Zum Inhalt springen

Cyber-Risikobeurteilung

CRA Art. 13(2)–(3) erwartet vom Hersteller eine Cybersicherheits-Risikobeurteilung des Produkts, die bei Bedarf aktualisiert und in die technische Dokumentation aufgenommen wird (Anhang VII §3). Resilic gibt jedem Produkt eine aktuelle, weiter bearbeitbare Beurteilung — KI-entworfen aus Evidenz, menschlich freigegeben und durch Ihre Live-Daten ehrlich gehalten.

Aus Evidenz generieren erstellt einen Entwurf, fundiert auf dem, was Resilic zum Produkt bereits hält: Registereintrag, Versionen und Auslieferungen, SBOM und Komponenteninventar sowie die Korrelations-Exposition (EUVD/NVD/CISA KEV). Das Ergebnis ist ein Sicherheitskontext plus Bedrohungskandidaten mit Zitaten — eine Bedrohung wird vorgeschlagen, weil die SBOM etwa eine netzwerkexponierte Komponente mit Ausnutzungshistorie enthält, und das Zitat belegt es. Die Fakten werden deterministisch kompiliert; die KI formuliert nur die Prosa. Kandidaten sind Vorschläge: Sie wählen aus, bearbeiten, ergänzen eigene oder verwerfen.

Risiken werden auf einer festen Matrix Eintrittswahrscheinlichkeit × Auswirkung bewertet — jeweils Niedrig/Mittel/Hoch, abgebildet auf ein Risikoniveau Niedrig/Mittel/Hoch. Die Abbildung ist im Produkt dokumentiert, und jede Bewertung ist auf ihre Eingaben rückführbar. Es gibt bewusst kein Blackbox-Scoring und keine konfigurierbare Methodik: erklärbar schlägt raffiniert. Die Produkttexte beanspruchen keine Konformität mit einem Risikobeurteilungs-Methodikstandard.

Die Freigabe verlangt eine ausdrückliche Bestätigung und hält fest, wer wann freigegeben hat. Danach wacht Resilic über Evidenz, die die Beurteilung infrage stellt:

  • ein neuer aktiv ausgenutzter (KEV-)Treffer am Produkt,
  • eine neue SBOM für eine seiner Versionen,
  • eine neue Auslieferung des Produkts.

Jedes davon markiert die Beurteilung als „Überprüfung nötig“ — der Inhalt wird nie stillschweigend geändert — und kann abonnierte Nutzer benachrichtigen. So wird das „bei Bedarf aktualisiert“ aus Art. 13(3) zu einem operativen Kreislauf statt zu einem Regaldokument.

  • Eine freigegebene Beurteilung füllt Anhang VII §3 Ihrer technischen Dokumentation und ersetzt den „selbst beibringen“-Platzhalter durch einen zitierten Abschnitt.
  • Die Beurteilung exportiert als eigenständiges PDF — nur freigegebene Beurteilungen. Ist die Beurteilung zur Überprüfung markiert, druckt der Export REVIEW REQUIRED, statt es zu verbergen.

Art. 13(2)–(3) sind Pflichten des vollen CRA ab dem 11. Dez 2027 — Readiness-Rahmung, keine Pflicht ab September 2026. Resilic strukturiert Ihre eigene Beurteilung; es führt sie nicht durch, bescheinigt und zertifiziert sie nicht. Und es ist eine Cybersicherheits-Risikobeurteilung: Sie ersetzt nicht die ISO-12100-Sicherheitsrisikobeurteilung für Maschinen — hängen Sie diese, wo relevant, als Evidenz an; sie ist ein anderes Dokument mit einem anderen Eigentümer.