Der Cyber Resilience Act (CRA) verlangt von Unternehmen eine robuste Sicherheitsstrategie. Diese soll sicherstellen, dass Produkte „von Werk an“ ein hohes Niveau an Informationssicherheit aufweisen (Security by design/ Security by default) und durch regelmäßige Updates auf dem neuesten Stand der Informationssicherheit gehalten werden.
Cyber Resilience Act
Wir unterstützen Sie bei der Stärkung Ihrer Cyber Resilience
Ziele des Cyber Resilience Act
Der CRA umfasst den Anwendungsbereich von Produkten mit digitalen Elementen, die eine Datenverbindung zu einem Gerät oder Netz ermöglichen. Die Verordnung legt umfassende Verpflichtungen für die Mitgliedstaaten fest. Sie verpflichtet die Staaten zur Marktüberwachung und zur Durchsetzung der Vorschriften.
Die Verordnung zielt darauf ab, die Sicherheit sowie Zuverlässigkeit der Lieferketten im Binnenraum zu verbessern und den Reifegrad der Cybersicherheit über den gesamten Produktlebenszyklus von der Entwicklung bis zur Außerbetriebnahme zu erhöhen. Um diese Ziele zu erreichen, müssen wirksame Cybersicherheitsmaßnahmen von den betroffenen Unternehmen umgesetzt werden.
Wer ist vom CRA betroffen und welche Verpflichtungen ergeben sich daraus?
Alle Hersteller von Produkten mit digitalen Elementen (z.B. Betriebssysteme, Softwarelösungen, Hardware) sind vom Cyber Resilience Act betroffen. Darüber hinaus betrifft die Verordnung Händler und Importeure, die entsprechende Produkte auf dem Markt anbieten und in Verkehr bringen. Aufgrund des hohen Digitalisierungsgrades moderner Produkte und Dienstleistungen sind eine Vielzahl an Branchen betroffen.
Im Folgenden sind einige der wichtigsten Verpflichtungen aufgeführt, die Unternehmen im Rahmen der CRA erwarten können:
- Kontinuierliches Risikomanagement
Während des gesamten Produktentwicklungsprozesses und des Produktlebenszyklus sind umfassende Risikobewertungen durchzuführen. Dazu gehört auch die Bewertung und Minderung von Cybersicherheitsrisiken, welchen das Produkt während seines gesamten Lebenszyklus ausgesetzt sein kann. - Schwachstellenmanagement
Von Unternehmen wird erwartet, dass sie Produkte liefern, die gegen bekannte Schwachstellen geschützt sind. Dies erfordert die Einführung von Schwachstellenmanagementverfahren, um Sicherheitsschwachstellen unverzüglich zu erkennen und zu beheben. - Sicherheits-Updates
Nach der Veröffentlichung des Produkts müssen Sicherheitsupdates bereitgestellt werden, die den Erwartungen der Kunden entsprechen. Dies ist von entscheidender Bedeutung, um sicherzustellen, dass die Produkte gegen neue Bedrohungen gewappnet sind. - Compliance
Je nach Risikoeinstufung des Produkts kann die Konformität die Erfüllung genormter Anforderungen, z. B. der IEC 62443, oder die Einschaltung externer Prüfstellen erfordern.
Risikoeinstufung von Produkten
Der Cyber Resilience Act stuft betroffene Produkte in drei verschiedene Kategorien ein.
- Standard-Kategorie
Diese Gegenstände mit digitalen Elementen sind von grundlegender Bedeutung für die Sicherheit und umfassen gängige Unterhaltungselektronik wie Smartphones oder Laptops. Produkte, die nicht als kritisch der Klasse I oder II eingestuft sind, fallen in diese Kategorie. - Kritische Produkte Klasse I
Produkte, die Funktionen bereitstellen, die für die Cybersicherheit anderer Produkte von entscheidender Bedeutung sind, oder die Funktionen bereitstellen, die sich erheblich auf eine große Zahl anderer Produkte auswirken. Beispiele: Eigenständige und eingebettete Browser, Passwort-Manager oder Software zur Verwaltung mobiler Geräte. - Kritische Produkte Klasse II
Produkte, die sowohl eine kritische Cybersicherheitsfunktion erfüllen als auch eine größere Anzahl von Produkten, die in diese Kategorie gehören, erheblich beeinflussen. Beispiele: Betriebssysteme, Digitale Zertifikate oder Firewalls.
Produkte, die bereits durch bestehende Regelungen reguliert werden, sind von der Verordnung ausgenommen. Dies betrifft z.B. Medizinprodukte, Kraftfahrzeuge oder Luftfahrtkomponenten.
Unser Beratungsansatz
Wir beraten Unternehmen zur Entwicklung von Strategien zur Stärkung ihrer Cyber Resilience. Ebenso leisten wir Unterstützung beim Umsetzen der erarbeiteten Maßnahmen. Unsere Leistungen umfassen unter anderem:
- Wir machen Sie mit dem CRA vertraut und leiten unter Berücksichtigung Ihrer Produkte die für Ihr Unternehmen geltenden Anforderungen ab.
- Entwicklung einer Roadmap zur Umsetzung der Anforderungen.
- Stärkung der Cyber Resilience in Ihrem Unternehmen.
Wir unterstützen Sie gerne bei der Umsetzung der Anforderungen des Cyber Resilience Act. Kontaktieren Sie uns jetzt, um im Rahmen unserer kostenlosen Erstberatung mehr darüber zu erfahren, wie wir Sie unterstützen können.
Gern beraten wir Sie
Bei Fragen, Anregungen oder Interesse an einer Beratung stehen wir Ihnen gern zur Verfügung. Sie erreichen uns unter 0800-5600831 (gebührenfrei) und über unser Kontaktformular.