Kurzreferat

Diese Normen enthalten Spezifikationen für Verfahren zur Behandlung von Sicherheitsrisiken, die alle relevanten Produktkategorien abdecken und von den Herstellern von Produkten mit digitalen Elementen einzuführen sind. Diese Prozesse müssen zumindest Folgendes ermöglichen (a) die in dem Produkt enthaltenen Schwachstellen und Komponenten zu ermitteln und zu dokumentieren, unter anderem durch die Erstellung einer Software-Stückliste in einem allgemein gebräuchlichen und maschinenlesbaren Format, die zumindest die Abhängigkeiten der obersten Ebene des Produkts abdeckt; b) in Bezug auf die Risiken, die von den Produkten mit digitalen Elementen ausgehen, Schwachstellen unverzüglich zu beheben und zu beseitigen, unter anderem durch die Bereitstellung von Sicherheitsaktualisierungen; soweit technisch machbar, sind neue Sicherheitsaktualisierungen getrennt von Aktualisierungen der Funktionalität bereitzustellen; c) wirksame und regelmäßige Tests und Überprüfungen der Sicherheit des Produkts mit digitalen Elementen durchzuführen; (d) nach der Bereitstellung einer Sicherheitsaktualisierung Informationen über behobene Sicherheitslücken weitergeben und öffentlich bekannt machen, einschließlich einer Beschreibung der Sicherheitslücken, Informationen, die es den Nutzern ermöglichen, das betroffene Produkt mit digitalen Elementen zu identifizieren, die Auswirkungen der Sicherheitslücken, ihren Schweregrad sowie klare und zugängliche Informationen, die den Nutzern helfen, die Sicherheitslücken zu beheben; in hinreichend begründeten Fällen, in denen die Hersteller der Auffassung sind, dass die Sicherheitsrisiken der Veröffentlichung den Nutzen für die Sicherheit überwiegen, können sie die Veröffentlichung von Informationen über eine behobene Sicherheitslücke aufschieben, bis die Nutzer die Möglichkeit erhalten haben, den entsprechenden Patch anzuwenden; (f) Maßnahmen ergreifen, um den Austausch von Informationen über potenzielle Sicherheitslücken in ihrem Produkt mit digitalen Elementen sowie in Komponenten Dritter, die in diesem Produkt enthalten sind, zu erleichtern, indem sie unter anderem eine standardisierte Kontaktadresse für die Meldung der in dem Produkt mit digitalen Elementen entdeckten Sicherheitslücken bereitstellen; (g) Mechanismen zur sicheren Verteilung von Aktualisierungen für Produkte mit digitalen Elementen vorsehen, um sicherzustellen, dass Schwachstellen rechtzeitig und gegebenenfalls automatisch behoben oder entschärft werden; h) sicherstellen, dass Sicherheitsaktualisierungen, die zur Behebung festgestellter Sicherheitslücken zur Verfügung stehen, unverzüglich und - sofern zwischen dem Hersteller und dem gewerblichen Nutzer eines maßgeschneiderten Produkts mit digitalen Elementen nichts anderes vereinbart wurde - kostenlos verbreitet werden, zusammen mit Hinweisen, die den Nutzern die einschlägigen Informationen, einschließlich möglicher Maßnahmen, vermitteln.

Beginn

2025-05-16

WI

JT013090

Geplante Dokumentnummer

DIN EN XXX-JT013090

Projektnummer

04301205

Zuständiges nationales Arbeitsgremium

NA 043-04-13 GA - DIN/DKE Gemeinschaftsgremium Cybersecurity  

Zuständiges europäisches Arbeitsgremium

CEN/CLC/JTC 13/WG 9 - Spezielle Arbeitsgruppe zum Cyber Resilience Act