WUELUG - Würzburg LabVIEW User Group (DE)

Wie gefällt Euch denn der Donnerstag der 16. Juli für das nächste Treffen?

Passt!

😁

Moin...ich hab mich auch gerade etwas mit der Thematik befasst. Dabei bin ich auf folgendes gestoßen...sehr interessant!

https://forums.ni.com/t5/Huntsville-Alabama-LabVIEW-User/HALUG-March-2026-Three-Pillars-of-Software-...

@joerg.hampel 

Kennst du jemand bei jki persönlich, vielleicht sogar die Sarah Zalusky?

Evtl. könnte sie diesen Vortrag auch für uns geben...remote?

mir wäre Dienstag lieber

tolle Präsentation, danke fürs Teilen

Zur Ergänzung:

https://forums.ni.com/t5/Test-System-Security/Announced-LabVIEW-2026-Q3-will-have-SBOM-Generation/td...

@ Oli_Wachno

Ich "zitiere" hier mal deinen Beitrag:

https://forums.ni.com/t5/Test-System-Security/LabVIEW-CycloneDX-SBOM-Toolkit/m-p/4478078#M116

Hast du da weitere Informationen, wie das bei älteren Applikationen gehandhabt werden muss?

Beispiel:

Kunde hat Anlage mit LV22 bekommen...ganze Maschine hat CE...jetzt bekommt er weitere SW-Features eingebaut. Die LV-Version/(Fremd-)HW-Treiber bleiben aber gleich, die Anlage ist vom QualiTÄTER abgenommen worden, jetzt werden nur "geringfügige" Änderungen (Definitionssache?!) implementiert. Never change...

Darf ich dem Kunden eine Bestands-SW "aufbohren" ohne CRA-Maßnahmen auszuführen? Oder MUSS der Kunde akzetieren, dass seine SW auf seine Kosten auf eine neue SW-Basis hochgezogen wird (Umsetzung + Testing), um die CRA-Kriterien erfüllen zu können?

Generell: Gibt es Bestandsschutz für SW? Oder muss rückwirkend CRA-Konformität hergestellt werden? 

A.

Die spannende Frage ist aus meiner Sicht die Abgrenzung zwischen Bestandsprodukt, Wartung und wesentlicher Änderung.

Mein aktuelles Verständnis (keine Rechtsberatung):

• Der CRA ist grundsätzlich nicht rückwirkend. Produkte, die bereits vor den jeweiligen Stichtagen rechtmäßig in Verkehr gebracht wurden, genießen grundsätzlich Bestandsschutz.

• Sobald jedoch ein Hersteller nach dem Inkrafttreten des CRA eine neue Version eines Produkts in Verkehr bringt, kann diese neue Version unter die CRA-Anforderungen fallen.

• Reine Fehlerbehebungen oder Wartungsmaßnahmen dürften anders zu bewerten sein als funktionale Erweiterungen. Die Grenze zwischen "Maintenance" und "neuer Produktversion" wird in der Praxis vermutlich noch für viele Diskussionen sorgen.

In deinem Beispiel würde ich daher weniger auf die LabVIEW-Version schauen als auf die Frage:

Wird hier ein bestehendes Produkt lediglich gewartet oder wird eine neue bzw. wesentlich geänderte Produktversion in Verkehr gebracht?

Interessant ist auch, dass der CRA keine konkrete Technologie fordert. Weder eine bestimmte LabVIEW-Version noch eine automatische SBOM-Erzeugung sind rechtlich vorgeschrieben. Gefordert wird das Ergebnis (z. B. eine aktuelle SBOM), nicht das Werkzeug. Ich vermute daher, dass viele Hersteller künftig wirtschaftlich abwägen werden: Ist die Nachdokumentation eines Altprojekts günstiger oder ein kontrolliertes Upgrade auf eine modernere Toolchain?

Die konkrete Antwort: Im Markt befindliche Produkte besitzen Bestandsschutz. Jegliche Änderung wird wahrscheinlich CRA-Compliance-Zwang mit sich bringen. 

Danke Jörg.

Der Hinweis auf die LV-Version kam nur deswegen, weil in der alten Version (Beispiel LV22) keine SBOM-Generierung drin ist.

Wenn ich dieses Feature LV-nativ haben will, weil das der einfachste Weg ist (weil ohne externe andere Tools), bleibt mir nur der Weg auf eine entsprechende neuere Version. Und damit habe ich zusätzlich Aufwand/Kosten neben dem eigentlichen Auftrag (Feature-Ergänzung), weil ich das nach Werkzeug-Update (auf SBOM-fähige LV-Version) testen muss...was weiß denn ich, ob mit einer höheren LV-Version noch alles läuft...vermutlich schon, aber testen muss man...möglicherweise sogar "richtige" SW-Test mit VI-Analyzer und (noch schlimmer 😲) Unit Test Framework. Das ist jetzt mal nur spekuliert und "worst case" in die Diskussion geworfen...aber besser jetzt wissen, als später dämlich aus der Wäschen glotzen.

Wer unterschreibt denn für "nur Wartung und kein großes Upgrade"? Der Kunde wird sagen "dein Problem", und ich muss sagen "deine Kosten"...

Das wird sicher spannend.

Ganz ehrlich? Meiner Meinung nach führt kein Weg daran vorbei, jegliche Software-Komponenten auf die jeweils aktuellste Version upzugraden (weil wahrscheinlich nur für diese neuen Versionen überhaupt geklärt werden kann, wie die Cybersecurity-Lage aussieht) und den Kunden dafür bezahlen zu lassen. Weder wir noch der Kunde kann die CRA Regularien wirklich und ehrlich erfüllen, ohne das zu tun.