Auf Grundlage dieser Entscheidung können Unternehmen unterschiedliche organisatorische Strukturen für die Umsetzung und Kontrolle wählen. Bei Moxa hat die Geschäftsleitung einen klaren Rahmen geschaffen, der funktionsübergreifende Expertengruppen aus den Bereichen Forschung und Entwicklung, Produktsicherheit, Qualität und Produktmanagement umfasst, um die CRA-Compliance zu verwalten.

Dadurch wird sichergestellt, dass die Verantwortung für CRA-bezogene Aktivitäten von der Unternehmensrichtlinie bis hin zur einzelnen Produktentwicklung und -fertigung nachvollziehbar ist.

Welche pragmatischen Methoden können verwendet werden, um die CRA-Konformität bei begrenzten Ressourcen nachzuweisen?

Moxa verwendet strukturierte Checklisten und Vorlagen, um Produktmerkmale und Prozesse konsistent und transparent den CRA-Anforderungen zuzuordnen.

Diese Checklisten unterstützen eine risikobasierte Priorisierung von Maßnahmen, sodass Anforderungen mit hoher Auswirkung und Schwachstellen zuerst adressiert werden – selbst bei begrenzten Ressourcen. Die Ergebnisse fließen in die technische Dokumentation und die interne Konformitätsbewertung ein.

Wie können Sicherheitsanforderungen und Designentscheidungen über den gesamten Produktlebenszyklus hinweg dokumentiert werden?

Sicherheitsanforderungen und Designentscheidungen werden im Rahmen des Secure Development Lifecycle (SDL) von Moxa verwaltet.

Innerhalb des SDL werden Sicherheitsanforderungen, Architektur- und Designentscheidungen, Implementierungshinweise sowie Testergebnisse in Lebenszyklusartefakten dokumentiert, zum Beispiel Lasten-/Pflichtenhefte, Design-Reviews, Änderungsanträge, Testberichte. Dieses Verfahren stellt sicher, dass CRA-relevante Entscheidungen vom ersten Konzept über Verifikation und Validierung hinweg dokumentiert sind. Zugleich belegt es das kontinuierliche Engagement zur Verbesserung des Secure Development Lifecycle, was Stabilität und Wettbewerbsfähigkeit der Produkte unterstützt.

Wie ist die technische Dokumentation strukturiert, damit die CRA-Konformität eindeutig nachgewiesen werden kann?

Die technische Dokumentation basiert auf den Ergebnissen des SDL und den damit verbundenen Produktsicherheitsprozessen.

Es fasst in der Regel die Risikobewertung, Sicherheitsanforderungen, Details zu Design und Implementierung, Testnachweise, Umgang mit Schwachstellen und Updates, Supportzeitraum und SBOM-Informationen zusammen. Die zuständigen Funktionen werden pro Dokumenttyp definiert, und die Versionskontrolle stellt sicher, dass Änderungen an CRA-relevanten Informationen über die gesamte Produktlebensdauer hinweg nachverfolgt werden.

Gibt es eine formelle Erklärung, dass Produkte CRA-konform sind? Wer erstellt und überprüft diese Erklärung?

Gemäß dem Cyber Resilience Act erfordert jedes Produkt im Geltungsbereich eine Konformitätsbewertung und eine EU-Konformitätserklärung.

Je nach Produktkategorie und Risikostufe kann die anzuwendende Konformitätsbewertung von einer internen Selbstbewertung auf der Grundlage unserer eigenen Produktionskontrollen bis hin zu einer Konformitätsbewertung durch Dritte oder einer Produktzertifizierung durch eine benannte Stelle reichen, wie es die CRA vorschreibt.

Die Verordnung legt verschiedene Konformitätsbewertungsverfahren fest:

Für die meisten Produkte der Standardkategorie und für Produkte, die als wichtig (Klasse I) eingestuft sind, können Hersteller eine Selbstbewertung auf der Grundlage ihrer internen Produktionskontrollen und technischen Dokumentation durchführen.

Für Produkte, die als wichtige Klasse II eingestuft sind, ist eine obligatorische Bewertung durch eine benannte Stelle erforderlich.

Sogenannte kritische Produkte, die für kritische Infrastrukturen unerlässlich sind, müssen ein spezielles Zertifizierungssystem nach den EUCC (European Common Criteria) durchlaufen.

In allen Fällen bleibt Moxa als Hersteller für die Ausstellung und Aufrechterhaltung der EU-Konformitätserklärung und der CE-Kennzeichnung verantwortlich, basierend auf unterstützenden technischen Unterlagen und gegebenenfalls unabhängigen Bewertungsberichten. Dies ist für uns ein etablierter Prozess. Beispielsweise erfüllen wir diese Anforderungen bereits für unsere drahtlosen Produkte gemäß der Radio Equipment Directive (RED). Die EU-Konformitätserklärungen für diese Produkte sind auf unserer Unternehmenswebsite öffentlich zugänglich.

Wie wird die Sicherheit der Lieferanten bewertet und wie werden die Ergebnisse in die Produktdokumentation integriert?

Die Sicherheit der Lieferanten wird anhand von Sicherheits- und Qualitätskriterien bewertet, die aus relevanten Normen wie EN IEC 62443-4-1 / 4-2 und entsprechenden Änderungen abgeleitet sind.

Diese Kriterien spiegeln sich in der Lieferantenauswahl, den Verträgen und der Zulassung von Komponenten wider. Informationen über kritische Komponenten von Drittanbietern, deren Sicherheitseigenschaften und Support-Verpflichtungen werden dann in der SBOM, der Risikobewertung und der technischen Dokumentation für das Produkt erfasst.

Welche Sicherheitstests sollten Unternehmen durchführen und wie werden die Ergebnisse dokumentiert?

Die Auswahl der Tests ist produkt- und risikospezifisch. Je nach Risikoprofil kommen statische und dynamische Codeanalysen, automatisierte Schwachstellenscans, Sicherheitsfunktionstests und gezielte Penetrationstests in Anlehnung an die IEC 62443-4-1 zum Einsatz.

Durchgeführte Tests, Umfang und Ergebnisse werden in Testplänen und Testberichten dokumentiert, die Teil der SDL-Artefakte sind.

Was bedeutet „Secure by Default“ und wie wird sichergestellt, dass Produkte in diesem Zustand ausgeliefert werden?

„Secure by Default“ ist ein grundlegendes Designprinzip, das sicherstellt, dass ein Produkt in einem sicheren Zustand für seinen Verwendungszweck und Sicherheitskontext ausgeliefert wird. Der Begriff „Default“ bezieht sich auf die Konfiguration bei der Erstauslieferung des Produkts oder nach einem Werksreset.

Dieses Prinzip zielt darauf ab, Produkte so zu entwerfen und zu konfigurieren, dass sie bei der Verwendung ausreichend sicher sind. In der Praxis bedeutet dies, dass Produkte mit einer eingeschränkten Angriffsfläche und minimalen Berechtigungen ausgeliefert werden. Bei einigen Geräten ist dieser sichere Zustand sofort aktiv, während andere einen obligatorischen, geführten Einrichtungsprozess erfordern, um in Betrieb genommen zu werden, beispielsweise indem der Benutzer gezwungen wird, ein Standardpasswort zu ändern, bevor das Gerät voll funktionsfähig ist.

Diese sicheren Konfigurationen werden im Rahmen des Secure Development Lifecycle (SDL) definiert und validiert. Klare Anweisungen zu diesen Einstellungen und weiteren Optionen zur Absicherung finden sich in den Produktsicherheitsrichtlinien und Installationshandbüchern, um Kunden bei der Aufrechterhaltung einer angemessenen Sicherheitslage zu unterstützen.

Für besonders kritische Produkte: Welche Art von unabhängiger Überprüfung oder Bewertung wird durchgeführt und wie wird diese dokumentiert?

Gemäß der CRA unterliegen „kritische Produkte mit digitalen Elementen“ strengeren Konformitätsbewertungsverfahren, an denen zwingend eine benannte Stelle beteiligt sein muss, die das Europäische Cybersicherheitszertifizierungssystem (EUCC) anwendet. Dieses neue System zielt darauf ab, Cybersicherheitsbewertungen und -zertifizierungen in Europa zu harmonisieren.

Wie wird die Rückverfolgbarkeit von Anforderungen zu Tests sichergestellt?

Bei Moxa wird die Rückverfolgbarkeit als Teil der SDL- und IEC 62443-konformen Entwicklungspraktiken umgesetzt.

Sicherheitsanforderungen sind mit entsprechenden Designelementen und Testfällen in den Entwicklungswerkzeugen verknüpft, sodass jede Anforderung auf einen oder mehrere Tests und deren Ergebnisse zurückgeführt werden kann. Dies liefert dokumentierte Nachweise für die Abdeckung der „Anforderungen an Tests“ für unser gesamtes Produkt, einschließlich aller für die CRA relevanten Funktionen.

Welche Dokumente enthalten Informationen zu Secure Defaults, Hardening, Updates, Incident Handling und End-of-Life?

Informationen zu sicheren Standardeinstellungen und zur Absicherung sind in Installationshandbüchern, Konfigurationsanleitungen und Sicherheits- oder Absicherungshandbüchern zu finden.

Bei Moxa sind Details zu Software- und Firmware-Updates, zum Umgang mit Schwachstellen und Vorfällen sowie zum Ende der Produktlebensdauer (einschließlich Support-Zeitfenstern) in der Produktdokumentation und in den Lebenszyklusrichtlinien auf Unternehmensebene beschrieben. Sobald harmonisierte CRA-bezogene Normen verfügbar sind, werden diese Dokumente entsprechend angepasst.

Wie kann nachgewiesen werden, dass Produktentscheidungen die CRA-Anforderungen berücksichtigen?

Produktentscheidungen werden durch dokumentierte und auditierbare Prozesse im Secure Development Lifecycle belegt.

Beispielsweise umfassen Designprüfungen obligatorische Sicherheitscheckpunkte, deren Nachweis in Bedrohungsmodellen und formellen Abnahmeprotokollen dokumentiert ist. Darüber hinaus definiert die öffentliche Richtlinie zum Schwachstellenmanagement Zeitpläne für Abhilfemaßnahmen und regelt die Patch-Strategie, um sicherzustellen, dass sie mit den CRA-Anforderungen übereinstimmt.

Diese Artefakte schaffen eine klare, nachvollziehbare Verbindung zwischen den Anforderungen und unseren Produktentscheidungen. Die Nachweise werden in der technischen Dokumentation des Produkts zusammengefasst, die die Grundlage für die EU-Konformitätserklärung und die CE-Kennzeichnung bildet.