Digitale Produkte sicher gestalten und Marktvorteile schon heute nutzen

Hersteller profitieren doppelt vom IT-Sicherheitskennzeichen, denn sie bereiten sich jetzt auf die ab 2027 verpflichtende Regulierung des Cyber Resilience Acts der EU (CRA) vor und machen die Cybersicherheit ihrer Produkte schon heute zum Kaufargument. Die bestehenden Anforderungen des IT-Sicherheitskennzeichens werden sukzessive auf die Schutzziele des CRAs ausgerichtet, sodass Hersteller diese frühzeitig in ihre Produktentwicklung integrieren können.

Produkte mit IT-Sicherheitskennzeichen werden mit einer individuellen Produktinformationsseite auf der Website des BSI gelistet. Verbraucherinnen und Verbraucher erreichen diese direkt per QR-Code auf dem Label. Dort können sie sich schnell und einfach über die Sicherheitseigenschaften eines Produkts informieren. Das schafft Transparenz und Orientierung.

Dr. Markus Richter, Staatssekretär beim BMI und CIO des Bundes, über das IT-Sicherheitskennzeichen und den CRA

Was bedeutet das für mich als Hersteller?

Die produktbezogenen Anforderungen des Cyber Resilience Acts und des IT-Sicherheitskennzeichens decken sich schon heute zu großen Teilen. Das Engagement für das freiwillige IT-Sicherheitskennzeichen zahlt deshalb vollständig auf die bevorstehenden europäischen Regulierungen ein. Ergänzungsbedarf besteht derzeit noch bei den Prozessanforderungen im Bereich Vulnerability-Handling, Risikomanagement und Dokumentationspflichten.

Zu diesen Prozessanforderungen stellt das BSI Ergänzungsdokumente zur Verfügung, die den Herstellern als Guidance dienen. Mit IT-Sicherheitskennzeichen und Guidance-Dokument erreichen Hersteller eine Basisabsicherung, die gut auf die kommende Regulierung vorbereitet.

Für die Produktkategorie "Smarte Verbrauchergeräte", welche die meisten IoT- und Smart-Home-Produkte erfasst, steht mit der Technischen Richtlinie Cyber Resilience Guidance for Smart Consumer Devices bereits das erste produktspezifische Ergänzungsdokument zur Verfügung. Gemeinsam mit Wirtschaft und Gesellschaft wird das BSI die Anforderungen des IT-Sicherheitskennzeichens im CRA-Kontext fortentwickeln. Die so gewonnen Erkenntnisse können perspektivisch in der Standardisierung auf europäischer Ebene genutzt werden.

Mit dem IT-Sicherheitskennzeichen verpflichten sich Hersteller außerdem, bekanntgewordene Schwachstellen an das BSI zu melden und diese zeitnah zu beheben. Orientiert am CRA werden Produkte mit dem IT-Sicherheitskennzeichen stichprobenartig und anlassbezogen auf tatsächliche Konformität geprüft. So haben Hersteller die Möglichkeit sich bereits jetzt mit den Mechanismen des Schwachstellen-Managements und der Marktaufsicht vertraut zu machen, ohne den regulatorischen Pflichten des CRAs zu unterliegen.

Erfülle ich mit dem IT-Sicherheitskennzeichen automatisch die Anforderungen des CRAs?

Die Anforderungen des IT-Sicherheitskennzeichens und die vom BSI veröffentlichen Ergänzungsdokumente bieten eine konkrete Richtschnur für die produktbezogene Umsetzung des CRAs.

Allerdings ist eine angemessene Umsetzung von einer Risikoanalyse des Herstellers abhängig. Diese kann im Einzelfall auch über die Basisabsicherung hinaus gehen, die mit dem IT-Sicherheitskennzeichen erreicht wird. 

Mit dem IT-Sicherheitskennzeichen kann weder die vollständige Einhaltung des CRAs garantiert noch eine Konformitätsvermutung erreicht werden. Um Herstellern und Anbietern dennoch eine möglichst gute Vorbereitung zu bieten, wird das IT-Sicherheitskennzeichen sukzessive auf die Schutzziele des CRAs ausgerichtet und relevante Prozessanforderungen über Ergänzungsdokumente abgebildet.

Sie haben weitere Fragen?

Das BSI berät interessierte Hersteller und Diensteanbieter gern zur Beantragung des IT-Sicherheitskennzeichen. Vereinbaren Sie direkt einen Termin unter: it-sicherheitskennzeichen@bsi.bund.de

IT-Sicherheitskennzeichen jetzt beantragen!