TrustSource unterstützt bei der Bewältigung regulatorischer Anforderungen

Mit der zunehmenden Reife der IT Industrie und dem wachsenden Verbreitung sowie dem Verständnis über die Kritikalität Software-gestützter Lösungen wächst gleichzeitig der Anspruch der Regulierung an die Software insbesondere der Cyber Resilience Act (CRA) der Europäischen Kommission setzt neue Maßstäbe an die Software Entwicklung von Produkten mit digitalen Elementen.

Aber nicht nur der CRA erfordert eine starke Risikoorientierung der Software-Anbeiter. Auch andere Regulierungen nehmen die IT- und Benutzer-Sicherheit in den Fokus:

Cyber Resilience Act (CRA)

Der CRY ist die erste und seit Oktober 2025 sofort in allen EU-Ländern gültige Rechtsprechung, welche den Hersteller von Produkten mit digitalen Elementen für die Sicherheit und entlang des zu erwartenden Lebenszeitraumes, fehlerfreie Funktionsfähigkeit von Produkten in die Pflicht nimmt. Betroffene Anbieter haben die folgenden Ansprüche zu erfüllen, wollen Sie ihre Produkte weiterhin in Europa vertreiben:

  • Bereitstellen eines Software Bill of Materials (SBOM), s. Annex I
  • Regelmäßige Risikobetrachtungen von Sicherheitsbedrohungen sowie deren Dokumentation, s. Art. 13, III und IV
  • Bereitstellen einer Konformitätserklärung, s. Art 13 XII, resp. Art. 28 I und Annex IV
  • Bereitstellen des CE-Kennzeichens, s. Art. 12 XII, bzw. Art 30 I
  • Definieren einer Support-Dauer während derer der Anbieter Sicherheits-Updates bereitstellt (min 5 Jahre, bzw. erwartete Nutzungsdauer), s. Art. 13 VIII, S2 ff.
  • Kostenfreie Sicherheits-Updates während dieser Periode, welche wiederum 10 Jahre verfügbar gehalten werden müssen, s. Art 13 IX
  • Bereitstellen einer technischen Dokumentation gemäß Art. 13 III & Annex VII
  • Organisieren und Beschreiben eines Koordinieren Schwachstellen Enthüllungsvorgehens (coordinated vulnerability disclosure, CVD), s. Art. 13, VIII
  • Umsetzen der Berichtsanforderungen aus. Art. 14.

EU Network and Infrastructure Directive v2 (NIS2)

Die neue, zweite Richtlinie über Netz- und Informationssysteme (NIS2) ist ein umfassender Rechtsrahmen, der von der Europäischen Union (EU) eingeführt wurde, um die Cybersicherheit und die Betriebsstabilität kritischer Infrastrukturen und digitaler Diensteanbieter zu verbessern. NIS2 baut auf der ursprünglichen Richtlinie über Netz- und Informationssysteme (NIS) auf und erweitert deren Anwendungsbereich auf eine größere Bandbreite von Sektoren und Einrichtungen. Im Einzelnen fordert die Richtline:

  • Risikomanagement:: Die Richtlinie verpflichtet Unternehmen zur Implementierung robuster Risikomanagementpraktiken zur Identifizierung, Bewertung und Minderung von Cybersicherheitsrisiken.
  • Meldung von Vorfällen: NIS2 verpflichtet Unternehmen, schwerwiegende Cybersicherheitsvorfälle innerhalb strenger Fristen an die nationalen Behörden zu melden.
  • Sicherheit der Lieferkette: Die Richtlinie verpflichtet Unternehmen auch, die mit ihren Lieferanten und Dienstleistern verbundenen Risiken zu bewerten und zu managen.
  • Governance und Rechenschaftspflicht: NIS2 legt großen Wert auf Governance und Rechenschaftspflicht und verpflichtet Unternehmen, klare Rollen und Verantwortlichkeiten für das Cybersicherheitsmanagement festzulegen. Die Geschäftsleitung und der Vorstand sind verantwortlich.
  • Aufsicht und Durchsetzung: Die nationalen Behörden sind befugt, Inspektionen durchzuführen, Sanktionen zu verhängen und Durchsetzungsmaßnahmen gegen nicht konforme Unternehmen zu ergreifen.
  • Informationsaustausch und Zusammenarbeit: NIS2 fördert den Informationsaustausch und die Zusammenarbeit zwischen Unternehmen und Behörden für den Austausch von Bedrohungsinformationen und Vorfallmeldungen, um die kollektive Cybersicherheitsresilienz zu verbessern.

Die NIS2 ergänzt für KRITIS-Unternehmen den Cybersicherheitsaspekt zur Critical Entity Regulation (CER), die Vergelichbares auf physischer Ebene fordert..

Digital Operational Resilience Act (DORA)

Das Gesetz über die digitale operative Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) ist ein umfassender Rechtsrahmen, der von der Europäischen Union (EU) eingeführt wurde, um die operative Widerstandsfähigkeit von Finanzinstituten und kritischen Drittanbietern zu verbessern. hierzu ist ein umfassendes IKT-Risiko-Management zu etablieren, um regelmäßig Bewertungen der Dienstleister zu ermöglichen. Im einzelnen:

  • Risikomanagement bei Dritten: DORA legt großen Wert auf das Management von Risiken, die mit Drittanbietern verbunden sind. Finanzinstitute müssen Due-Diligence-Prüfungen bei Drittanbietern durchführen, deren Leistung überwachen und sicherstellen, dass sie die selben Resilienzstandards einhalten.
  • Meldung von Vorfällen: Die Verordnung schreibt die Meldung schwerwiegender IKT-Vorfälle an die zuständigen Behörden vor. Finanzinstitute müssen über Mechanismen zur Erkennung, Meldung und Bewältigung von IKT-Vorfällen verfügen, um Transparenz und Rechenschaftspflicht zu gewährleisten.
  • Tests der digitalen Betriebsresilienz: DORA verpflichtet Finanzinstitute, ihre IKT-Systeme und -Prozesse regelmäßig zu testen, um sicherzustellen, dass sie Störungen standhalten und sich davon erholen können. Dazu gehören Penetrationstests, Schwachstellenanalysen und Resilienztests.
  • Governance und Rechenschaftspflicht: Die Verordnung betont die Bedeutung von Governance und Rechenschaftspflicht beim Management von IKT-Risiken. Finanzunternehmen müssen klare Rollen und Verantwortlichkeiten für das IKT-Risikomanagement festlegen, wobei die Geschäftsleitung und der Verwaltungsrat eine wichtige Rolle bei der Überwachung der Resilienzmaßnahmen spielen.
  • Aufsicht und Durchsetzung: Die DORA führt Aufsichts- und Durchsetzungsmechanismen ein, um die Einhaltung der Verordnung sicherzustellen. Die Aufsichtsbehörden sind befugt, Inspektionen durchzuführen, Sanktionen zu verhängen und Durchsetzungsmaßnahmen gegen nicht konforme Unternehmen zu ergreifen.

Medical Device Regulation

Die Europäische Medizinprodukteverordnung (MDR) ist ein umfassender Rechtsrahmen, der die Medizinprodukte-Richtlinie (MDD) ersetzt, um die Sicherheit und Leistungsfähigkeit von Medizinprodukten innerhalb der Europäischen Union (EU) zu gewährleisten. Die MDR, offiziell bekannt als Verordnung (EU) 2017/745, trat ursprünglich am 26. Mai 2021 in Kraft und zielt darauf ab, die in der vorherigen Richtlinie festgestellten Lücken und Herausforderungen zu beheben und die Überwachung und Sicherheit von Medizinprodukten zu verbessern. Dazu sind folgende Anforderungen zu beachten:

  • Qualifizierung der Lösung: Software muss in die Risikoklassen I, IIa, IIb und III eingestuft werden (Regel 11 Anhang VII)
  • Software-Sicherheit: Die Software muss gegen unbefugten Zugriff, Manipulation und Viren geschützt sein um die typischen Sicherheitsziele zu erreichen.
  • Software-Lebenszyklus: Die Software muss einem dokumentierten Qualitätsmanagementsystem unterworfen werden, das den Normen IEC 62304 und ISO 13485 folgt.
  • Risiko-Management: Der Hersteller muss ein Risiko-Management-System etablieren und anwenden.
  • Dokumentation: Architektur, Gebrauchstauglichkeit und Validierungsergebnisse sind zu dokumentieren.
  • Post-Market-Surveillance: Die Pflichten enden nicht mit dem Inverkehrbringen. Die Software muss kontinuierlich überwacht und Patches, bzw. Updates müssen regelmäßig bereitgestellt werden.
  • Meldepflicht: Sicherheitsvorkommnisse müssen zeitnah gemeldet werden

Mit einem Großteil der Anforderungen ist die MDR damit Vorreiter des inzwischen für sehr viele Produkte gültigen CRA.

TrustSource kann

Radio Equipment Directive (RED)

Die RED ist eine Harmonisierungsrichtlinie, die das Inverlehrbringen von Funkanlagen und -apparaturen in der Europäischen Union regelt.  Sie adressiert neben der Gewährleistung des freien Warenverkehrs auch einen hohen Schutzstandard. Sie adressiert daher alle elektrischen und elektronischen Produkte, die Funkwellen  zur Kommunikation (z.b. WLAN, Bluetooth, Mobilfunk, etc.) nutzen. Das zu zählen Mobiltelefone, Tablets und Smartwatches, aber auch Bluetooth-Geräte, Funkmäuse, Radios, Wireless Charging-Produkte und andere funkgesteuerte Geräte wie etwa Drohnen.

  • Schutz der Gesundheit und Sicherheit (Art. 3.1a): Die Geräte dürfen die Gesundheit von Personen und Haus-/Nutztiere nicht gefährden. Dies betrifft in der Regel die Einhaltung von Grenzwerten für elektromagnetische Felder.
  • Elektromagnetische Verträglichkeit (EMV) (Art. 3.1b): Die Geräte dürfen keine unzulässigen elektromagnetischen Störungen verursachen und müssen gegen Störungen durch andere Geräte ausreichend immun sein.
  • Effiziente Nutzung des Funkspektrums (Art. 3.2): Die Geräte müssen das ihnen zugewiesene Frequenzspektrum effizient nutzen, um Störungen anderer Funkanlagen zu vermeiden.
  • Netzwerkschutz (Art. 3.3 d): Schutz vor Gefährdung der Netzwerkinfrastruktur.
  • Datenschutz und Privatsphäre (Art. 3.3 e): Schutz personenbezogener Daten und der Privatsphäre der Nutzer (z. B. sichere Speicherung, einfache Löschung von Daten).
  • Schutz vor Betrug (Art. 3.3 f): Funktionen zum Schutz vor finanziellen Betrugsrisiken (relevant bei Geräten, die Zahlungen abwickeln).
  • Einheitliche Ladeschnittstelle (Art. 3.4): Die Richtlinie enthält auch Vorgaben zur Harmonisierung der Ladeschnittstellen (sogenanntes „Common Charger“-Gesetz), was im Wesentlichen die verpflichtende Nutzung von USB-C für viele elektronische Geräte vorschreibt. (s.a. Anhang 1a Teil 1)

Product Liability Directive (PLD)

Sie bezieht die Software – einschließlich KI-Systeme – und digitale Konstruktionsunterlagen (3D-Druck) explizit mit ein. Ausnahme bildet lediglich FOSS, die nicht im geschäftlichen Kontext genutzt wird. Also im kommerziellen Umfeld alle Software. die wichtigsten Neuerungen im Überblick:

  • Erweiterter Haftungskreis: der Inverkehrbringer (Importeur, Fullfilment-Dienstleister oder Betreiber von Online-Marktplätzen können herangezogen werden, sollte der originäre Hersteller außerhalb der EU sitzen und nicht greifbar sein.
  • Haftung für Updates und Sicherheit: Haftung entsteht auch dann, wenn ein Produkt erst nach dem Inverkehrbringen durch fehlerhafte Updates oder das Unterlassen von Updates fehler- oder schadhaft werden.
  • Neue Schäden: Der Verlust von Daten sowie die medizinisch anerkannte Beeinträchtigung der psychischen Gesundheit werden als Schäden anerkannt.
  • Neue Grenzen: Die Haftungshöchstgrenze von 85 Mil. EUR für Personenschäden und der Selbstbehalt von 500 EUR bei Sachschäden wurden ersatzlos gestrichen.
  • Beweiserleichertung: Es wird eine Beweisvermutung eingeführt, um den Geschädigten das Geltendmachen von Ansprüchen zu erleichtern. Gerichte können unter bestimmten Umständen die Offenlegung von Beweismitteln beim Hersteller einfordern.

Die Regulierung ist seit Anfang Dezember 2024 in Kraft und muss von den Mitgliedsstaaten bis 9. Dezember 2026 in nationales Recht umgewandelt werden.

Sie wollen verstehen, welche Regularien für Sie relevant sind und was die Folgen sind?

Sprechen Sie mit einem Experten

Erfahren Sie, wie TrustSource Ihnen als One-Stop-Lösung hilft, alle regulatorischen Anforderungen zu bedienen:

Software Composition Analysis (SCA) / Software Bill of Materials (SBOM)

TrustSource bietet eine Vielzahl von Möglichkeiten, SBOMs zu erheben (SCA) und strukturiert abzulegen. Ob eingebunden in den CI/CD-Lauf, per pre-comit oder manuell ausgeführt, ob mit TrustSOurce-eigenen oder 3rd-Party-Scannern. TrustSource ermöglicht Ihnen Ihre oder 3rd Party Software zu analysieren und die Ergebnisse strukturiert zu sichern, zu analysieren und zu verarbeiten, bzw. SBOMs, Notice-Files oder CSAF-Dokumente nach Bedarf beritzustellen.

sca_example
ts-riskmanagement

Aktivieren Sie Ihr Risikomanagement

Eines der Hauptziele der CRA ist die Aktivierung des Risikomanagements. Die TrustSource-Plattform bietet Ihnen ein Tool, mit dem Sie das Risikomanagement in Ihrem gesamten Unternehmen streng durchsetzen können. Dank der sofortigen, plattformimmanenten Risikoberichte verändert jede Aktivität das Risikoprofil, sodass die Daten stets aktuell sind. Neu entdeckte Schwachstellen in Ihrem Code werden sofort in der Risikoexposition berücksichtigt. Risikowärmekarten spiegeln die Änderungen automatisch wider. So erhält das Management einen direkten Einblick in die aktuelle Risikoexposition.

Organisiere den End-of-Support-Zeitpunkt

Der CRA erfordert die Festlegung und Mitteilung des anzunehmenden End-of-Support-Zeitpunktes (EoSSec). TrustSource kann die Support-Phasen der Komponenten aus denen sich die Lösung zusammensetzt bereitstellen, um hieraus einen geeigneten Zeitpunkt zu bestimmen. Zudem bietet TrustSource die Möglichkeit, für jedes Release eine OpenEoX konforme Information per API bereitzustellen, die per QR<code in jede Dokumentation aufgenommen werden kann.

openeox

With the CRA the first time capabilities move into focus. With TrustSource you will be able to auto-build your capability documents from the root. By adding capabilities to each module your solution consists of, your final solution comes with the base for misuse analysis.

Coordinated Vulnerability Disclosure Process (CVD)

One of the new requirements for software vendors is to provide a CVD-process. This typically involves a lot of organisational setup. Given your organisation does provide a help desk to its users, this should be of less effort. You may use TrustSource best practises to set up the required steps. If your organization doesn’t yet provide a help desk, the effort to achieve this may be much higher. In this case, you may opt for an outsourcing through EACG, the company behind TrustSource.

cvd-process
CSAF Request Flow

Lesen Sie hier mehr zu den Möglichkeiten des CSAF Trusted Providers.

Standard-basiertes Reporting von Sicherheitsvorfällen

MDR , NIS2 und CRA erfordern die Meldung von ausgenutzten Schwachstellen und Sicherheitsvorfällen an zentrale Behörden. TrustSource bietet Ihnen die Möglichkeit, Ihren eigenen CSAF Trusted Provider zu hosten. Dieser integriert mit der TrustSource-Lösung, sodass Sie Vulnerability-Informationen direkt für CSAF-Publikation nutzen können. Dabei übernimmt TrustSource sämtliche Checks und Validierungen, die für solche Veröffentlichen zu erfolgen haben. Diese Kommunikationsbasis können Sie sowohl für Ihre Kunden als auch die Benannten Stellen nutzen. Mit Hilfe der TrustSource-Wizards ist die Veröffentlichung einer Security Advisory oder eines VEX-Dokumentes ein Kinderspiel. Probieren Sie es aus…

Sie wollen sich auf kommende regulatorische Anforderungen einstellen, wissen aber nicht wie? Lesen Sie unser Whitepaper!

Zum Whitepaper
Termin vereinbaren

Sie  wollen mehr über den CRA und seine Auswirkungen erfahren? Profitieren Sie von unserem Knowhow!

Webinar ansehen

Privacy Preference Center

Privacy Preferences

To enhance our Web presence, we make use of the following 3rd party services. They tend to create cookies, allowing for a detailed tracking of the website visit. However, these traces may be added to other traces you have left somewhere else and, hence, help these 3rd parties to puzzle a picture of you.
We ourselves do _not_ collect any data other than anonymised movements across and dropouts from our site.

Google Analytics

Allows us to track your movement across the web page. Disabling this, will not harm further usage, but not allow us to improve the site. Google's privacy terms apply (https://business.safety.google/privacy)

Vimeo

Required to play videos from vimeo. We use this for some pages and educational contents. Vimeo privacy rules may apply (https://vimeo.com/privacy)