Die CRA-Risikobewertung (Art. 13): das Dokument, das festlegt, welche Anforderungen gelten

4 Min Lesezeit Serie: compliance #compliance#cra#risikobewertung#art13#annex-i#annex-vii

Der Cyber Resilience Act verlangt eine dokumentierte Cybersicherheits-Risikobewertung (Art. 13). Sie ist kein Beiwerk, sondern bestimmt, welche der wesentlichen Anforderungen aus Anhang I Teil I Nr. 2 für Ihr Produkt gelten - und nicht anwendbare müssen begründet werden. Dernium CRA-Nachweis führt diese Bewertung strukturiert: Kontext, Anwendbarkeit je Anforderung mit Begründungspflicht, Risiko-Register; das Ergebnis fliesst automatisch in die technische Dokumentation (Anhang VII Nr. 3). Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

Problem

Viele behandeln die Risikobewertung als Pflichtübung am Rand. Im CRA ist sie das Gegenteil: Artikel 13 macht die dokumentierte Cybersicherheits-Risikobewertung zum Dreh- und Angelpunkt. Sie bestimmt, ob und wie die einzelnen wesentlichen Anforderungen aus Anhang I Teil I Nr. 2 (Buchstaben a bis m) für ein konkretes Produkt überhaupt gelten - und wenn eine Anforderung nicht anwendbar ist, muss das in der technischen Dokumentation begründet werden. Wer die Bewertung nicht sauber führt, kann später nicht belegen, warum bestimmte Anforderungen weggelassen wurden, und hat eine Lücke genau dort, wo die Marktaufsicht zuerst hinschaut.

Kurze Antwort

Dernium CRA-Nachweis führt die Risikobewertung strukturiert statt als formloses Dokument. Sie pflegen den vom Gesetz geforderten Mindestinhalt - Verwendungszweck, vernünftigerweise vorhersehbare Nutzung und Fehlgebrauch, Einsatzbedingungen und erwartete Lebensdauer -, entscheiden je Anforderung aus Teil I Nr. 2, ob sie anwendbar ist (mit Umsetzungshinweis oder, bei „nicht anwendbar", einer erzwungenen Begründung), und führen ein Risiko-Register mit Eintrittswahrscheinlichkeit, Auswirkung, Maßnahme und Restrisiko. Das Ergebnis wird automatisch in die technische Dokumentation übernommen (Anhang VII Nr. 3). Eine bestimmte Methodik schreibt der CRA nicht vor; verpflichtend ist der Inhalt. Dernium gibt keine Bewertung ab; Inhalt und Verantwortung bleiben beim Hersteller.

Tiefgang

Die Bewertung steuert die Anwendbarkeit. Artikel 13 Abs. 3 sagt es deutlich: die Risikobewertung gibt an, ob und in welcher Weise die Anforderungen aus Anhang I Teil I Nr. 2 gelten und wie sie umgesetzt werden. Genau das bildet das Werkzeug ab - eine Tabelle der dreizehn Anforderungen (a bis m), je mit einem Häkchen „anwendbar" und einem Feld für Umsetzung beziehungsweise Begründung.

„Nicht anwendbar" ohne Begründung gibt es nicht. Artikel 13 Abs. 4 verlangt für jede weggelassene Anforderung eine klare Begründung in der technischen Dokumentation. Das Werkzeug erzwingt sie: eine als nicht anwendbar markierte Anforderung lässt sich ohne Begründungstext nicht speichern. So kann die Lücke gar nicht erst entstehen.

Was nicht abwählbar ist, ist auch nicht abwählbar. Nur die Produkteigenschaften aus Teil I Nr. 2 sind risikoabhängig. Die allgemeine Sicherheitsanforderung (Teil I Nr. 1) und die gesamte Schwachstellenbehandlung (Teil II) gelten immer - sie erscheinen daher nicht als abwählbare Punkte, sondern als Felder, in denen Sie beschreiben, wie Sie sie umsetzen (mit Verweis auf SBOM, Offenlegungs-Richtlinie und Update-Mechanismus).

Ein Risiko-Register, das den Namen verdient. Je Risiko: Beschreibung des Angriffswegs, betroffene Anforderung, Eintrittswahrscheinlichkeit und Auswirkung (woraus sich eine Einstufung ergibt), Maßnahme und Restrisiko sowie ein Status. Das ist die wiedererkennbare Form einer Risikoanalyse - bewusst ohne erzwungene Methodik, weil der CRA keine vorschreibt.

Eine Quelle, ein Dokument. Die Bewertung wird nicht doppelt geführt: Sobald sie ausgefüllt ist, übernimmt der Generator der technischen Dokumentation sie als Abschnitt „Cybersicherheits-Risikobewertung" (Anhang VII Nr. 3). Ohne strukturierte Bewertung bleibt das bisherige Freitextfeld als Rückfallebene.

Abgelehnte Alternativen

  • Freitext-Risikobewertung. Erfüllt den Inhalt vielleicht, erzwingt aber weder die Begründung nicht anwendbarer Anforderungen noch die Verbindung zu den konkreten Anhang-I-Punkten.
  • Eine Methodik vorschreiben. Der CRA tut es nicht; eine erzwungene ISO- oder IEC-Schablone wäre Mehraufwand ohne Rechtsgrund. Wir führen den Pflichtinhalt und lassen die Methodik offen.
  • Teil II abwählbar machen. Wäre rechtlich falsch - die Schwachstellenbehandlung ist nicht risikoabhängig wegzulassen.
  • Die Bewertung getrennt von der technischen Doku halten. Doppelpflege driftet; deshalb fliesst sie direkt in Anhang VII Nr. 3.

Wie Dernium hilft

Sie führen die Risikobewertung an einer Stelle und sehen je Anforderung sofort, was zu begründen ist. Eine Erklärschicht benennt den gesetzlichen Mindestinhalt, und eine klare Linie trennt, was wir strukturieren und automatisch in die technische Dokumentation übernehmen, von dem, was Sie als Hersteller inhaltlich verantworten. So wird aus einer gefürchteten Pflichtübung ein geführter, nachweisbarer Schritt.

Offene Punkte

  • Die Risikobewertung ist laufend zu aktualisieren (Art. 13 Abs. 3: dokumentiert und während des Support-Zeitraums fortzuschreiben). Das Werkzeug hält den Stand; die inhaltliche Aktualität - bei Änderungen am Produkt oder neuen Bedrohungen - bleibt Ihre Aufgabe.
  • Die inhaltliche Richtigkeit der Bewertung und der Begründungen verantwortet der Hersteller. Das Werkzeug strukturiert und erinnert; es bewertet nicht und ist keine Rechtsberatung.

Verifikation

Die Pflicht zur Risikobewertung steht in Artikel 13 (Abs. 2 bis 4): sie ist zu dokumentieren und fortzuschreiben, bestimmt die Anwendbarkeit der Anforderungen aus Anhang I Teil I Nr. 2 und verlangt eine Begründung für nicht anwendbare Anforderungen. Anhang VII Nr. 3 schreibt die Aufnahme in die technische Dokumentation vor.

Mehr aus unserer CRA-Reihe