8 | 4 | 0 | 12 |
| Art. 13 – Informationspflichten | 3 | 1 | 0 | 4 |
| Art. 14 – Meldepflichten | 1 | 3 | 0 | 4 |
| Art. 16 – Bevollmächtigter | 1 | 2 | 0 | 3 |
| Art. 28/29 – Konformität & CE | 0 | 2 | 0 | 2 |
| Annex I Teil I – Sicherheit | 6 | 1 | 0 | 7 |
| Annex I Teil II – Schwachstellen | 8 | 0 | 0 | 8 |
| Annex II – Nutzerinformation | 4 | 4 | 0 | 8 |
| Annex VII – Technische Doku | 3 | 4 | 0 | 7 |
| Gesamt | 34 | 21 | 0 | 55 |
Detaillierte Zuordnung: 8.1 Tooling-Zuordnung (Tool → CRA-Anforderung)
Pflichten nach Wirtschaftsakteur-Rolle
| CRA-Bereich | Hersteller | Importeur | Händler |
|---|---|---|---|
| Cybersicherheit by Design (Art. 10) | ✅ Voll | — | — |
| Konformitätsbewertung (Art. 10(5)) | ✅ Voll | — | — |
| SBOM-Erstellung (Art. 13(23)) | ✅ Voll | — | — |
| Schwachstellenbehandlung (Annex I Teil II) | ✅ Voll | — | — |
| Sicherheitsupdates (Art. 10(7)) | ✅ Voll | — | — |
| Incident-Meldung an ENISA (Art. 14) | ✅ Voll | — | — |
| CE-Kennzeichnung & EU-DoC (Art. 28–29) | ✅ Voll | ✅ Prüfen | ✅ Prüfen |
| Nutzerinformation (Annex II) | ✅ Voll | ✅ Prüfen | ✅ Prüfen |
| Technische Dokumentation (Annex VII) | ✅ Voll | ✅ Bereithalten | — |
| Konformität vor Inverkehrbringen prüfen | — | ✅ Voll (Art. 15) | ✅ Voll (Art. 17) |
| Hersteller bei Nichtkonformität informieren | — | ✅ Voll | ✅ Voll |
| Kooperation mit Marktüberwachung | ✅ Voll | ✅ Voll | ✅ Voll |
| Name & Adresse auf Produkt/Verpackung | ✅ Voll | ✅ Voll | ✅ Voll |
Rollen-Legende
Hersteller — Trägt die primäre Compliance-Verantwortung. Entwirft, entwickelt und produziert das Produkt. Importeur — Muss die Konformität des Herstellers vor dem Inverkehrbringen auf dem EU-Markt prüfen. Händler — Muss CE-Kennzeichnung und Erklärungen prüfen. Nicht für den Inhalt verantwortlich.
Geschätzter Aufwand nach Produktklasse
| Anforderungsbereich | Standard | Klasse I | Klasse II | Kritisch | Automatisierung |
|---|---|---|---|---|---|
| Sicherheitsrisikobewertung | 20–40h | 20–40h | 30–60h | 40–80h | Manuell |
| SBOM & Signierung | 8–16h | 8–16h | 8–16h | 8–16h | Automatisiert |
| Schwachstellenbehandlung | 20–40h | 20–40h | 20–40h | 20–40h | Automatisiert |
| Incident-Reporting-Aufbau | 16–32h | 16–32h | 16–32h | 16–32h | Teilautom. |
| Technische Dokumentation | 40–80h | 40–80h | 60–120h | 80–160h | Manuell |
| CE-Kennzeichnung & EU-DoC | 8–16h | 8–16h | 8–16h | 8–16h | Manuell |
| Konformitätsbewertung | Selbst (0h) | Selbst oder 40–80h* | 40–80h | 80–160h | Manuell |
| Einmalig gesamt | 112–224h | 112–304h | 182–364h | 252–504h | |
| Jährlich gesamt | 60–120h | 60–160h | 90–200h | 130–260h |
* Klasse I: Selbstbewertung bei vollständiger Anwendung harmonisierter Normen; sonst Drittbewertung.
BAUER GROUP Ansatz
Automatisiertes Tooling (Trivy, Grype, CycloneDX, Cosign, GitHub Actions) reduziert den tatsächlichen Aufwand für Standard- und Klasse-I-Produkte erheblich. Siehe Scope-Checker für Entscheidungshilfe.
Art. 10 – Pflichten der Hersteller
| CRA-Referenz | Anforderung | Dokumentation | Tooling | Status |
|---|---|---|---|---|
| Art. 10 Abs. 1 | Angemessenes Cybersicherheitsniveau bei Entwurf, Entwicklung, Herstellung | Sicherheitsarchitektur | Security Scans (Trivy, Grype, Snyk), Code Review | ✅ |
| Art. 10 Abs. 2 | Cybersecurity-Risikobewertung durchführen | Risikobewertung | – (manueller Prozess + Template) | ⚠️ |
| Art. 10 Abs. 3 | Risikobewertung in Dokumentation aufnehmen | Technische Dokumentation | Git-versioniert | ⚠️ |
| Art. 10 Abs. 4 | Sorgfaltspflicht bei Drittkomponenten | Supply Chain | License Compliance, Dependency Scan | ✅ |
| Art. 10 Abs. 5 | Konformitätsbewertung durchführen | Conformity Assessment | – (manueller Prozess + Template) | ⚠️ |
| Art. 10 Abs. 6 | Schwachstellen wirksam ermitteln | Vulnerability Management | CVE-Monitor, Dependabot, Trivy | ✅ |
| Art. 10 Abs. 7 | Sicherheitsupdates kostenlos bereitstellen | Patch Management | Dependabot, Auto-Merge, Release Pipeline | ✅ |
| Art. 10 Abs. 8 | Keine bekannten ausnutzbaren Schwachstellen | CVE-Monitoring | CVE-Monitor (täglich), Trivy | ✅ |
| Art. 10 Abs. 9 | Koordinierte Schwachstellenoffenlegung | Disclosure Policy | SECURITY.md, GitHub Advisories | ✅ |
| Art. 10 Abs. 10 | Kontaktstelle für Schwachstellenmeldungen | Disclosure Policy | SECURITY.md in jedem Repository | ✅ |
| Art. 10 Abs. 12 | Integrität von Sicherheitsupdates | SBOM & Signierung | Cosign, SHA256 | ✅ |
| Art. 10 Abs. 13 | Dokumentation 10 Jahre aufbewahren | Technische Dokumentation | Git-Repository (10-Jahres-Retention) | ✅ |
| Art. 10 Abs. 16 | Support-Zeitraum festlegen und veröffentlichen | Support & Lifecycle | SECURITY.md, Produktseite | ⚠️ |
Art. 13 – Informationspflichten
| CRA-Referenz | Anforderung | Dokumentation | Tooling | Status |
|---|---|---|---|---|
| Art. 13 Abs. 6 | CVD-Richtlinie veröffentlichen | Disclosure Policy | SECURITY.md | ✅ |
| Art. 13 Abs. 8 | Kontaktdaten für Schwachstellenmeldungen | SECURITY.md | Repository SECURITY.md | ✅ |
| Art. 13 Abs. 16 | Support-Zeitraum kommunizieren | Support & Lifecycle | – | ⚠️ |
| Art. 13 Abs. 23 | SBOM erstellen (maschinenlesbar) | SBOM & Signierung | Trivy/Syft → CycloneDX JSON | ✅ |
Art. 14 – Meldepflichten
| CRA-Referenz | Anforderung | Dokumentation | Tooling | Status |
|---|---|---|---|---|
| Art. 14 Abs. 1 | Frühwarnung bei aktiv ausgenutzter Schwachstelle (24h) | ENISA-Meldeprozess | ENISA SRP (ab 09/2026) | ⚠️ |
| Art. 14 Abs. 2 | Schwachstellenmeldung (72h) | ENISA-Meldeprozess | ENISA SRP | ⚠️ |
| Art. 14 Abs. 3 | Abschlussbericht (14 Tage) | ENISA-Meldeprozess | ENISA SRP | ⚠️ |
| Art. 14 Abs. 8 | Nutzerbenachrichtigung | Kommunikationsplan | GitHub Advisories, E-Mail | ✅ |
Art. 16 – Bevollmächtigter (EU Authorized Representative)
| CRA-Referenz | Anforderung | Dokumentation | Tooling | Status |
|---|---|---|---|---|
| Art. 16 Abs. 1 | Bevollmächtigten durch schriftliche Vollmacht benennen (Nicht-EU-Hersteller) | Rollen & Verantwortlichkeiten | – (vertraglicher Prozess) | ⚠️ |
| Art. 16 Abs. 2 | Konformitätsdokumentation 10 Jahre bereithalten | Rollen & Verantwortlichkeiten | Git-Repository (10-Jahres-Retention) | ✅ |
| Art. 16 Abs. 2 | Kooperation mit Marktüberwachungsbehörden | Rollen & Verantwortlichkeiten | – | ⚠️ |
Art. 28 – Konformitätserklärung & CE
| CRA-Referenz | Anforderung | Dokumentation | Tooling | Status |
|---|---|---|---|---|
| Art. 28, Annex V | EU-Konformitätserklärung ausstellen | EU DoC | Template | ⚠️ |
| Art. 29 | CE-Kennzeichnung anbringen | EU DoC | – | ⚠️ |
Annex I, Teil I – Sicherheitsanforderungen
| Nr. | Anforderung | Dokumentation | Tooling | Status |
|---|---|---|---|---|
| 1 | Angemessenes Cybersicherheitsniveau | Sicherheitsarchitektur | Multi-Engine Security Scanning | ✅ |
| 2 | Keine bekannten ausnutzbaren Schwachstellen | CVE-Monitoring | CVE-Monitor, Trivy, Dependabot | ✅ |
| 3.1 | Vertraulichkeitsschutz (Daten) | Sicherheitsarchitektur | TLS, AES-256 | ✅ |
| 3.2 | Integritätsschutz (Daten) | SBOM & Signierung | Cosign, SHA256 | ✅ |
| 3.3 | Verfügbarkeitsschutz | Sicherheitsarchitektur | Produktspezifisch | ⚠️ |
| 4 | Sichere Standardkonfiguration | Sicherheitsarchitektur | Security-by-Default | ✅ |
| 5 | Schutz vor unbefugtem Zugriff | Sicherheitsarchitektur | Auth/Authz | ✅ |
| 6 | Minimale Angriffsfläche | Sicherheitsarchitektur | Alpine/Distroless, min. Dienste | ✅ |
Annex I, Teil II – Schwachstellenbehandlung
| Nr. | Anforderung | Dokumentation | Tooling | Status |
|---|---|---|---|---|
| 1 | Schwachstellen ermitteln und dokumentieren (SBOM) | SBOM & Signierung | Trivy/Syft, CycloneDX | ✅ |
| 2 | Schwachstellen unverzüglich beheben | Patch Management | Dependabot, CI/CD | ✅ |
| 3 | Regelmäßige Tests und Reviews | Sicherheitsarchitektur | CI/CD Security Scans | ✅ |
| 4 | Offenlegung behobener Schwachstellen | Disclosure Policy | GitHub Security Advisories | ✅ |
| 5 | Koordinierte Schwachstellenoffenlegung | Disclosure Policy | SECURITY.md, CVD-Prozess | ✅ |
| 6 | Sicherheitsupdates bereitstellen | Update-Mechanismus | Release Pipeline, OTA | ✅ |
| 7 | Unverzügliche Bereitstellung | Patch Management | SLA-basiert (P0-P4) | ✅ |
| 8 | Kontaktstelle benennen | SECURITY.md | SECURITY.md, CVD-Policy | ✅ |
Annex II – Nutzerinformation
| Nr. | Anforderung | Dokumentation | Status |
|---|---|---|---|
| 1 | Herstellername und Kontakt | Produktseite, SECURITY.md | ✅ |
| 2 | Produktidentifikation | Release Notes, Repository | ✅ |
| 3 | Bestimmungsgemäße Verwendung | Produktbeschreibung | ⚠️ |
| 4 | Sicherheitsrelevante Eigenschaften | Nutzerinformation Template | ⚠️ |
| 5 | Support-Zeitraum | Support & Lifecycle | ⚠️ |
| 6 | Installationsanweisungen | README, Produktdokumentation | ⚠️ |
| 7 | Kontakt für Schwachstellenmeldungen | SECURITY.md | ✅ |
| 8 | Changelog wesentlicher Änderungen | Changelog, Release Notes | ✅ |
Annex VII – Technische Dokumentation
| Nr. | Anforderung | Dokumentation | Status |
|---|---|---|---|
| 1 | Allgemeine Produktbeschreibung | Produktbeschreibung | ⚠️ |
| 2 | Sicherheitsrisikobewertung | Risikobewertung | ⚠️ |
| 3 | Architektur und Design | Sicherheitsarchitektur | ✅ |
| 4 | Schwachstellenbehandlungsverfahren | Vulnerability Management | ✅ |
| 5 | Angewandte Normen | Compliance-Matrix | ✅ |
| 6 | Konformitätsbewertung | Conformity Assessment | ⚠️ |
| 7 | EU-Konformitätserklärung | EU DoC | ⚠️ |
Legende
| Symbol | Bedeutung |
|---|---|
| ✅ | Implementiert und dokumentiert |
| ⚠️ | Dokumentation vorhanden, produktspezifische Umsetzung erforderlich |
| ❌ | Noch nicht implementiert |