Ich denke, ein guter Anfang ist, zuerst zu wissen, was man selber hat und einsetzt. Da Software nie fehlerfrei sein wird (das beweisen fast täglich alle "Großen"), muss man sicherstellen, dass kontrolliert nachgearbeitet werden kann.
Neben einer Quellcodeverwaltung auf jeden Fall auch eine "Stückliste" erstellen:
https://www.bsi.bund.de/DE/Service-N...rderungen.html.

Dann noch die Maßnahmen 8.25 bis 8.34 aus der https://de.wikipedia.org/wiki/ISO/IEC_27002 umsetzen.
Alles weitere werden die Gerichte entscheiden.

Bzgl freier Software:
https://www.heise.de/hintergrund/Sof...-10027145.html

Ja, so viel selber machen wie möglich, oder vor-zertifizierte Komponenten einkaufen, als "Nachweis" der Konformität in Teilen.
Closed Source ist sowieso schon immer ein No-Go für mich, schon aus anderen Gründen ...


Genau, es gibt ja entsprechende Normen und allgemein annerkannte Regeln der Technik.
Ich werde versuchen diese im ersten Schritt mal "anzupeilen", also eine Umsetzung "gemäß" oder "in Anlehnung an" diese oder jene Regel.
Aus jeden Fall alle möglichen QS-Standards für Software versuchen einzuhalten, um den Stand der Technik nachzuweisen.
Dann wird es womöglich später erforderlich sein, sicherheitskritische Teile extern zertifizieren zu lassen.
Oder eben sicherheitskritische Teile in externe Cloud-Systeme auszulagen, die zertifiziert sind,
aber das allein wird wohl nicht reichen, denn ich bin nach wie vor für das Ganze verantwortlich.
Womöglich kann man auch intern Teile herausziehen und separat zertifizieren, quasi als "Baumusterprüfung" von Komponenten,
das könnte die Kosten womögöich reduzieren.

Ja, aber das könnte gut eine vor-zertifizierte Komponente sein.
Wie bei anderen Produkten auch, ist es immer gut Zertifikate von Vorlieferanten zur Lieferantenbewertung einzuholen,
all das zielt darauf ab, das gesamte Risiko zu verringern und wird positiv gewertet.

In der Theorie ist das wohl so gedacht, aber praktisch unmöglich.
Deshalb wird es wohl um die Nachweise gehen, dass Du einigermaßen alles richtig machst.
Ein Prüfinstitut kann ja gar nicht in die Details schauen, aber es wird sich durch eine Liste typischer Fehler durcharbeiten.
Also sowas wie Usereingaben ungeprüft zur DB zu schicken sollte man dann tunlichst unterlassen.
Praktikabel wird das dann durch jährliche Audits nachgeprüft, die dann jedes Mal 1-3000 EUR Kosten, wenn es dem normalen Umfang entspricht.
Bei z.B. Messgeräterichtlinie wird dann auch nach ca. 5 Jahren wieder eine Nachprüfung erforderlich, die dann entsprechend teuer wird.

Es gibt aber immer verschiedene Möglichkeit die Konformität nachzuweisen, obiges gilt jetzt für die hochkritischen Bereiche,
also da wo notifizierte Stellen vorgeschrieben werden.
Es könnte gut sein, dass dies schon da vorgeschrieben wird, wo Du mit einfachen Kundendaten arbeitest z.B auch im WebShop,
das wäre dann schon der worst-case.

Unabhängig ob Dein Prüfistitut dir eine AAAAA Note gibt, wenn was passiert bist Du sowieso immer in Haftung und kannst das nicht auf das Prüfinstitut abwälzen.
Solche Fälle kenne ich auch, wo es quasi einen Prüfinstitut-War gibt, TÜV gegen SGS, beide mit verschiedenen Einschatzungen.
Das muss nicht immer gut für Dich ausgehen.

Programm aufteilen und die Teile zertifizieren.

Erstmal mehr Zertifizieriungen und teurer, aber die Teile sind kleiner, also sollten jeweils günstiger werden,
und dann sind auch nicht immer alle Teile neu zu zertifizieren, bzw. es ist eventuell auch nicht für alle Teile nötig.


Rentnerarbeit ... Kinder sterben eh aus

KI-Zwangsarbeit (die können sich ja garnicht wehren)

Wer dachte, das Thema ist durch, der kennt die EU noch nicht.

Die CRA-Cybersicherheits-Verordnung ist voll in Anlauf.
Hier nochmal eine schöne, kurze Zusammenfassung, für alle Beteiligten vom Fraunhofer Institut.
https://www.sit.fraunhofer.de/filead...Whitepaper.pdf

Also, alles was eine MCU und irgend eine Art von Datenaustausch hat ist Betroffen ( Zahnbürste, Toaster, Föhn, ... ).
Software ist natürlich auch betroffen.
Open Source hat zwar Ausnahmen, aber auch die ganzen Meldepflichten.
Nur damit das mal Jedermann klar ist.

Das alles muss demnächst die gleichen harten, generellen Cybersicherheitsanforderungen einhalten, OK nicht ganz wie ein Bankautomat, aber doch schon nah dran.
Unverschlüsselt Daten übertragen war gestern.
Einfache Basic-Authentifizierung ( vielleicht mit Passwort ohne 2FA ) war gestern.

Gut, es wird sicher nicht so heiß gegessen wie gekocht, aber Strafen sind schonmal ordentlich festgelegt ( bei der EU immer als erstes):

Und die meinen das wirklich.
Man sieht an der Höhe der Strafen, dass es keine Kavaliersdelkite geben wird und dass auch versehentlich Falschmeldungen ( was jedem mal passieren kann ), ein Unternehmen leicht um die Existenz bringen kann.

Ich hoffe Jeder beschäftigt sich mal damit und wirkt auf die EU ein, solange es noch geht ( ist ja eigentlich schon zu spät ).

Ich fühle mich in meiner Bewertung der EU bestätigt.
Wer glaubt, da könne man einwirken irrt, auch wer denkt, es beträfe ihn nicht.

Die EU scheint sich gerne immer wieder selbst ein Beinchen zu stellen

Der Weg zur Hölle ist gepflastert mit guten Absichten.

Ich habe mich damit bislang nicht beschäftigt und das 30-seitige PDF nur überflogen (und die Open Source-Sachen außen vor gelassen).

Ich habe das Problem ehrlich gesagt nicht verstanden. Was ist das Problem? Dass man als Hersteller von _digitalen_ Produkten (wie alle anderen auch) haften soll, für das, was man auf den Markt wirft?

Was sollte denn konkret anders sein? Bislang lese ich nur "EU doof".

Schön gesagt
Nur dumm, dass wir, alle EU-Bürger, die Suppe immer auslöffeln müssen, für die "guten Absichten" der paar Anderen.

Im Zeitalter der ai f**k ups fragen sich Softwareentwickler noch ernsthaft, warum wir solche gesetzlichen Richtlinien brauchen?

Damit ein Softwareentwickler für so was als Bademeister herhalten kann.

(Bademeister = er muss es ausbaden)