CRA-Referenzen und Ressourcen

Nutzung der Referenzen

• Primärquellen für juristische Auslegung/Borderline-Cases.
• Guidance/Standardisierung für harmonisierte Standards (PT1/PT2/PT3, vertikale Standards).
• SDL/Vuln/SBOM/IoT-Baselines als technische Untermauerung für Entscheidungen im Technical File.

---

CRA-Primärquellen

• Regulation (EU) 2024/2847 - Cyber Resilience Act
  • Official Journal (EUR-Lex)
  • URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R2847
• Cyber Resilience Act - Kommissionsseite
  • URL: https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
• CRA - Summary of the legislative text
  • URL: https://digital-strategy.ec.europa.eu/en/policies/cra-summary
• CRA - Conformity assessment
  • URL: https://digital-strategy.ec.europa.eu/en/policies/cra-conformity-assessment
• CRA - Standardisation
  • URL: https://digital-strategy.ec.europa.eu/en/policies/cra-standardisation
• CRA - Reporting obligations
  • URL: https://digital-strategy.ec.europa.eu/en/policies/cra-reporting

CRA-Guidance

• CRA Implementation FAQ (EU-Kommission): https://ec.europa.eu/newsroom/dae/redirection/document/122331
• STAN4CRA (CEN/CENELEC/ETSI): https://www.stan4cra.eu/
• ETSI Cyber Security - CRA: https://www.etsi.org/technologies/cyber-security#mytoc5

SDL

• NIST SP 800-218 (SSDF) v1.1: https://csrc.nist.gov/pubs/sp/800/218/final
• IEC 62443-4-1 (Secure Product Development Lifecycle): https://webstore.iec.ch/publication/33615

Vulnerability Handling

• ISO/IEC 29147 (Vulnerability Disclosure): https://www.iso.org/standard/72311.html
• ISO/IEC 30111 (Vulnerability Handling Processes): https://www.iso.org/standard/69725.html

SBOM/VEX

• SPDX Spec (ISO/IEC 5962): https://spdx.dev/specifications/
• CycloneDX Spec (ECMA-424): https://cyclonedx.org/specification/overview/
• VEX (CISA): https://www.cisa.gov/sbom/vex

Embedded / IoT Baselines

• ETSI EN 303 645 (Consumer IoT): https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
• IEC 62443-4-2 (IACS-Komponenten): https://webstore.iec.ch/publication/34421
• ENISA IoT Baseline: https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot

Hinweis zu harmonisierten Standards (Dez 2025)

• Stand Dez 2025: CRA-harmonisierte Standards noch nicht im OJ zitiert. Standardisierungsauftrag an ESO läuft. Bis zur Zitierung auf robuste internationale/europäische Standards (z.B. IEC 62443-4-1/-4-2, ETSI EN 303 645) und anerkannte Frameworks (z.B. NIST SSDF) stützen. Kommission kann Common Specifications erlassen (Art. 27).