CRA umsetzen: Mit EUCC und BSI-TR-03183 zur Compliance
Unsere bisherigen Beiträge zum CRA bieten eine solide Grundlage, um die Anforderungen des CRA zu verstehen und erste Schritte zur Umsetzung zu planen. In diesem Artikel gehen wir einen Schritt weiter: Wir beleuchten zwei zentrale Hilfsmittel zur praktischen Umsetzung der CRA-Anforderungen:
- Die EUCC-Zertifizierung als formalisierter technischer Nachweis
- Die BSI-Richtlinie TR-03183 als praxisnahe Auslegungshilfe
Refresher: Was fordert der CRA?
Der Cyber Resilience Act (Verordnung 2024/2847) verpflichtet Hersteller, dass ihre Produkte mit digitalen Elementen:
- sicher entwickelt
- angemessen gegen Cyberangriffe geschützt
- über den gesamten Lebenszyklus wart- und patchbar
Hersteller müssen:
- eine Cyber-Risikoanalyse vorlegen
- konkrete Sicherheitsmaßnahmen technisch umsetzen
- technischen Dokumentation nachweisen
Zwei Wege zur Umsetzung: EUCC und TR-03183
Die EUCC (European Union Common Criteria) (Link)ist eine offizielle EU-Zertifizierung für Cybersicherheit. Sie basiert auf dem Standard ISO/IEC 15408 und ermöglicht es, technische Sicherheitsfunktionen formell prüfen und zertifizieren zu lassen.
Die Richtlinie TR-03183 des Bundesamts für Sicherheit in der Informationstechnik (BSI) (Link) bietet Herstellern konkrete technische Anforderungen und Prüfkriterien zur Erfüllung des CRA. Die Richtlinie beinhaltet keinen formalen Zertifizierungsprozess, ist dafür aber sehr detailliert und prüfbar.
Unterschiede zwischen EUCC und TR-03183
Sowohl EUCC als auch TR-03183 zielen darauf ab, die Anforderungen des CRA umzusetzen, aber sie tun das mit sehr unterschiedlichem Anspruch, Aufwand und Zielsetzung. Hier sind die wichtigsten Unterschiede:
🔍 1. Rechtsstatus und Zielsetzung
| Kriterium | EUCC | TR-03183 |
|---|---|---|
| Rechtsstatus | EU-weites Zertifizierungsschema nach CSA-Verordnung | Nationale Technische Richtlinie des BSI |
| Ziel | Formale Zertifizierung (z. B. für „wichtige“ Produkte) | Technische Orientierung und Unterstützung zur CRA-Umsetzung |
| Verbindlichkeit | Als „vermutete Konformität“ anerkannt | Keine, aber empfohlen für Selbstbewertung |
🛠 2. Prüfverfahren und Aufwand
| Kriterium | EUCC | TR-03183 |
|---|---|---|
| Audit erforderlich? | Ja – durch externes, akkreditiertes ITSEF-Prüflabor | Nein – Eigenbewertung durch Hersteller oder Dritte möglich |
| Aufwand | Hoch (u. a. Security Target, Testreports, Schwachstellenanalyse, Pen-Tests) | Mittel (strukturierte Umsetzung, aber ohne formale Prüfung) |
| Zertifikat? | Ja – durch benannte Stelle (CAB) | Nein – Dokumentation genügt |
🌍 3. Gültigkeit und Anerkennung
| Kriterium | EUCC | TR-03183 |
|---|---|---|
| Gültigkeit | EU-weit anerkanntes Zertifikat | Nationale Orientierungshilfe, keine internationale Wirkung |
| Verwendung im CRA | Konformitätsvermutung nach Art. 27 CRA möglich | Nur als Hilfe zur Selbstbewertung, kein Konformitätsnachweis |
🧩 4. Technische Tiefe und Formalismus
| Kriterium | EUCC | TR-03183 |
|---|---|---|
| Technischer Detaillierungsgrad | Hoch, modular durch Security Functional & Assurance Requirements | Hoch, aber nicht modularisiert |
| Formalisierungsgrad | Sehr hoch (Common Criteria-Dokumentation erforderlich) | Mittel (strukturierte Anforderungen mit Prüfmethoden) |
| Nutzbarkeit für spätere Zertifizierung | Ja – strukturell vorbereitet für EUCC | Ja – als Vorstufe nutzbar |
🚩 5. Entscheidungshilfe zur Nutzung
Für Hersteller von Produkten, die gemäß CRA nicht als „wichtig“ oder „kritisch“ eingestuft sind (also nicht in Anhang III oder IV gelistet), ist eine Zertifizierung wie EUCC nicht verpflichtend. Stattdessen erlaubt der CRA eine interne Kontrolle, also eine Eigenbewertung durch den Hersteller, sofern diese auf einer fundierten Risikoanalyse basiert. Für diese „normalen“ Produkte kann TR-03183 allein ausreichen, um die CRA-Konformität technisch sauber abzuleiten – solange die Bewertung nachvollziehbar dokumentiert ist. Eine EUCC-Zertifizierung ist hier optional, aber nicht zwingend erforderlich. EUCC ist relevant für Hersteller von wichtigen oder kritischen Produkten, die eine formale Zertifizierung benötigen oder anstreben.
Struktur der Anforderungen in TR-03183
Das BSI unterteilt die Anforderungen aus Anhang I des CRA in vier Kategorien, jeweils mit systematischer Kennzeichnung:
- ER: “Essential Requirements” – grundlegende Anforderungen (Annex I, Teil 1 CRA)
- VH: “Vulnerability Handling” – Schwachstellenmanagement (Annex I, Teil 2 CRA)
- TD: “Technical Documentation” – Technische Dokumentation. Diese muss nicht allgmein veröfftlicht werden.
- UD: “User Documentation” – Anwenderdokumentation, welche zusammen mit dem Produkt veröffentlich sein muss.
Diese REQ-Kennzeichnungen (z. B. REQ_ER_2, REQ_VH_3) dienen als Referenzrahmen für technische Umsetzung und Prüfung.
Hersteller, die entlang der REQ-Struktur der TR-03183 arbeiten, schaffen damit gleichzeitig eine solide Grundlage für eine spätere EUCC-Zertifizierung oder interne Konformitätserklärung.
EUCC-Zertifizierung
Wenn eine Selbstzertifizierung nicht hinreichend ist, ist der Schritt zur EUCC-Zertifizierung zu erwägen.
- Hersteller: Definiert den Scope (TOE) und liefert Doku.
- Prüflabor (ITSEF): Bewertet Design, führt Tests & Pen-Tests durch.
- Zertifizierungsstelle (CAB): Validiert alles und vergibt das EUCC-Zertifikat.
Für den CRA reicht in der Regel das Zertifizierungsniveau „substantial“ (EAL2+).
Das EUCC-Schema orientiert sich an den sogenannten Evaluation Assurance Levels (EALs) aus den Common Criteria. Dabei beschreibt EAL2 ein grundlegendes Niveau an Sicherheitsprüfung – inklusive strukturierter Tests, Überprüfung von Design-Dokumentation und einer systematischen Schwachstellenanalyse. Das Plus-Symbol (EAL2+) steht für zusätzliche, individuell gewählte Prüfkomponenten (z. B. AVA_VAN.3 statt AVA_VAN.2), die über das Minimum hinausgehen, aber noch nicht den vollen Umfang von EAL3 oder höher erreichen.
Laut ENISA – EUCC Scheme ist das Zertifizierungsniveau „substantial“ das Standardziel für die meisten Produkte unterhalb der Hochsicherheitsklasse. Da der CRA eine risikobasierte Konformitätsbewertung fordert, genügt in vielen Fällen ein EUCC-Nachweis auf Substantial-Level, um die Anforderungen zu erfüllen und eine „vermutete Konformität“ (Art. 27 CRA) zu beanspruchen.
Fazit: EUCC und TR-03183 als strategische Werkzeuge
Mit der EUCC-Zertifizierung steht ein europaweit anerkanntes Verfahren bereit, das geprüfte Sicherheit dokumentiert. Die BSI-Richtlinie TR-03183 liefert dazu eine praxisnahe und detaillierte Auslegungshilfe für alle, die sich systematisch vorbereiten oder intern evaluieren möchten.
Beide Ansätze ergänzen sich und ermöglichen eine fundierte, effiziente und revisionssichere Umsetzung des CRA. Die EUCC ist dabei keine Pflicht, aber oft der klügste Weg. TR-03183 bildet die pragmatische Brücke dorthin.
Unser CRA-Workshop bietet Ihnen einen kompakten Einstieg und hilft, betroffene Produkte und Pflichten zu identifizieren.
