Danke für das hilfreiche Video. Dennoch stellen sich mir viele Fragen. Wer bestimmt wie lange die Lebensdauer der Software ist bzw. nach welchen Kriterien? Wie soll die Risikobewertung vorgenommen werden, klar nach CIA Kriterien aber mit welcher Matrix/Skala etc. könnte man das bitte näher beschreiben? Danke!
Hi hofertyp, hier dann mal die Antworten auf Ihre Fragen: Die Lebenserwartung eines Produktes am Markt wird nicht im CRA definiert. Man kann als Orientierung die erste Inverkehrbringung bis zur Abkündigung sehen. Bei dem Thema der Risikobetrachtung ist der Grundschutz (BSI IT-Grundschutz) vielversprechend, da er umfangreich Risiken kennt und bereits eine Matrix zwischen Risiko und Maßnahmen zur Risikoverringerung mit sich bringt. Dazu kommt dann die Einzelfallbetrachtung zwischen der kompensierenden Wirkung einer Maßnahme in Bezug auf das Risiko in Abhängigkeit mit anderen Maßnahmen. Der CRA verlangt ja nicht alle Maßnahmen, die der Grundschutz und andere produktnahe Standards wie die IEC 62443-4-2 kennen. Und wie schon im Video gesagt: Das ist natürlich keine Rechtsberatung. Wir planen eine weitere Folge zum Thema CRA-Risiko für Hersteller, sobald wir final den CRA freigegeben vorliegen haben. Wenn Sie noch weitere Fragen/ Wünsche haben, schreiben Sie gerne nochmals.