ThinkTank_Logo_black
Das Warten hat ein Ende
Ailance™ ThinkTank ist da!
Mehr erfahren

Cyber Resilience Act in Kraft getreten – so geht es jetzt weiter

Cyber Resilience Act in Kraft getreten
Kategorien:
,

Der Cyber Resilience Act (CRA) ist die erste EU-Rechtsvorschrift, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Die Verordnung ist am 11. Dezember 2024 in Kraft getreten. Unternehmen haben nun drei Jahre Zeit, die Anforderungen umzusetzen. Was sie jetzt schon beachten sollten.

Diese Produkte fallen unter den Cyber Resilience Act

Die Verordnung überträgt den Herstellern größere Verantwortung für die Gewährleistung der Sicherheit von Hardware- und Softwareprodukten. Im Mittelpunkt des Gesetzes stehen neue Verpflichtungen für Hersteller, Software-Updates bereitzustellen, die Sicherheitslücken beheben und Verbrauchern Sicherheitsunterstützung bieten. Durch die Verbesserung der Transparenz in Bezug auf Cyberrisiken und Produktsicherheit ermöglicht das Gesetz den Verbrauchern, fundiertere Entscheidungen über auf dem EU-Markt erhältliche Produkte zu treffen.

Alle in der EU verkauften Produkte, die „digitale Elemente“ enthalten, müssen die Anforderungen des CRA erfüllen. Dies umfasst sowohl preiswerte Verbraucherprodukte als auch B2B-Software und komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als Produkte definiert, die mit einem Gerät oder Netzwerk verbunden werden können und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthome-Produkte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und Smart Meter) als auch reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps).

Nicht-kommerzielle Open-Source-Softwareprodukte sind von der CRA ausgenommen und müssen daher die Anforderungen der CRA nicht erfüllen.

So geht es mit dem Cyber Resilience Act weiter

Produkte werden mit der CE-Kennzeichnung versehen, um anzuzeigen, dass sie die Anforderungen der Verordnung erfüllen. Die wichtigsten Verpflichtungen des Gesetzes gelten ab dem 11. Dezember 2027.

  • 12.2024: CRA tritt in Kraft
  • 12.2026: Konformitätsbewertungsstellen können die Konformität mit den Anforderungen des CRA bewerten.
  • 12.2027: Neue Produkte müssen alle Anforderungen des CRA erfüllen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Unternehmen, die Anforderungen des CRA bereits bei der Produktentwicklung zu berücksichtigen. Hersteller müssen für ihre Produkte eine Risikobewertung durchführen und mögliche Cyber-Sicherheitsrisiken adressieren.

Nach dem Gestaltungsprinzip „secure by design“ müssen vernetzte Produkte unter dem Gesichtspunkt der Cybersicherheit gestaltet werden, z.B. indem sichergestellt wird, dass mit dem Produkt gespeicherte oder übertragene Daten verschlüsselt werden und die Angriffsfläche so gering wie möglich gehalten wird.

Nach dem Konfigurationsgrundsatz „secure by default“ müssen die Standardeinstellungen vernetzter Produkte zur Erhöhung ihrer Sicherheit beitragen, z. B. durch das Verbot schwacher Standardpasswörter, die automatische Installation von Sicherheitsupdates etc.

Bereits bei der Entwicklung sollte der verbindliche Umgang mit Schwachstellen der Produkte berücksichtigt werden. Grundlage hierfür ist die Integration von Werkzeugen zur Erstellung von Software Bill of Materials (SBOM). Eine SBOM ist für Software das Äquivalent einer Zutatenliste für Lebensmittel. Sie führt auf, welche Bibliotheken und andere Softwarekomponenten im Produkt verwendet werden. Die CRA schreibt die Erstellung einer SBOM vor, sie muss aber nicht veröffentlicht werden.

Lese-Tipp: NIS-2-Richtlinie –  diese Unternehmen sind betroffen

Weitere CRA-Anforderungen

Konformitätserklärung
Hersteller benötigen eine Konformitätserklärung, um nachzuweisen, dass das jeweilige Produkt mit digitalen Elementen alle Anforderungen des CRA erfüllt. Das anzuwendende Konformitätsbewertungsverfahren hängt von der Produktkategorie ab. Bei den meisten Produkten handelt es sich um eine Selbstbewertung des Herstellers, bei wenigen um eine Bewertung durch eine benannte Stelle.

Meldepflicht
Um den Informationsaustausch über aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle zu erleichtern, wird eine neue zentrale Meldeplattform eingerichtet. Diese Schwachstellenmeldungen müssen über die Meldeplattform erfolgen.

Supportpflicht
Während des gesamten Produktlebenszyklus müssen für den Endanwender Sicherheitsupdates zur Verfügung gestellt werden.

Der Cyber Resilience Act ergänzt den NIS2-Cybersicherheitsrahmen, der im vergangenen Jahr in Kraft getreten ist. Er ist Teil einer Reihe umfassender Maßnahmen, die die EU zur Stärkung der Cybersicherheit in einem zunehmend digitalen und vernetzten Europa ergreift.

Quelle: FAQ des Bundesamtes für Sicherheit in der Informationstechnik zum Cyber Resiliance Act

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman