Doppel-Compliance
Die meisten Maschinen mit digitalen Elementen fallen unter zwei Regulierungen zugleich: den CRA und die Maschinenverordnung (EU) 2023/1230, die ab dem 20. Jan 2027 gilt und Cybersicherheit zu einer grundlegenden Sicherheits- und Gesundheitsschutzanforderung macht. Die Doppel-Compliance ist die „einmal machen“-Sicht: Ihr Anhang-I-Register ist die eine Evidenzbasis, und ein versionierter Crosswalk leitet ab, was diese Evidenz anderswo demonstriert.
Die Crosswalk-Ziele
Abschnitt betitelt „Die Crosswalk-Ziele“Maschinenverordnung, Anhang III:
- 1.1.9 — Schutz gegen Korrumpierung: Angeschlossene Geräte dürfen keine Gefährdungssituation erzeugen; sicherheitskritische Hardware, Software und Daten sind gegen Korrumpierung zu schützen, mit Sammlung von Eingriffsnachweisen; die Maschine muss ihre sicherheitsrelevante installierte Software identifizieren.
- 1.2.1(a) — Steuerungssysteme müssen, soweit den Umständen und Risiken angemessen, beabsichtigten und unbeabsichtigten äußeren Einwirkungen standhalten, einschließlich vernünftig vorhersehbarer böswilliger Versuche Dritter, die zu einer Gefährdungssituation führen.
- 1.2.1(f) — das Rückverfolgungsprotokoll der eingriffsbezogenen Daten und der nach dem Inverkehrbringen aufgespielten Sicherheitssoftware-Versionen, fünf Jahre nach jedem Upload aktiviert, ausschließlich zum Konformitätsnachweis auf begründetes Verlangen einer zuständigen Behörde.
(Die in Resilic angezeigten Bezeichnungen sind kurze Paraphrasen des Amtsblatt-Texts und als solche gekennzeichnet.)
KI-Verordnungs-Zweig — über CRA Art. 12: Für Produkte mit einem erfassten im Anwendungsbereich liegenden Hochrisiko-KI-System (siehe KI-Systeme) kann CRA Art. 12(1) die Cybersicherheitsanforderungen aus Art. 15 der KI-Verordnung als erfüllt gelten lassen — nur Cybersicherheit, nie Genauigkeit oder Robustheit aus Art. 15 — und nur, wenn Anhang I Teil I und II erfüllt sind und das Schutzniveau in der EU-Konformitätserklärung nach dem CRA nachgewiesen wird. Der Bericht trägt diese fortlaufende Bedingung immer: Der KI-Verordnungs-Zweig kann nie allein aus dem Registerstatus als „erledigt“ erscheinen. Ohne erfasste In-Scope-KI-Systeme wird der Zweig als für kein erfasstes KI-System relevant ausgewiesen.
Abgeleitete Status
Abschnitt betitelt „Abgeleitete Status“Für jede Zielanforderung benennt der Crosswalk die CRA-Anhang-I-Einträge, die sie belegen, samt Begründung der Zuordnung. Der Status wird beim Lesen berechnet — Erfüllt (alle zugeordneten Einträge erfüllt oder begründet nicht zutreffend), Teilweise oder Lücke — nichts wird gespeichert, eine Crosswalk-Korrektur hinterlässt also nie veraltete Urteile.
Der Demonstrations-Export
Abschnitt betitelt „Der Demonstrations-Export“Die Ansicht exportiert als PDF-Demonstration in jedem Zustand — der aktuelle Stand wird gedruckt, einschließlich der Vorbehalte und eines Querverweises, wie viele Ihrer Produkte eine freigegebene Cyber-Risikobeurteilung haben (das rahmt die Formulierung „den Risiken angemessen“ aus 1.2.1(a)).
Was das ist — und was nicht
Abschnitt betitelt „Was das ist — und was nicht“Das CRA↔MVO-Zusammenspiel funktioniert nur, „wenn der Hersteller es nachweist“ — dieses Feature ist dieser Nachweis, strukturiert und druckbar. Es ist Readiness-Evidenz, keine Konformitätsbewertung, kein CE-Anspruch und keine Aussage, eine der Regulierungen sei „abgedeckt“.