Tools for compliance with CRA requirements and obligations

Erwartetes Ergebnis:

Ergebnisse:

• Tools zur Vereinfachung und Automatisierung der Einhaltung der CRA Vorschriften, mit besonderem Schwerpunkt auf automatisierten Compliance-Tools, die eine Angleichung an die grundlegenden Anforderungen der CRA im Bereich der Cybersicherheit gewährleisten
• Tools zur Vereinfachung und Automatisierung der Dokumentationspflichten der CRA.

Zielsetzung:

Ziel dieses Themas ist es, die Umsetzung des vorgeschlagenen Cyber Resilience Act (CRA) durch Werkzeuge zu unterstützen, die die internen Verfahren zur Einhaltung der Vorschriften unterstützen und nach Möglichkeit automatisieren, einschließlich der Prüfung und Erstellung von Spezifikationen, wobei der Schwerpunkt auf europäischen KMUs, insbesondere Kleinst- und Kleinunternehmen, liegt.

Umfang:

Diese Maßnahme zielt auf die Konzeption und Entwicklung von Instrumenten ab, die die Einhaltung der CRA Vorschriften erleichtern und nach Möglichkeit automatisieren, wobei der Schwerpunkt auf automatisierten Tools liegt, die die Einhaltung der grundlegenden CRA Cybersicherheitsanforderungen und Dokumentationspflichten gewährleisten.

Lösungen für die Einhaltung der CRA Vorschriften sind auf der Grundlage von technischen Spezifikationen, Schulungsmodulen und anderen relevanten Materialien vorgesehen. Werkzeuge für Penetrationstests, Prüfeinrichtungen und andere Cybersicherheitspraktiken, die mit den Anforderungen der CRA übereinstimmen, gehören ebenfalls zum Aufgabenbereich.

Die Instrumente sollten auf die Bedürfnisse der europäischen KMUs zugeschnitten sein, wobei der Schwerpunkt auf Kleinst- und Kleinunternehmen liegt, aber auch von breiteren Interessengruppen genutzt werden können, wie z. B.:

• Hersteller relevanter Produktkategorien, die in den CRA Anwendungsbereich fallen, einschließlich Softwareentwickler;
• Andere, wie Händler, Importeure, Open-Source-Gemeinschaft usw.

Die Tools zur Einhaltung der CRA sollten zu fairen und angemessenen Bedingungen allgemein zugänglich gemacht werden und auch die spezifischen Bedürfnisse der verschiedenen Interessengruppen berücksichtigen, wie das Verhalten von Verbrauchern, gewerblichen Nutzern und andere relevante Faktoren.

Vorrang sollten Lösungen haben, die kostenlos genutzt werden können, oder Lösungen mit freier und quelloffener Software (FOSS).

Diese Tätigkeiten sollten in enger Abstimmung und nach Möglichkeit in Zusammenarbeit mit dem Netz der nationalen Koordinierungszentren (NCCs), dem Netz der europäischen digitalen Innovationszentren (EDIH), der EU-Akademie für Cybersicherheitskompetenzen, anderen einschlägigen europäischen und nationalen Cybersicherheitseinrichtungen und anderen Projekten dieses Arbeitsprogramms durchgeführt werden.

Diese Aktion zielt auf die Schaffung von Werkzeugen ab, die unter anderem Penetrationstests durchführen oder technische Spezifikationen in Bezug auf die Cybersicherheit dokumentieren, auch für Einrichtungen, die wesentliche Dienste und kritische Infrastrukturen anbieten. Da solche Tools und Informationen von böswilligen Akteuren ausgenutzt werden könnten, müssen sie vor möglichen Abhängigkeiten und Schwachstellen in der Cybersicherheit geschützt werden, um eine ausländische Einflussnahme und Kontrolle zu verhindern. Wie bereits erwähnt, birgt die Teilnahme von Nicht-EU-Stellen das Risiko, dass hochsensible Informationen über Sicherheitsinfrastrukturen, Risiken und Vorfälle Gegenstand von Rechtsvorschriften oder Druck sind, die diese Nicht-EU-Stellen dazu zwingen, diese Informationen an Nicht-EU-Regierungen weiterzugeben, was ein unvorhersehbares Sicherheitsrisiko darstellt. Aus den dargelegten Sicherheitsgründen fallen die Maßnahmen im Zusammenhang mit diesen Technologien daher unter Artikel 12 Absatz 5 der Verordnung (EU) 2021/694.