Sicherheitspass
Der Sicherheitspass ist eine stabile, öffentliche Seite je Produkt mit den Nutzerinformationen, die CRA-Anhang II einem Produkt mit digitalen Elementen beilegt sehen will. Er ist als der Link gedacht, den Sie ins Handbuch drucken oder als QR-Code am HMI zeigen — eine URL, die über die Lebensdauer der Produktdokumentation gültig bleibt.
Was der Pass zeigt
Abschnitt betitelt „Was der Pass zeigt“Die Seite wird aus den Daten zusammengestellt, die Sie in Resilic pflegen, zugeordnet zu den Anhang-II-Punkten:
- Herstelleridentität — Name, Postanschrift, digitaler Kontakt (Punkt 1).
- Schwachstellenmeldung — die zentrale Kontaktstelle für Schwachstellenmeldungen und der Fundort Ihrer CVD-Richtlinie (Punkt 2).
- Produktidentifikation — Name, Typ, eindeutige Identifizierung (Punkt 3).
- Support — Art des Sicherheitssupports und Enddatum des Support-Zeitraums (Punkt 7).
- Advisory-Kanal — Ihr CSAF-Publisher-Namespace, wo Sicherheitshinweise erscheinen.
- SBOM-Verfügbarkeit — wo die SBOM abrufbar ist, falls Sie sie Nutzern zugänglich machen (Punkt 9).
- EU-Konformitätserklärung — die Internetadresse der Konformitätserklärung, sofern erfasst (Punkt 6).
Punkte, die Resilic nicht für Sie hält — Zweckbestimmung und Sicherheitsumgebung, vorhersehbare Risikoumstände und die detaillierten Nutzeranweisungen (Punkte 4, 5 und 8) — erscheinen als ehrliche offene Zeilen („vom Hersteller bereitgestellt / hier noch nicht veröffentlicht“). Der Pass erinnert Sie in der App daran, sie zu schließen; er erfindet nie Inhalte auf einer öffentlichen Seite.
SBOM zum Download veröffentlichen (Opt-in)
Abschnitt betitelt „SBOM zum Download veröffentlichen (Opt-in)“Anhang II Punkt 9 fragt, wo die SBOM abrufbar ist, falls Sie sie Nutzern zugänglich machen. Der Pass kann genau dieser Ort sein: Ein Schalter im Produkt-Drawer — „SBOM zum Download veröffentlichen“, standardmäßig aus — ergänzt die öffentliche Pass-Seite um Download-Links je Version.
- Downloads liefern die original eingelesene Datei, Byte für Byte (CycloneDX JSON): Die Signatur eines Lieferanten und der erfasste SHA-256 bleiben im CRA-Tooling Ihres Kunden prüfbar.
- Es erscheinen nur Versionen mit erhaltenem Original; SBOMs, die vor der Rohdaten-Aufbewahrung eingelesen wurden, haben erst nach erneutem Upload einen Download.
- Die Links hängen am Pass selbst: Den Pass widerrufen oder den Schalter ausschalten nimmt jeden Download sofort offline. Beim Erneuern der URL bleibt Ihre Veröffentlichungsentscheidung erhalten.
- Die Veröffentlichung ist Ihre Entscheidung — der CRA zwingt Sie nicht, Nutzern die volle SBOM auszuhändigen, und der Pass zeigt standardmäßig weiter die ehrliche Zeile „vom Hersteller auf Anfrage bereitgestellt“.
Erstellen, erneuern, widerrufen
Abschnitt betitelt „Erstellen, erneuern, widerrufen“Den Pass verwalten Sie im Produkt-Drawer:
- Erstellen erzeugt die stabile öffentliche URL (einmalig zum Kopieren angezeigt — ins Handbuch übernehmen oder als QR-Code rendern). Anders als der Freigabelink des Evidenzpakets läuft der Pass nicht ab.
- Link erneuern stellt eine neue URL aus und macht die alte sofort ungültig — etwa wenn ein Link geleakt ist oder Sie gedrucktes Material bewusst entwerten wollen. Je Produkt ist ein Pass-Link aktiv.
- Widerrufen nimmt die Seite vollständig offline. Widerrufene oder ungültige Links sind schlicht nicht auffindbar.
Was das ist — und was nicht
Abschnitt betitelt „Was das ist — und was nicht“Die Anhang-II-Pflichten gelten mit dem vollen CRA ab dem 11. Dez 2027 — der Pass ist ein Weg, diese Nutzerinformationen früh bereit zu haben, und die öffentliche Seite sagt das selbst. Ein veröffentlichter Pass ist keine Konformitätsaussage, und Resilic zertifiziert nichts: Der Pass zeigt, was Sie erfasst haben, markiert, was offen ist, und überlässt die rechtlichen Erklärungen (wie die Konformitätserklärung) Ihnen.