smartnuts … the world on the cabaret-style dissecting table

CRA im OEM-Umfeld

By Michael Bunzel
In Automotive Cybersecurity, Law and Legal Action, Technology
3 Wochen ago
5 Min Read
C

Der Cyber Resilience Act (Regulation EU 2024/2847), der am 10. Dezember 2024 in Kraft getreten ist, findet seinen Ankerpunkt in der EU Security Union Strategy und der EU Cybersecurity Strategy von 2020 und ergänzt insoweit die NIS2 Direktive. Der CRA reguliert Produkte oder Services (d.h. Hardware und Software) mit digitalen Elementen. CRA-relevante Produkte oder Service demonstrieren ihre Compliance zum CRA mit einem CE-Label.

AnwendungBarkeit im Kontext OEM

  • CRA nicht anwendbar für das Produkt “Automobil” (Fahrzeugklasse M, N und O) gem. Art. 2 Abs. 2 c), da diese über die spezialgesetzliche Verordnung (EU) 2019/2144 reguliert sind (insbesondere die für den CRA relevanten Prozessstrukturen werden über die UN-R155 adressiert, die im Rahmen der Ergänzung der ursprünglichen VO 2019/2144 vom 05.09.2022 über Art. 4 Abs. 2 Eingang in den Annex I gefunden haben).
  • CRA perspektivisch ebenfalls nicht anwendbar für das Produkt “Motorrad” (Fahrzeugklasse L) gem. Art. 2 Abs. 2 c), da mit der geplanten Aufnahme der Fahrzeugklasse L in den Geltungsbereich der UN-R155 der Eintrittszeitpunkt für New Types der Fahrzeugklasse L mit den operativen Eintrittsdaten der CRA harmonisiert werden soll. Hierbei handelt es sich um ein Ergebnis aus der Abstimmung der UN Working Group Cybersecurity (WG-CS) und der Working Group Whole Vehicle Type Approval (WG-WVTA) mit der Europäischen Kommission, DG CONNECT und DG GROW, (Stand 01/2025)
  • CRA nicht anwendbar für fahrzeugnahe Backendsysteme, selbst wenn diese Grundlage der Erbringung von (digitalen) Services gegenüber dem Kunden sind. Backendsysteme sind explizit im Bedrohungskatalog unter Annex V, Teil C1, Ziff. der UN-R155 benannt, d.h. entsprechend Bedrohungsvektoren sind verpflichtend im Rahmen von Risikobetrachtungen im Rahmen des Cybersecurity-Managementsystems (CSMS) eines OEMs mit zu berücksichtigen und werden damit zugleich Teil der Konformitätsbescheinigung für das vom OEM betriebene CSMS, welches wiederum Voraussetzung für die Erteilung der Cybersecurity-Typgenehmigung nach UN-R155 (via VO 2019/2144) ist.
  • CRA nicht anwendbar für Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und die nach denselben Spezifikationen hergestellt werden wie die Bauteile, die sie ersetzen sollen
  • CRA anwendbar für sog. Aftermarket-Produkte mit digitalen Elementen der OEMs, da diese nicht Gegenstand der Typzulassung des Fahrzeugs sind
  • CRA ebenfalls anwendbar für Softwareprodukte der OEMs, soweit diese der Erbringung eines Services gegenüber dem Kunden zu dienen bestimmt sind (bspw. Mobile Apps)

Anforderungen

  • Erfüllung grundlegender Sicherheitsanforderungen nach Anhang I, Teil 1 CRA
    • Security-architekturelle Anforderungen in der Design-/Entwicklungsphase:
      • Security-by-Design
      • Security-by-Default
    • Prozesshafte Anforderungen in der Entwicklungs-, Implementierungs- und Feldphase:
      • Durchführung von Risikoanalysen sowie deren Pflege während des Produktlebenszyklus (im zeitlichen Rahmen des CRA)
      • Herstellung in einer Art und Weise, dass Produkte mit digitalen Elementen ohne bekannte ausnutzbare Schwachstellen auf dem Markt bereitgestellt werden können (u.a. Durchlaufen eines Vulnerability Management Prozesses unter Einbeziehung SBOM, vgl. hierzu auch Anhang I, Teil II CRA)
      • Bereitstellung auf dem Markt mit einer Standardkonfiguration, welche der Kunde zu jedem Zeitpunkt wieder herstellen kann
      • Implementierung von Kontrollmechanismen zum Schutz vor unberechtigten Zugriff
      • Maßnahmen zum Schutz personenbezogener Informationen, die durch das Produkt verarbeitet werden
      • Produktmonitoring im Feld sowie Incident Management, um auf potentielle sicherheitsrelevante Ereignisse reagieren zu können
      • Bereitstellung von Sicherheitsupdates über einen (ggf. automatisierten) Updatemechanisamus über einen angemessenen Zeitraum (im Fall der Automatisierung des Updatemechanismus muss dieser über Möglichkeit verfügen, dass der Kunde mittels Opt-out
      • Verankerung von Cybersecurity-Anforderungen in der Supply Chain (u.a. Bereitstellung einer SBOM durch TierX als Grundlage einer Schwachstellenanalyse)
      • Erstellung technischer Dokumentationen des Produkts oder des Services sowie weitergehender Herstellerinformation (Anlage I, Teil II CRA)
      • Aufbau von Meldelinien zur Erfüllung der Reportingpflichten gegenüber ENISA oder nationalen Meldestellen (CSIRT) innerhalb der Meldefristen des Art. 14 Abs. 2 a) – c) für aktiv ausgenutzte Schwachstellen sowie gem. Art. 14 Abs. 4 a) – c) für schwerwiegende Sicherheitsvorfälle
      • Einrichtung einer Kontaktstelle für Kunden zur Meldung von sicherheitsrekevanten Ereignissen
      • Bereitstellung der EU-Konformitätserklärung für das Produkt (sog. CE-Kennzeichnung)

Relevanten Zielgruppen

  • der Hersteller (Art. 3 Ziff. 13 CRA),
  • Verwalter quelloffener Software (Art. 3 Ziff. 14 CRA)
  • Bevollmächtigte des Herstellers (Art. 3 Ziff. 15 CRA)
  • den Einführer (Art. 3 Ziff. 16 CRA)
  • den Händler (Art. 3 Ziff. 17 CRA)
  • jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen unterliegen oder die die Bereitstellung auf dem Markt von Produkten mit digitalen Elementen unternehmen

Konformitätsbewertung

  • Die Art des durchzuführenden Konformitätsbewertungsverfahrens hängt von der Art des Produkts mit digitalen Elementen
  • Wichtige Produkte mit digitalen Elementen nach Art. 7 CRA i.V.m. der in Anlage III CRA genannten Klasse I unterliegen der Konformitätsbewertung nach Art. 32 Abs. 2 CRA (Bewertung der Konformität nach den Modulen B, C und H gem. Anlage VIII CRA)
  • Wichtige Produkte mit digitalen Elementen nach Art. 7 CRA i.V.m. den in Anlage III CRA genannten Klasse II unterliegen der Konformitätsbewertung nach Art. 32 Abs. 3 CRA (Bewertung der Konformität nach den Modulen B, C und H gem. Anlage VIII CRA oder gem. EUCC mit Vertrauensstufe “mittel”))
  • Kritische Produkte mit digitalen Elementen nach Art. 8 CRA i.V.m. Anlage IV CRA werden ge. Art. 32 Abs. 4 CRA nach dem EU Cybersecurity Certification Scheme gem. Verordnung (EU) 2019/881 zertifiziert (basierend auf der festgestellten Vertrauenswürdigkeitsstufe des Produkts, welche wiederum in angemessener Weise dessen Cybersicherheitsrisiko widerspiegeln muss; die Konkretisierung der kritischen Produkte mit digitalen Elementen erfolgt mittels delegierter Rechtsverordnung der Europäischen Kommission
  • Sonstige Produkte mit digitalen Elementen nach Art. 7 CRA i.V.m. der in Anlage III CRA genannten Klasse I unterliegen der Konformitätsbewertung nach Art. 32 Abs. 1 CRA (Bewertung der Konformität nach den Modulen A, B, C und H gem. Anlage VIII CRA)

Umsetzungszeitpunkte

  • 11. September 2026 für den Aufbau der Meldelinien und die Erfüllung der Meldepflichten nach Art. 14 CRA
  • 11. Dezember 2027 für aller sonstigen Anforderungen

About the author

Michael Bunzel

Michael Bunzel (aka maschasan) is a lawyer and engineer currently living in Germany. He has been working in the field of Cybersecurity and related laws and regulations for over 25 years now.

Mike took on various roles and functions in the context of Information Security, Cybersecurity, and SCADA/Shopfloor Security at a German car manufacturer in southern Germany for more than fifteen years - currently in the R&D resort, with focus on E/E-systems in the context of automotive cybersecurity and related regulations in different markets (e.g. UN, EU, China, Korea, India, US, and others).

Mike has worked with global organizations across dozens of countries, cultures and languages, well-travelled in EMEIA, APAC and the Americas.

All articles in this blog do NOT reflect the opinion of his employer, but are all an expression of his personal view of things.

View all posts

Read more

Versager als Aufsicht

By Michael Bunzel
In IT Security, Technology
3 Wochen ago
1 Min Read
V

Diese interessante Meldung von Reuters ist mir doch tatsächlich im allgemeinen Grundrauschen der täglichen Horrormeldungen vom orangen Affen und seinem Ketamin-Clown durchgerutscht. What a shame! Wenn also wieder mal ein EZB-/Bundesbank-/BaFin-Prüfer auf der Schwelle Deiner magischen Geldvermehrungsanlage (aka Bank) steht, um dort etwas zu tun, was sich § 44 KWG-Prüfung nennt, dann lach ihm ins...

Read on

Wallboxen, CRA und EU RED

By Michael Bunzel
In Cybersecurity, Law and Legal Action, Personal, Technology
3 Monaten ago
5 Min Read
W

A. Wallboxen nach dem EU Cyber Resilience Act (CRA, Regulation EU 2024/2847) Anwendungsbereich des CRA Der Cyber Resilience Act (CRA) gilt gem. Art. 2 Abs. 1 CRA für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder...

Read on

A Brief History of Hacking Cars

By Michael Bunzel
In Automotive Cybersecurity, Cybersecurity, Law and Legal Action
3 Monaten ago
8 Min Read
A

Eigentllich sollte dieser Beitrag ein Rant auf den Datenreichtum bei VW (“Volksdaten” und die Unfähigkeit des OEMs, personenbezogenen Daten aus Fahrzeugen zu anonymisieren) und Subaru (auch hier trägt man mit gut gefüllten Trögen zum Datenreichtum bei) werden – vielleicht auch ein wenig mit Häme gerniert. Dann schien es mir jedoch sinnvoller, die Leserschaft zunächst einmal...

Read on
By Michael Bunzel 3 Wochen ago
smartnuts … the world on the cabaret-style dissecting table

Get in touch

Tags

ACS (1) AI (5) AI power consumption (1) China (2) CISA (1) consultancy (1) CRA (2) Cyberpolitik (3) ECU (1) Elsevier (1) EU (2) EU-Kommission (1) Europa nicht den Laien überlassen (1) Europäische Rechte (1) Exeptionalismus (1) Faeser (1) FDP (2) Gossenjournalismus (1) Hacker (4) Israel (1) Jen Easterly (1) John Wiley & Sons (1) Kowalczuk (2) Large Language Models (2) LLM (3) Made in China 2025 (2) McKinsey (1) OEM (2) Ostdeutschland (2) Peer-Review (1) Rumänien (1) Sanktionspolitk (1) Sichere Kommunikation (1) SME (1) snake-oil-dealer (1) software quality (2) SPD (2) TikTok (1) Umfallerpartei (2) UN R155 (2) USA (1) Verlagsmonopol (1) von der Leyen (1) Wolters Kluwer (1) Zugriff Bedarfsträger (1)