Die Technische Richtlinie TR-03183 beschreibt Cyber-Resilienz-Anforderungen an Hersteller und Produkte. Mit ihr sollen schon vorab die Art der Anforderungen, die mit dem Cyber Resilience Act (CRA) verpflichtend sind, zugänglich gemacht werden.

Der CRA ist im Dezember 2024 in Kraft getreten. Aktuell laufen die Übergangsfristen bis zur vollständigen Umsetzung am 11. Dezember 2027. Mehr zum CRA erfahren

Die Technische Richtlinie wird kontinuierlich aktualisiert und weiterentwickelt.

In Teil 1 "General Requirements" werden Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhängen des CRA zusammengestellt.

In Teil 2 "Software Bill of Materials (SBOM)" werden formelle und fachliche Vorgaben für SBOM beschrieben.

In Teil 3 "Vulnerability Reports and Notifications" wird der Umgang mit eingehenden Schwachstellenmeldungen beschrieben.

Kommentierungsphase

Teil 1 und Teil 3 sind in der vorläufigen Version 0.9.0 als Community Draft veröffentlicht und werden zur Zeit nach einer Kommentierungsphase überarbeitet. Das BSI sichtet das bisher eingegangene Feedback und nutzt dieses in Zusammenarbeit mit relevanten Akteuren zur Weiterentwicklung der TR-03183 sowie als Beitrag zur Europäischen Standardisierung.

Die erste Kommentierungsphase endete am 30. November 2024. Unabhängig davon ist es aber jederzeit möglich, weitere Kommentare und Rückmeldungen zu allen Teilen der TR an das Funktionspostfach tr03183@bsi.bund.de zu senden.

Hinweis

Das BSI hat als Hilfestellung für die Erstellung von mit Teil 2 konformen SBOM einen eigenen CycloneDX Namesraum angelegt und diesen bei CycloneDX registriert. Dessen Taxonomie ist innerhalb des BSI-GitHub-Account veröffentlicht.