Zurück
Zurück zur
Blog-Übersicht
March 13, 2025

Cyber Resilience Act: Gesetzliche Vorgaben an Software

Cyber Resilience Act: Gesetzliche Vorgaben an Software

Anforderungen an Software nach dem Cyber Resilience Act:

Art 6 CRA gibt die wesentlichen Stoßrichtungen des Gesetzes wie folgt vor: Demnach dürfen Produkte mit digitalen Elementen nur dann auf dem Markt bereitgestellt werden, wenn (a) sie den grundlegenden Cybersicherheitsanforderungen in Anhang 1 Teil I genügen und unter der Bedingung, dass sie ordnungsgemäß installiert, gewartet und bestimmungsgemäß oder unter vernünftigerweise vorhersehbaren Umständen verwendet werden sowie gegebenenfalls die erforderlichen Sicherheitsaktualisierungen installiert wurden und (b) die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang 1 Teil II entsprechen.

Die Produkte mit digitalen Elementen müssen bereits in der Konzeption, der Entwicklung und Herstellung die Risiken angemessenen adressieren (security by design).



Grundlegende Cybersicherheitsanforderungen an Software nach dem Cyber Resilience Act

Die grundlegenden Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen sind:

  • Es gibt keine bekannten, ausnutzbaren Schwachstellen
  • Es wird mit einer sicheren Standardkonfiguration bereitgestellt
  • Es wird sichergestellt, dass Schwachstellen durch Sicherheitsaktualisierungen behoben werden können
  • Es sind geeignete Kontrollmechanismen implementiert, unter anderem Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme, um einen möglicherweise unbefugten Zugriff zu verhindern und zu melden
  • Die Vertraulichkeit von Daten muss gewährleistet sein, zum Beispiel durch Verschlüsselung relevanter Daten  
  • Die Integrität der Daten, Befehle, Programme und Konfigurationen muss gewahrt bleiben
  • Die Verarbeitung personenbezogener Daten ist auf ein erforderliches Maß zu beschränken (Grundsatz der Datenminimierung)
  • Überlastungsangriffe auf Server (Denial-of-Service-Angriffe) müssen verhindert werden
  • Negative Auswirkungen auf die Verfügbarkeit anderer Produkte müssen minimiert werden
  • Software muss so konzipiert, entwickelt und hergestellt werden, dass sie – auch bei externen Schnittstellen – möglichst geringe Angriffsfläche bieten
  • Software muss so konzipiert und entwickelt sein, dass die Auswirkungen eines Sicherheitsvorfalles möglichst gering bleiben
  • Interne Vorgänge wie Zugang zu Daten, Diensten oder Funktionen und Änderungen müssen aufgezeichnet und überwacht werden
  • Daten müssen dauerhaft sicher und einfach gelöscht werden können

Zurück
Zurück zur
Blog-Übersicht

Andere interessante Beiträge

Cyber Resilience Act: Gesetzliche Vorgaben an Software
March 13, 2025
Cyber Resilience Act: Gesetzliche Vorgaben an Software
Softwarerecht: Zum Schutz einer Software
March 3, 2025
Softwarerecht: Zum Schutz einer Software
KI in der Softwareentwicklung - Rechtliche Herausforderungen
February 25, 2025
KI in der Softwareentwicklung - Rechtliche Herausforderungen

Höchste Qualität durch jahrelange Spezialisierung
in den Rechtsgebieten EDV-Vertragsrecht,
Datenschutz, Urheberrecht.

Allgemeines
AkademieSpezialgebieteKanzleiKontakt
Blog
Dimensionen
In Sachen SoftwarerechtIn Sachen Vertragsrecht
Kontakt
Windmühlgasse 301060 Wienanfrage@digital-recht.at

© von-hertz.com | Impressum | Datenschutz