Vorbereitung auf den Cyber Resilience Act

Welche Verpflichtungen für Produkt-Hersteller ändern sich?

Mit dem Cyber Resilience Act (CRA) der EU erhält die Industrie erweiterte Regelwerke, die speziell für die Digitalisierung essentiell sein werden. Noch befindet sich das Gesetzesvorhaben im sogenannten Trilog-Verfahren der EU, aber in 2024 wird das Gesetz in Kraft treten. Betroffene Unternehmen müssen sich auf weitreichende Änderungen einstellen: Hersteller von Produkten mit sogenannten „digitalen Elementen“ werden durch den Act zu einer Vielzahl von Cybersicherheits-Maßnahmen verpflichtet.

Ziel zur Umsetzung des CRA ist es, dass

  • die Hersteller die Sicherheit von Produkten mit digitalen Elementen von der Entwurfs- und Entwicklungsphase an und während des gesamten Lebenszyklus gewährleisten ("security by design"),
  • ein kohärenter Rahmen für die Cybersicherheit existiert, der den Herstellern von Hardware und Software die Einhaltung der Compliance-Vorgaben erleichtert,
  • die Transparenz der Sicherheitseigenschaften und des Standes der Sicherheit von Produkten mit digitalen Elementen verbessert wird und
  • Unternehmen und Verbraucher in die Lage versetzt werden, Produkte mit digitalen Elementen sicher nutzen zu können.

So wird der CRA unter anderem eine Cybersicherheits-Risikobewertung verbindlich fordern, bevor ein Produkt auf den Markt gebracht werden kann. Aber auch andere Cybersicherheitsmaßnahmen werden gefordert, wie beispielsweise:

Software-Schwachstellen- und Patch-Management

Die Hersteller werden verpflichtet, Schwachstellen ihrer Produkte aktiv und effektiv zu managen, regelmäßige Security- bzw. Penetrationstests durchzuführen und ein umfassendes Patch-Management umzusetzen. Sollten Sicherheitslücken bestehen, so müssen Patches schnell bereitgestellt werden. Anwender müssen in die Lage versetzt werden diese sicher einspielen zu können; die dazu gehörigen Schritte müssen nachvollziehbar dokumentiert werden.

Software Bill of Materials

Die Erstellung und Aktualisierung einer Software-Stückliste „Software Bill of Materials“ (SBOM) wird notwendig, in der alle im Produkt verwendeten Softwarebestandteile und deren Abhängigkeiten (z.B. Open-Source-Module etc.) gelistet werden.

Ansprechpartner für Marktaufsichtsbehörden

Die Rolle des Ansprechpartners für die Marktaufsichtsbehörden muss durch die Unternehmen geschaffen werden. Diese muss im Namen des Unternehmens Verpflichtungen nachkommen können, z. B. zur Kommunikation in Bezug auf Schwachstellen.

Meldung von Schwachstellen

Jede Schwachstelle muss an die zuständige Instanz gemeldet werden. Hierzu müssen Prozesse geschaffen werden, die es bis dato in vielen Unternehmen noch nicht gibt.

Die Unternehmen, die sich mit der Umsetzung der Anforderungen der CRA noch nicht beschäftigt haben, sollte jetzt Konzepte und Maßnahmen planen. Produktplanungs- und Markteinführungs-prozesse haben lange Vorlaufzeiten und bei den Produkten, die zum Beispiel in zwei Jahren auf dem Markt kommen, müssten die Regeln schon berücksichtigt und entsprechende Maßnahmen umgesetzt worden sein. Bei Nichteinhaltung der im CRA definierten grundlegenden Cybersicherheitsanforderungen drohen hohe Geldbußen.

Auch wenn das Gesetz aktuell nur in einer Entwurfsfassung vorliegt und es Übergangsfristen geben wird, denken Sie jetzt schon an in der Entwicklung befindlichen Produkten.

Kontaktanfrage
Sie haben Fragen oder benötigen Beratung?
Sie haben Fragen oder benötigen Beratung?

Schreiben Sie uns und wir melden uns schnellstmöglich bei Ihnen!

Seite 1
Zurück zum Anfang
Logo
Kontakt

secunet Security Networks AG
Kurfürstenstraße 58
45138 Essen

Phone: +49 (0) 201 5454-0
E-Mail: info(at)secunet.com

LinkedIn | Twitter/X | XING

AGB Datenschutz Hinweisgebersystem Impressum
© 2024 secunet Security Networks AG