wesentlichen Cybersicherheitsanforderungen

Schutz vor unbefugtem Zugriff

Die Produkte implementieren authentifizierte und autorisierte Zugriffsmechanismen, die ihrem Betriebsumfeld entsprechen und unbefugten logischen Zugriff verhindern.

Vertraulichkeit von Daten

Daten, die von den Produkten verarbeitet, gespeichert oder übertragen werden, sind standardmäßig durch branchenübliche kryptografische Mechanismen geschützt.

Integrität von Daten, Befehlen und Code

Integritätsschutzmaßnahmen werden auf Produktcode, Konfiguration, Befehle und Updates angewendet, um unbefugte Änderungen zu verhindern.

Verfügbarkeit und Resilienz

Die Produkte sind so konzipiert, dass sie verfügbar bleiben und unter widrigen Bedingungen sicher ausfallen, einschließlich Resilienz gegenüber gängigen Angriffstechniken.

Sichere Standardkonfiguration

Produkte werden mit sicheren Standardkonfigurationen geliefert, die keine zusätzliche Härtung erfordern, um ein grundlegendes Sicherheitsniveau zu erreichen.

Minimierung der Angriffsfläche

Nur notwendige Dienste, Schnittstellen und Berechtigungen sind standardmäßig aktiviert; unnötige Funktionalität ist deaktiviert oder ausgeschlossen.

Schutz vor bekannten Schwachstellen

Bekannte Schwachstellen in Produktkomponenten werden identifiziert und vor der Freigabe behoben.

Sichere Aktualisierungsmechanismen

Updates werden über authentifizierte und auf Integrität geschützte Mechanismen bereitgestellt, um Manipulationen zu verhindern.

Sichere Lebenszyklusunterstützung

Sicherheitsupdates werden für einen definierten Unterstützungszeitraum bereitgestellt, der dem Produktlebenszyklus angemessen ist.

Protokollierung und Überwachung (wo angemessen)

Sicherheitsrelevante Ereignisse werden in einer dem Produktrollen- und -umfeld angemessenen Weise aufgezeichnet oder sichtbar gemacht.

Prinzip der minimalen Rechte

Produkte arbeiten mit den minimal erforderlichen Rechten für ihre vorgesehene Funktionalität.

Schutz vor Ausführung schädlichen Codes

Maßnahmen sind implementiert, um unbefugte oder schädliche Codeausführung innerhalb des Produkts zu verhindern.

Sichere Interoperabilität

Interaktionen mit Betriebssystemen und externen Komponenten sind sicher entworfen und implementiert.

Widerstandsfähigkeit gegenüber gängigen Angriffstechniken

Das Produktdesign berücksichtigt gängige Angriffsvektoren wie Spoofing, Replay, Manipulation und Privilegieneskalation.

Prozess zum Umgang mit Schwachstellen

Ein dokumentierter Prozess zum Umgang mit Schwachstellen wird für die Produkte im Anwendungsbereich gepflegt.

Koordinierte Offenlegung von Schwachstellen (CVD)

Es existiert ein öffentlicher Kanal für die verantwortungsvolle Offenlegung von Sicherheitslücken.

Annahme und Triage von Schwachstellen

Gemeldete Schwachstellen werden bewertet, priorisiert und basierend auf Schwere und Auswirkung verfolgt.

Zeitnahe Behebung

Sicherheitslücken werden ohne unangemessene Verzögerung behoben.

Sichere Verteilung von Behebungen

Sicherheitsbehebungen werden mithilfe derselben sicheren Aktualisierungsmechanismen verteilt wie Standardversionen.

Benutzer- und Kundenkommunikation

Benutzer werden bei Bedarf über relevante Sicherheitsprobleme informiert.

Bewusstsein für Ausnutzung

Informationen über bekannte oder vermutete Ausnutzungen werden überwacht und bei Reaktionsmaßnahmen berücksichtigt.

Regulatorische Meldung

Verfahren existieren, um aktiv ausgenutzte Schwachstellen, sofern gesetzlich vorgeschrieben, den zuständigen EU-Behörden zu melden.

Software-Stückliste (SBOM)

Informationen zur Softwarezusammensetzung werden für die Produkte gepflegt.

Aufbewahrung von Aufzeichnungen

Aufzeichnungen zu Schwachstellen und Behebungsmaßnahmen werden für regulatorische Prüfungen aufbewahrt.