[
  {"id": "M540", "name": "Software Bill of Materials (SBOM) erstellen und mitliefern",
   "description": "Für Software, Firmware und relevante Drittkomponenten wird eine SBOM erstellt und gepflegt. Sie enthält mindestens Komponente, Version, Herkunft und Abhängigkeit und wird für das Schwachstellenmanagement genutzt.",
   "sub_topic": "supply_chain", "evidence_type": "code", "covers": ["CRA-AI-23", "CRA-AI-33"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-218", "NTIA SBOM"], "alternatives": ["SPDX", "CycloneDX"]},

  {"id": "M541", "name": "Signierte Software- und Firmware-Updates mit Rollback-Schutz",
   "description": "Updates werden ausschließlich kryptographisch signiert ausgeliefert; die Steuerung prüft die Signatur vor Installation und verweigert unsignierte Pakete. Ein Rollback-Schutz verhindert das Downgraden auf nachweislich verwundbare Versionen.",
   "sub_topic": "updates", "evidence_type": "code", "covers": ["CRA-AI-29", "CRA-AI-5", "CRA-AI-28"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "IEC 62443-4-1", "NIST SP 800-53: SI-7"], "alternatives": []},

  {"id": "M542", "name": "Initiale Default-Passwörter beim ersten Start erzwungen ändern",
   "description": "Die Maschine fordert beim ersten Hochfahren zwingend die Änderung aller werkseitigen Default-Passwörter (Bediener, Wartung, Admin). Default-Credentials werden nicht im Klartext veröffentlicht; eine Wiederherstellung auf Default ist nur über physischen Zugriff möglich.",
   "sub_topic": "authentication", "evidence_type": "code", "covers": ["CRA-AI-8", "CRA-AI-9"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "ETSI EN 303 645", "NIST SP 800-53: IA-5"], "alternatives": []},

  {"id": "M543", "name": "Coordinated-Vulnerability-Disclosure-Policy veröffentlichen und betreiben",
   "description": "Der Hersteller stellt einen klaren Meldeweg für Schwachstellen bereit. Meldungen werden bestätigt, bewertet, priorisiert und bis zur Behebung nachvollziehbar bearbeitet.",
   "sub_topic": "vuln_handling", "evidence_type": "document", "covers": ["CRA-AI-35"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "ISO/IEC 29147", "ISO/IEC 30111"], "alternatives": []},

  {"id": "M544", "name": "Patch-SLA mit Severity-Tiers dokumentieren und Lifecycle-Support festlegen",
   "description": "Für kritische, hohe, mittlere und niedrige Schwachstellen sind Bewertungs- und Behebungsfristen definiert. Supportzeitraum und Updateversorgung pro Produkt sind festgelegt; Abweichungen werden risikobasiert begründet und dokumentiert.",
   "sub_topic": "vuln_handling", "evidence_type": "process", "covers": ["CRA-AI-31", "CRA-AI-34", "CRA-AI-39"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "ISO/IEC 30111", "NIST SP 800-53: SI-2"], "alternatives": []},

  {"id": "M545", "name": "Secure-by-Default-Konfiguration und Cybersecurity-Hardening-Guide beilegen",
   "description": "Das Produkt wird mit sicheren Standardeinstellungen ausgeliefert (keine offenen Debug-Schnittstellen, keine unnötigen Dienste). Die Doku enthält einen gepflegten Hardening-Guide: Netzwerk-Segmentierung, deaktivierbare Dienste, sichere Konfiguration der Komponenten und Benutzerverwaltung.",
   "sub_topic": "secure_design", "evidence_type": "hybrid", "covers": ["CRA-AI-1", "CRA-AI-40"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I/II", "IEC 62443-3-3", "ETSI EN 303 645"], "alternatives": []},

  {"id": "M546", "name": "Incident-Meldeprozess an ENISA / nationale CSIRT definieren",
   "description": "Für aktiv ausgenutzte Schwachstellen und erhebliche Sicherheitsvorfälle ist ein Meldeprozess mit Rollen, Fristen (24h/72h), Freigaben und Kommunikationswegen definiert. Zuständigkeiten für ENISA, CSIRT, Kundeninformation und interne Eskalation sind festgelegt.",
   "sub_topic": "vuln_handling", "evidence_type": "process", "covers": ["CRA-AI-36", "CRA-AI-37", "CRA-AI-38"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "ISO/IEC 27035"], "alternatives": []},

  {"id": "M547", "name": "Updates über authentisierten Kanal mit Integritätsprüfung",
   "description": "Der Update-Kanal ist manipulationssicher: TLS 1.3 mit Zertifikatsprüfung bei Online-Updates, Hash-Prüfung der Update-Datei vor dem Anwenden. Der Update-Prozess ist atomar — bei Abbruch bleibt die alte Version lauffähig.",
   "sub_topic": "updates", "evidence_type": "code", "covers": ["CRA-AI-30", "CRA-AI-28", "CRA-AI-6"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "IEC 62443-4-2", "NIST SP 800-53: SI-2"], "alternatives": []},

  {"id": "M548", "name": "Sicherheitsbewertung / Penetrationstest vor Inverkehrbringen durchführen",
   "description": "Vor Inverkehrbringen werden Architektur, Konfiguration, Schnittstellen, Update-Prozess, Authentisierung und bekannte Schwachstellen bewertet. Je nach Risiko erfolgt zusätzlich ein Penetrationstest oder eine unabhängige technische Prüfung.",
   "sub_topic": "ssdlc", "evidence_type": "hybrid", "covers": ["CRA-AI-20"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "IEC 62443-4-1", "OWASP ASVS"], "alternatives": ["Penetrationstest", "Security-Review", "Red-Team-Test"]},

  {"id": "M600", "name": "Nicht benötigte Dienste, Ports und Protokolle standardmäßig deaktivieren",
   "description": "Auf SPS, HMI, IPC, Gateway und Fernwartung werden nur die für den Einsatzzweck erforderlichen Dienste aktiviert. Nicht benötigte Ports, Konten, Webdienste und Diagnose-Schnittstellen bleiben deaktiviert; Aktivierungen werden dokumentiert.",
   "sub_topic": "secure_design", "evidence_type": "code", "covers": ["CRA-AI-2"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "IEC 62443-3-3", "NIST SP 800-53: CM-7", "ETSI EN 303 645"], "alternatives": []},

  {"id": "M601", "name": "Sichere Systemarchitektur mit Netzwerkzonen und Conduits umsetzen",
   "description": "Produktionsnetz, Fernwartung, Office-IT, Cloud-Anbindung und Safety-Funktionen werden logisch oder physisch getrennt. Sicherheitskritische Funktionen sind nicht direkt aus untrusted Segmenten erreichbar; Kommunikationspfade sind explizit erlaubt und dokumentiert.",
   "sub_topic": "secure_design", "evidence_type": "hybrid", "covers": ["CRA-AI-3"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "IEC 62443-3-2", "IEC 62443-3-3", "NIST SP 800-53: SC-7"], "alternatives": []},

  {"id": "M602", "name": "Least-Privilege und rollenbasierte Autorisierung erzwingen",
   "description": "Benutzer, Dienste und Komponenten erhalten nur die für ihre Aufgabe erforderlichen Rechte. Bediener, Instandhaltung, Hersteller-Service und Admin haben getrennte Rollen; Schreibrechte auf sicherheitsrelevante Parameter sind beschränkt und werden regelmäßig überprüft.",
   "sub_topic": "authentication", "evidence_type": "code", "covers": ["CRA-AI-4", "CRA-AI-12"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-53: AC-6", "NIST SP 800-53: AC-2", "IEC 62443-3-3"], "alternatives": []},

  {"id": "M603", "name": "Starke Authentifizierung für privilegierte Zugänge einsetzen",
   "description": "Administrations-, Wartungs- und Fernwartungszugänge werden durch starke Authentisierung geschützt. Für besonders kritische Zugänge wird ein zweiter Faktor, ein Client-Zertifikat oder ein Hardware-Token verlangt.",
   "sub_topic": "authentication", "evidence_type": "code", "covers": ["CRA-AI-7"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-53: IA-2", "OWASP ASVS V2", "ETSI EN 303 645"], "alternatives": ["Client-Zertifikat", "Hardware-Token", "TOTP"]},

  {"id": "M604", "name": "Credential- und Schlüsselmanagement etablieren",
   "description": "Passwörter, API-Keys, Zertifikate und private Schlüssel werden nicht im Klartext oder Quellcode gespeichert und nicht über Kunden/Maschinen wiederverwendet. Schlüssel werden sicher erzeugt, getrennt verwahrt, rotiert und bei Kompromittierung ersetzt.",
   "sub_topic": "authentication", "evidence_type": "hybrid", "covers": ["CRA-AI-9", "CRA-AI-16"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-53: IA-5", "NIST SP 800-57", "IEC 62443-4-2"], "alternatives": ["HSM", "Secure Element", "TPM"]},

  {"id": "M605", "name": "Sitzungen automatisch absichern und beenden",
   "description": "Authentisierte Sitzungen besitzen eindeutige Session-IDs, begrenzte Lebensdauer und automatische Sperrung bei Inaktivität. Logout, Rollenwechsel oder Passwortänderung machen bestehende Sitzungen ungültig.",
   "sub_topic": "authentication", "evidence_type": "code", "covers": ["CRA-AI-10"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "OWASP ASVS V3", "NIST SP 800-53: AC-12"], "alternatives": []},

  {"id": "M606", "name": "Brute-Force-Angriffe begrenzen und Anmeldungen protokollieren",
   "description": "Wiederholte Fehlanmeldungen führen zu Verzögerungen, temporären Sperren oder zusätzlichen Prüfungen, ohne reguläre Benutzer unangemessen einzuschränken. Anmeldeversuche an HMI, Web, API, Fernwartung und Servicekonten werden protokolliert.",
   "sub_topic": "authentication", "evidence_type": "code", "covers": ["CRA-AI-11", "CRA-AI-24"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-53: AC-7", "OWASP ASVS V2"], "alternatives": []},

  {"id": "M607", "name": "Vertrauliche Daten im Gerät und in Backups verschlüsseln",
   "description": "Personenbezogene, sicherheitsrelevante und betriebskritische Daten werden auf Datenträgern, Speichermedien und Backups kryptographisch geschützt. Schlüsselmaterial wird getrennt von den Daten verwaltet.",
   "sub_topic": "cryptography", "evidence_type": "code", "covers": ["CRA-AI-13", "CRA-AI-14"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-53: SC-28", "NIST SP 800-57", "IEC 62443-3-3"], "alternatives": []},

  {"id": "M608", "name": "Externe Kommunikation kryptographisch absichern",
   "description": "Fernwartung, Cloud-Anbindung, API-Verkehr, Telemetrie und Update-Downloads erfolgen über authentisierte und verschlüsselte Verbindungen. Zertifikate werden geprüft, unsichere Protokolle und schwache Cipher sind deaktiviert.",
   "sub_topic": "cryptography", "evidence_type": "code", "covers": ["CRA-AI-15"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-52", "IEC 62443-4-2"], "alternatives": []},

  {"id": "M609", "name": "Datenminimierung für Erhebung, Telemetrie und Logs umsetzen",
   "description": "Personenbezogene, betriebliche und diagnostische Daten werden auf das notwendige Maß beschränkt. Aufbewahrungsfristen und Löschprozesse sind definiert; nicht mehr benötigte Daten werden entfernt, pseudonymisiert oder anonymisiert.",
   "sub_topic": "secure_design", "evidence_type": "process", "covers": ["CRA-AI-17"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "ISO/IEC 27002", "NIST Privacy Framework"], "alternatives": []},

  {"id": "M610", "name": "Secure Software Development Lifecycle mit Code Reviews betreiben",
   "description": "Bedrohungsanalyse, Sicherheitsanforderungen, sichere Implementierung, Schwachstellenprüfungen und Freigaben sind feste Bestandteile der Entwicklung. Änderungen an Authentisierung, Kryptographie, Updates und Safety-Parametern werden vor Freigabe systematisch reviewt und dokumentiert.",
   "sub_topic": "ssdlc", "evidence_type": "process", "covers": ["CRA-AI-18", "CRA-AI-19"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-218", "IEC 62443-4-1", "OWASP SAMM"], "alternatives": []},

  {"id": "M611", "name": "Schwachstellen identifizieren und Abhängigkeiten kontinuierlich überwachen",
   "description": "Eigenentwicklungen, Bibliotheken, Container und Firmware werden fortlaufend und in CI/CD gegen Schwachstellendatenbanken geprüft. Treffer werden bewertet, priorisiert und ins Patch-Management überführt; kritische Treffer erzeugen Tickets oder blockieren Releases.",
   "sub_topic": "supply_chain", "evidence_type": "code", "covers": ["CRA-AI-22", "CRA-AI-32"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-218", "OWASP Dependency-Check", "SLSA"], "alternatives": []},

  {"id": "M612", "name": "Supply-Chain-Security: Drittkomponenten vor Integration bewerten",
   "description": "Open-Source-Komponenten, Lieferantenbibliotheken, Container und Firmware-Bausteine werden vor Einsatz auf Herkunft, Wartungsstatus, Lizenz, Schwachstellen und Integrität geprüft. Unsichere oder nicht nachvollziehbare Komponenten werden nicht freigegeben.",
   "sub_topic": "supply_chain", "evidence_type": "process", "covers": ["CRA-AI-21"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-218", "IEC 62443-4-1"], "alternatives": []},

  {"id": "M613", "name": "Sicherheitsereignisse protokollieren, überwachen und auf Anomalien prüfen",
   "description": "Anmeldungen, Konfigurations- und Parameteränderungen, Fernwartung und Update-Vorgänge werden nachvollziehbar protokolliert. Ereignisse werden überwacht und auf Auffälligkeiten ausgewertet; kritische Ereignisse lösen definierte Reaktionen aus.",
   "sub_topic": "logging", "evidence_type": "process", "covers": ["CRA-AI-24", "CRA-AI-25", "CRA-AI-26"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-53: AU-6", "IEC 62443-3-3"], "alternatives": []},

  {"id": "M614", "name": "Log-Integrität, Aufbewahrung und Vorfalldokumentation sicherstellen",
   "description": "Sicherheitsprotokolle werden gegen nachträgliche Änderung geschützt und für definierte Zeiträume aufbewahrt. Sicherheitsvorfälle, Ursachenanalysen und Maßnahmen werden nachvollziehbar dokumentiert; Erkenntnisse fließen in Produkt- und Prozessverbesserung.",
   "sub_topic": "logging", "evidence_type": "document", "covers": ["CRA-AI-27", "CRA-AI-40"],
   "norm_refs": ["Verordnung (EU) 2024/2847 (CRA), Anhang I", "NIST SP 800-53: AU-9", "ISO/IEC 27035"], "alternatives": []}
]