Der CRA gilt sowohl für Software als auch für Hardware mit digitalen Elementen, aber die Pflichten sind nicht identisch. Das Verständnis der Unterschiede ist entscheidend.

1. Betroffene Produkte

Software: Web- und Mobile-Apps, SaaS-Plattformen, Betriebssysteme, Firmware und Bibliotheken. Schwerpunkte: Sicherheit durch Design, SBOM, Schwachstellenmanagement.

Hardware: IoT-Geräte, medizinische Geräte, Industrieausrüstung. Zusätzliche Anforderungen: physische Sicherheit, sichere Standardkonfiguration, OTA-Updates.

2. Hauptunterschiede

  • SBOM: Für beide Pflicht, bei Hardware inklusive eingebetteter Software
  • Updates: Software automatisch, Hardware OTA oder manuell (dokumentiert)
  • Standardkonfiguration: Sichere Konten (Software), keine Standardpasswörter (Hardware)
  • Support-Lebenszyklus: Vom Hersteller definiert, bei Hardware oft länger

3. Empfehlungen

Softwareentwickler sollten sich auf SBOM, CI/CD-Sicherheit und automatisiertes Schwachstellenmanagement konzentrieren. Hardwarehersteller müssen OTA-Updates, Hardwaresicherheit und Lebenszyklusdokumentation planen.

Ob Software oder Hardware — der CRA betrifft Sie. Passen Sie Ihren Ansatz an Ihren Produkttyp an.