Cyber Resilience Act-Bereitschaft für einen EU-Hersteller vernetzter Produkte

Hinweis zum Rahmen. Diese Seite beschreibt einen Korpus interner Vorbereitungsarbeit, anonymisiert und als Methodik-Referenz veröffentlicht. Es ist kein bezahltes externes Mandat. Gleiche Anonymisierungsregeln: keine Kunden-Identifikation, kein Zitieren von Text, nur Sektor-Deskriptor.

Kontext

Der EU Cyber Resilience Act (Verordnung 2024/2847) auferlegt Pflichten jedem Wirtschaftsakteur, der Produkte mit digitalen Elementen auf den EU-Markt bringt. Die oben genannten Cliff-Daten setzen die operativen Fristen; der offizielle Umsetzungs-Zeitplan und die Standardisierungs-Anfragen sind auf der CRA-Umsetzungs-Seite der Europäischen Kommission verfolgt. Was dieses Mandat nicht trivial macht, ist die regulatorische Geometrie der Organisation unter diesen Daten.

Die Organisation in diesem Korpus trug eine hybride regulatorische Position: Hersteller im CRA-Sinne für ihren eigenen Software-Stack (Edge-Runtime, Container-Images, Cloud-Backoffice, Mobile-App), Betreiber/Distributor für die Hersteller-Hardware, die sie integriert. Darüber gelegt: die deutsche nationale NIS2-Umsetzung (BSIG-neu, in Kraft 6. Dezember 2025) erzeugte eine parallele Meldepflicht als (besonders) wichtige Einrichtung, mit eigenen Uhren unter § 32. Eine nachgelagerte Kunden-Kaskade brachte Lieferketten-Haftung aus Artikel 21(2) NIS2 ein.

Ausgangslage: schwach, aber noch nicht im Verstoß. Keine SBOM. Kein Firmware-Inventar. Keine dokumentierte Support-Zeitraum-Begründung. Kein Artikel-14-Runbook. VPN/SSH-Betrieb ohne Pro-Nutzer-Attribution. Keine Anbieter-Evidenz-Pakete. Hart-Löschung mit Sicherheits-Audit-Aufbewahrung verwechselt. Eine Legacy-Zertifikat-Exposition für eine Produktfamilie. Eine geerbte Site, die als Black-Box aus einer früheren Kunden-Migration lief.

Das Engineering-Team hatte keine dedizierte Cybersecurity-Stelle. Die Fristen bewegen sich nicht.

Vorgehen

Die Arbeit nahm vom ersten Tag an eine bewusst rigorose Haltung ein: jede tragende Behauptung würde am Text des Amtsblatts oder an einem interpretativen Dokument der EU-Kommission zitiert, jeder Befund mit Verifikations-Status getaggt, jedes Dokument durch eine Querverweis-Matrix propagiert, die als interner Audit-Trail fungiert. Die methodischen Verpflichtungen waren:

• Fünf-Pass-Verbatim-Verifikation gegen EU-Verordnung 2024/2847 (Artikel 13, 14, 16, 22, 28, 31, 64, 69; Anhang I Teile I und II; Anhang II; Anhang III; Anhang VII), Richtlinie (EU) 2022/2555 NIS2 und das deutsche BSIG-neu (§§ 30, 32, 33, 38, 65). Ein separater Zitate-Annex trägt verbatim regulatorischen Text für jedes Cliff-1-Lieferobjekt, ausgelegt um eine feindliche Review-Sitzung Zeile-für-Zeile zu überstehen.
• Ein “Position-of-Record”-Annex erfasst autoritative Behauptungen mit ihrer Evidenz-Kette, trennbar von den operativen Dokumenten, die auf ihnen aufbauen.
• Ein 32-Befunde-konsolidierter Katalog klassifiziert L (gesetzlich erforderlich) / I (implizite Mittel) / B (Best Practice), nachverfolgt über 24 nachgelagerte Dokumente mit Pro-Dokument-Propagations-Status (DONE / PENDING / FROZEN / OPTIONAL).
• Offene-Frage-Disziplin: jede Behauptung, die auf externe Bestätigung wartet (Anbieter-PSIRT-Antwort, Regulierer-Klärung, Benannte-Stelle-Designation), ist als OPEN getaggt, mit dem Dokument, das sie hält, explizit auf die Wartezeit hinweisend.

Was die Arbeit produzierte

Rund 240 Seiten Audit-belastbarer Evidenz über dreizehn primäre Dokumente:

• Master-Compliance-Checkliste — konsolidiertes Pflichten-Register über elf thematische Abschnitte (Scope, Inventar, Legacy-Zertifikate, Audit/Logging, Vulnerability-Handling, sicheres Update + Support-Zeitraum + Anhang II, Artikel-14-Reporting, Edge-Sicherheit, Beschaffung/Anbieter-Evidenz, Konformitätsbewertung, DSGVO/NIS2-Abstimmung). Jede Zeile: Lücken-Aussage, Warum-es-zählt verbunden mit spezifischem Anhang/Artikel, Schweregrad (Critical / High), Tickbox-Unter-Punkte.
• Audit-Bereitschafts-Vertiefung — Primärquellen-Verifikations-Begleiter, der jede tragende Behauptung testet, plus ein 90-Tage-Ausführungsplan.
• Ausführungszeitleiste — Woche-für-Woche bis Cliff 1, monatlich bis Cliff 2, organisiert in sieben Phasen über zehn Integrations-Spuren.
• Gap-Analyse / Verfahren / Beschaffung — fünfzehn benannte Bedrohungs-Szenarien, ein dreizehn-Abschnitte-Policy/Procedure-Inventar, zwanzig Tooling-Kategorien, acht Kategorien externer Dienstleistungen.
• Research-Update — anbieter-für-anbieter Sicherheits-Posture-Refresh, CRA-Durchführungsrechtsakt-Status, deutsches NIS2-Transpositions-Update, EUCC-Schema-Positionierung, Legacy-Zertifikat-Identifikation.
• Erste-30-Tage-Allein — Sole-Engineer-Priorisierungs-Override, acht Must-Exist-Dokumente, ein 30-Tage-Plan, Management-Memo-Template, Unterschriftsseite-Template, das Staffing-Optionen A/B/C anfordert.
• Executive Briefing (16-Slide-Deck) — vorstandsgerichtet, verankert an drei Zahlen: Tage zum Cliff, Bußgeld-Decke, FTE-Realität. Reporting-Uhr-Infografik, 13-Wochen-Roadmap, Entscheidungs-Optionen.
• Tech-Coordination-Deck (~19 Slides) — CTO-gerichteter Begleiter. Teilt das Estate in Edge-verkabelt versus Cloud-API-Integrations-Modus, weist sechs internen Teams, drei externen Parteien plus der Geschäftsführung zu.
• Artikel-14 / § 32 BSIG Runbook — operativer Runbook mit verbatim regulatorischem Text, vier vor-entworfenen Meldungs-Templates (24h-Frühwarnung, 72h-Meldung, 14d-Vulnerability-Final, 30d-Incident-Final), Kunden-Kommunikations-Template, ENISA-Single-Reporting-Platform-Onboarding-Verfahren.
• RACI-Matrix — Ein-Seite-Verantwortungs-Matrix über ~25 Cybersecurity- und CRA/NIS2-Funktionen; mit echten Namen besetzt, als Evidenz für Einzelperson-Konzentration in der R-Spalte verwendet.
• Konsolidierter-Befunde-Annex — der 32-Befunde-Katalog × 24-Dokumente-Propagations-Tracker.
• Operator’s Playbook — drei-stufiger Hand-Holding-Guide, einfachste-Hebel-zuerst geordnet; für jeden Punkt: was, wo es lebt, was es enthalten muss, wer unterschreibt, wo es abgelegt wird, Aufwandsschätzung, erfüllte Zitate.
• README / Index — Confluence-Topologie, Seitenummerierungs-Konvention, Status-Banner (DRAFT / APPROVED / EFFECTIVE / SUPERSEDED), Dokumenten-Karte.

Risiko-Oberfläche kartiert

Fünfzehn benannte Bedrohungs-Szenarien in der Gap-Analyse:

• Container-Ausbruch am Edge
• physischer Angriff auf unbeaufsichtigtes Edge-Gerät
• NFC-Relay gegen Mobile-Anmeldungs-Integration
• SSH-Schlüssel-Kompromittierung, die sich durch die Flotte propagiert
• unbekannte Vulnerability auf geerbter Site
• Lieferketten-Kompromittierung eines Docker-Base-Images
• Zentral-Backend-Kompromittierung, die sich auf On-Prem propagiert
• Replay / Zeit-Drift
• Klonen von kontaktlosen Anmeldedaten
• Anbieter-Cloud-Kompromittierung, die zurück-pivotiert
• Insider via privilegierten Engineering-Zugriff
• Mobile-App-Reverse-Engineering
• kunden-seitige Kompromittierung, die sich auf Integrator propagiert
• Denial-of-Service gegen zentrale Whitelist-Synchronisation
• NIS2-Lieferketten-Kaskaden-Haftung

Fünfundzwanzig bis neunundzwanzig Einträge im Risiko-Register, bewertet auf 5×5-Modell (sichtbare Werte 25, 20, 16, 15). Tooling-Backlog umfasst zwanzig Kategorien — SBOM, SAST, DAST, Image-Scanning, Secret-Scanning, Image-Signing, Runtime-Security, PAM / Session-Recording, EDR am Edge, SIEM, Vulnerability-Management, Patch-Management, Secrets / Credentials, PKI / Cert-Management, HSM, Code-Signing, Backup / DR, GRC, Threat-Intel.

Ergebnis

Die Arbeit lieferte ein belastbares Positions-Paket statt einer Problem-Erklärung. Konkret:

• Ein vorstands-lesbares Briefing, das die gesamte Position auf drei Zahlen und drei Staffing-Optionen destilliert.
• Ein zeilenweise prüfbares Compliance-Register, gegen das Regulierer und Benannte Stelle auditieren können.
• Ein operativer Runbook für Artikel-14-Reporting, der ohne weitere Design-Arbeit läuft — einschließlich vor-entworfener Meldungs-Texte für jede Uhr.
• Eine Verantwortungs-Matrix, die die Staffing-Konzentrations-Realität demonstriert (und damit, dass die Eskalation an die Führung für Staffing-Entscheidungen selbst eine dokumentierte Kontrolle ist).
• Ein Ausführungsplan mit expliziten Extern-Validierungs-Toren (Benannte-Stelle-Designation, Anbieter-Evidenz-Pakete, Regulierer-schriftliche-Antworten), wo die Arbeit nicht einseitig vorangebracht werden kann.

Der Netto-Effekt: bis Cliff 1 (11. September 2026) kann der Betreiber dieses Evidenz-Paket einer Benannten Stelle oder dem Regulierer ohne Vorbereitungs-Lücken vorlegen, und die Staffing-Ressourcen-Entscheidung sitzt explizit auf dem Führungs-Tisch als vorstandsebene-Aufruf statt einem Engineering-Team-Default. Die “schwach-aber-noch-nicht-im-Verstoß”-Ausgangslage hat einen dokumentierten Pfad zu “Audit-belastbar”.

Was die Arbeit nicht produzierte

Wir implementierten keine Kontrollen. Wir schrieben keinen Code. Wir interagierten nicht mit Benannten Stellen oder Regulierern im Auftrag. Wir lieferten keine ISO-27001-Zertifizierung oder ein EUCC-Zertifikat. Wir bauten nicht die SBOM-Pipeline oder das PSIRT-Postfach. Die Ausgabe war ein Evidenz-Grad-Bereitschafts-Paket — eine Position, von der aus staffed-up Implementierung beginnen kann, ohne die Fundamente neu zu litigieren.

Form der Arbeit

Sole-Author-intensiv: rund 240 Seiten produziert über dreizehn primäre Dokumente und vier Annexe. Vorn-belastet in ein komprimiertes Drafting-Fenster, mit nachfolgender Ausführung gescoped über etwa neunzehn Monate bis Cliff 2. Companion-Document-Architektur durchgehend — jedes Lieferobjekt beschreibt explizit, wie es die anderen übersteuert oder ergänzt. Durchgehend vertraulich; keine öffentlichen Materialien außer dieser anonymisierten Methodik-Referenz produziert.