Anfang Oktober 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der Fachmesse it-sa in Nürnberg die aktualisierte Version 0.10.0 der Technischen Richtlinie BSI TR-03183 Teil 1 „General Requirements“ vorgestellt. Die Richtlinie richtet sich insbesondere an Hersteller von IT-Produkten und dient als Orientierung bei der Umsetzung der Anforderungen des Cyber Resilience Act (CRA), der seit Dezember 2024 in Kraft ist.
Die überarbeitete Fassung orientiert sich inhaltlich an den Vorgaben des CRA, insbesondere an den dort definierten Artikeln und Anhängen. Sie enthält grundlegende Anforderungen an Hersteller und Produkte sowie einen risikobasierten Ansatz zur Auswahl geeigneter IT-Sicherheitsmaßnahmen. Ergänzt wird die Richtlinie durch eine erste Sammlung generischer Sicherheitsmaßnahmen im maschinenlesbaren OSCAL-Format (Open Security Controls Assessment Language), die auf der GitHub-Plattform des BSI bereitgestellt werden.
Neben dem ersten Teil der Richtlinie wurden auch die Abschnitte TR-03183-2 („Software Bill of Materials – SBOM“) und TR-03183-3 („Vulnerability Reports and Notifications“) aktualisiert. Zusammen bilden sie ein modular aufgebautes Rahmenwerk, das Herstellern helfen soll, sich systematisch auf die Anforderungen des CRA vorzubereiten.
Die Technische Richtlinie hat keinen verbindlichen Charakter, sondern versteht sich als freiwillige Unterstützung – insbesondere für Unternehmen, die bislang noch keine etablierten Prozesse für IT-Sicherheit und Schwachstellenmanagement besitzen. Ziel ist es, den Einstieg in die künftigen gesetzlichen Anforderungen zu erleichtern. Der CRA sieht Übergangsfristen bis zum 11. Dezember 2027 vor, innerhalb derer Hersteller ihre Produkte und Prozesse entsprechend anpassen müssen.
Um die Praxistauglichkeit der Richtlinie weiter zu verbessern, plant das BSI Herstellerworkshops zur gemeinsamen Weiterentwicklung. Interessierte Unternehmen können sich per E-Mail an tr03183@bsi.bund.de
wenden.
Hersteller, die sich bereits jetzt an der TR-03183 orientieren und ihre Sicherheitsmaßnahmen entsprechend umsetzen, können dies durch das IT-Sicherheitskennzeichen des BSI sichtbar machen – und sich so frühzeitig als vertrauenswürdige Anbieter am Markt positionieren.