Referenzen, Normen und Ressourcen

Zentrale Rechtstexte

• Cyber Resilience Act (CRA) — Regulation (EU) 2024/2847
  • Herausgeber: Europäische Union
  • URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R2847
  • Kurzbeschreibung: Haupttext mit Anforderungen für Produkte mit digitalen Elementen (PDE).
• RED, EMV, Niederspannungsrichtlinie
  • Herausgeber: Europäische Union
  • URL: https://single-market-economy.ec.europa.eu/single-market/european-standards/harmonised-standards/radio-equipment_en
  • Kurzbeschreibung: Rahmen weiterer CE‑Gesetzgebung, die für Embedded‑Produkte relevant sein kann.

CRA‑Guides und Zusammenfassungen

• CRA summary — European Commission
  • Herausgeber: Europäische Kommission
  • URL: https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
  • Kurzbeschreibung: Offizielle Zusammenfassung, FAQ und Links zur Normungsarbeit.
• ENISA — CRA und zugehörige Leitfäden
  • Herausgeber: ENISA
  • URL: https://www.enisa.europa.eu/
  • Kurzbeschreibung: Ergänzende Ressourcen und Best Practices zur Cybersicherheit.

SDL und Vulnerability‑Management

• NIST SP 800‑218 (SSDF) — Secure Software Development Framework
  • Herausgeber: NIST
  • URL: https://csrc.nist.gov/pubs/sp/800/218/final
  • Kurzbeschreibung: Rahmen zur Gestaltung eines SDL, der zum CRA passt.
• ISO/IEC 29147 & 30111 — Vulnerability Disclosure & Handling
  • Herausgeber: ISO/IEC
  • URL: https://www.iso.org/standard/45170.html
  • Kurzbeschreibung: Referenznormen für CVD‑Policy und Schwachstellenmanagement.

SBOM und VEX

• SPDX & CycloneDX — SBOM‑Formate
  • Herausgeber: SPDX, OWASP CycloneDX
  • URL: https://spdx.dev/ ; https://cyclonedx.org/
  • Kurzbeschreibung: Standardformate zur Beschreibung von Software‑Komponenten.
• VEX — Vulnerability Exploitability eXchange
  • Herausgeber: CISA / SBOM‑Community
  • URL: https://www.cisa.gov/sbom/vex
  • Kurzbeschreibung: Format zur Kommunikation der Exploitability bekannter Schwachstellen.

Embedded‑/IoT‑Baselines

• ETSI EN 303 645 — Cyber Security for Consumer IoT
  • Herausgeber: ETSI
  • URL: https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
  • Kurzbeschreibung: Basisanforderungen für vernetzte Consumer‑Geräte.
• IEC 62443‑4‑2 — Technische Sicherheitsanforderungen für IACS‑Komponenten
  • Herausgeber: IEC
  • URL: https://webstore.iec.ch/publication/34421
  • Kurzbeschreibung: Technische Anforderungen für Embedded‑/Industrie‑Komponenten.
• ENISA — Baseline Security Recommendations for IoT
  • Herausgeber: ENISA
  • URL: https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot
  • Kurzbeschreibung: Praxisnahe Empfehlungen für IoT/Embedded‑Systeme.

Hinweis zu harmonisierten Normen (Stand Dez. 2025)

Mit Stand Dezember 2025 sind CRA‑harmonisierte Normen noch nicht im Amtsblatt gelistet. Der Normungsauftrag der Kommission an die europäischen Normungsorganisationen (ESO) läuft. Bis zur Zitierung können Hersteller robuste internationale/europäische Normen (z. B. IEC 62443‑4‑1/‑4‑2, ETSI EN 303 645) und etablierte Frameworks (z. B. NIST SSDF) nutzen. Die Kommission kann bei Bedarf gemeinsame Spezifikationen nach Art. 27 CRA erlassen.