Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang Oktober 2025 die Technische Richtlinie BSI TR-03183 Teil 1 „General Requirements“ aktualisiert und auf der Messe it-sa in Nürnberg vorgestellt. In der Version 0.10.0 werden Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhängen des Cyber Resilience Act (CRA) zusammengestellt. BSI TR-03183-1 enthält einen Ansatz zur risikobasierten Auswahl von IT-Sicherheitsmaßnahmen und eine initiale Auswahl an generischen Sicherheitsmaßnahmen im maschinenlesbaren Format OSCAL. Diese werden in Ergänzung zur BSI TR-03183-1 auf Github veröffentlicht. Auch die Teile BSI TR-03183-2 „Software Bill of Materials (SBOM)“ und BSI TR-03183-3 „Vulnerability Reports and Notifications“ wurden vor kurzem aktualisiert.
Die BSI TR-03183 ist als Einstiegshilfe in den CRA gedacht. Sie hat keinen verpflichtenden oder verbindlichen Charakter. Zielgruppe sind insbesondere Hersteller, die noch keine ausgereiften IT-Sicherheitsprozesse im Rahmen ihrer Entwicklung und Schwachstellenbehandlung etabliert haben. Der CRA ist im Dezember 2024 in Kraft getreten. Es gelten Übergangsfristen bis zur vollständigen Umsetzung am 11. Dezember 2027.
In Herstellerworkshops soll die Technische Richtlinie weiter ausgearbeitet werden, um ein praxisnahes und angemessenes Vorgehen zu erreichen. Bei Interesse an einer Teilnahme können sich Hersteller per Mail an tr03183@bsi.bund.de wenden.
Hersteller, die sie sich jetzt schon mit der BSI TR-03183 auf die möglichen Anforderungen des CRA vorbereiten, haben zudem die Möglichkeit dies mit dem IT-Sicherheitskennzeichen sichtbar zu machen und sich hiermit vom Markt abzuheben.