Cyber Resilience Act
Wir unterstützen Sie bei der Erfüllung der Anforderungen des Cyber Resilience Act
Der Cyber Resilience Act (CRA) fordert von Unternehmen eine robuste Sicherheitsstrategie. Diese soll sicherstellen, dass Produkte „ab Werk“ ein hohes Maß an Informationssicherheit aufweisen (Security by Design/Security by Default) und durch regelmäßige Updates auf dem aktuellen Stand der Informationssicherheit gehalten werden.
Kostenlose Erstberatung anfordernGrundlegendes zum Thema
Was Sie darüber wissen sollten
Der CRA ist eine EU-Verordnung, die als Reaktion auf die wachsende Bedrohung durch Cyberangriffe eingeführt wurde. Sie soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen und so Verbraucher und Unternehmen vor den Folgen von Cyberangriffen schützen. Die Verordnung zielt auch darauf ab, die Sicherheit der Lieferketten im Binnenraum zu verbessern und den Reifegrad der Cybersicherheit während des gesamten Produktlebenszyklus zu erhöhen.
Dies ist notwendig, da die digitale Vernetzung stetig zunimmt und damit auch die Angriffsfläche für Cyberkriminelle. Viele Produkte, von Haushaltsgeräten bis zu Industrieanlagen, enthalten heute digitale Komponenten und sind damit potenzielle Angriffspunkte.
Bisher gab es in der EU keine einheitlichen Standards für die Cybersicherheit von Produkten. Der CRA legt verbindliche Sicherheitsstandards für alle Produkte mit digitalen Elementen fest, die in der EU hergestellt, importiert oder vertrieben werden. Die Verordnung legt umfassende Verpflichtungen für die Mitgliedstaaten fest. Sie verpflichtet die Mitgliedstaaten zur Marktüberwachung und zur Durchsetzung der Vorschriften.
Relevanz für die Praxis
Wer ist vom CRA betroffen und welche Verpflichtungen ergeben sich daraus?
Alle Hersteller von Produkten mit digitalen Elementen (z.B. Betriebssysteme, Softwarelösungen, Hardware) sind vom Cyber Resilience Act betroffen. Darüber hinaus betrifft die Verordnung Händler und Importeure, die entsprechende Produkte auf dem Markt anbieten und in Verkehr bringen. Aufgrund des hohen Digitalisierungsgrades moderner Produkte und Dienstleistungen ist eine Vielzahl von Branchen betroffen.
Sobald ein Unternehmen betroffen ist, muss es eine Reihe von Verpflichtungen erfüllen. Diese stehen in Zusammenhang mit verschiedenen Unternehmensbereichen und erfordern vor allem eine genaue Kenntnis der jeweiligen Geschäftsprozesse. Nachfolgend sind einige der wichtigsten Pflichten aufgeführt, die Unternehmen im Rahmen des CRA erwarten können:
Im Folgenden sind einige der wichtigsten Verpflichtungen aufgeführt, die Unternehmen im Rahmen des CRA erwarten können:| Verpflichtung | Details |
|---|---|
Kontinuierliches Risikomanagement |
Umfassende Risikobewertungen müssen während des gesamten Produktentwicklungsprozesses und Produktlebenszyklus durchgeführt werden. Dazu gehört auch die Bewertung und Minderung von Cybersicherheitsrisiken, denen das Produkt während seines gesamten Lebenszyklus ausgesetzt sein kann. |
Schwachstellenmanagement |
Von Unternehmen wird erwartet, dass sie Produkte liefern, die gegen bekannte Schwachstellen geschützt sind. Dies erfordert die Einführung von Schwachstellenmanagementverfahren, um Sicherheitsschwachstellen unverzüglich zu erkennen und zu beheben. Hersteller müssen Schwachstellen und Sicherheitsvorfälle melden, um schneller auf Bedrohungen reagieren zu können. |
Sicherheits-Updates & längere Sicherheitsunterstützung |
Nach der Veröffentlichung des Produkts müssen Sicherheitsupdates bereitgestellt werden, die den Erwartungen der Kunden entsprechen. Dies ist von entscheidender Bedeutung, um sicherzustellen, dass die Produkte gegen neue Bedrohungen gewappnet sind. Hersteller müssen Sicherheitsupdates für ihre Produkte über einen angemessenen Zeitraum zur Verfügung stellen. |
Compliance |
Je nach Risikoeinstufung des Produkts kann die Konformität die Erfüllung genormter Anforderungen, z. B. der IEC 62443, oder die Einschaltung externer Prüfstellen erfordern. |
Von der Herausforderung zur Lösung
Risikoeinstufung von Produkten
Der Cyber Resilience Act (CRA) teilt die betroffenen Produkte mit digitalen Elementen in verschiedene Kategorien ein, um einen risikobasierten Ansatz zu verfolgen. Diese Kategorisierung ermöglicht eine angemessene Anpassung der Sicherheitsanforderungen an das jeweilige Risikopotenzial der Produkte. Denn nicht alle Produkte mit digitalen Elementen bergen das gleiche Cybersicherheitsrisiko.
Die Risikoklassifizierung berücksichtigt auch wirtschaftliche Aspekte. Schließlich kann die Einhaltung strenger Sicherheitsanforderungen für Hersteller mit hohen Kosten verbunden sein. Die Kategorisierung stellt sicher, dass die Anforderungen in einem angemessenen Verhältnis zum jeweiligen Risiko stehen. Dadurch wird vermieden, dass Hersteller von Produkten mit geringem Risikopotenzial übermäßig belastet werden.
Die drei betroffenen Produktkategorien sind:
- Standard-Kategorie
Diese Gegenstände mit digitalen Elementen sind von grundlegender Bedeutung für die Sicherheit und umfassen gängige Unterhaltungselektronik wie Smartphones oder Laptops. Produkte, die nicht als kritisch der Klasse I oder II eingestuft sind, fallen in diese Kategorie. - Kritische Produkte Klasse I
Produkte, die Funktionen bereitstellen, die für die Cyber-Sicherheit anderer Produkte von entscheidender Bedeutung sind, oder die Funktionen bereitstellen, die erhebliche Auswirkungen auf eine große Anzahl anderer Produkte haben. Beispiele: Eigenständige und eingebettete Browser, Passwort-Manager oder Software zur Verwaltung mobiler Geräte. - Kritische Produkte Klasse II
Produkte, die sowohl eine kritische Cyber-Sicherheitsfunktion erfüllen als auch einen erheblichen Einfluss auf eine größere Anzahl von Produkten dieser Kategorie haben. Beispiele: Betriebssysteme, digitale Zertifikate oder Firewalls.
Produkte, die bereits durch bestehende Regelungen reguliert werden, sind von der Verordnung ausgenommen. Dies betrifft z.B. Medizinprodukte, Kraftfahrzeuge oder Luftfahrtkomponenten.
Unser Angebot
Ihr Partner und Dienstleister in Sachen Informationssicherheit
Als erfahrener Partner unterstützen wir Sie dabei, Ihre Informationssicherheit auf die nächste Stufe zu heben. Wir bieten umfassende Beratung zur Umsetzung des Cyber Resilience Act und entwickeln Strategien, die auf Ihre spezifischen Geschäftsanforderungen und Produkte zugeschnitten sind.
Unsere Leistungen im Überblick
- CRA-Expertise: Wir machen Sie mit den komplexen Anforderungen des CRA vertraut und identifizieren die für Ihr Unternehmen relevanten Bestimmungen.
- Anforderungsanalyse: Gemeinsam analysieren wir Ihre Produkte und Prozesse, um ein präzises Bild Ihrer aktuellen Cybersicherheitslage zu erhalten.
- Roadmap-Entwicklung: Wir erstellen eine detaillierte Roadmap, die Sie Schritt für Schritt zur Erfüllung der CRA-Anforderungen führt.
- Maßnahmenumsetzung: Unsere Experten unterstützen Sie bei der praktischen Umsetzung aller notwendigen Maßnahmen, von der Risikobewertung bis zur Schulung Ihrer Mitarbeiter.
- Kontinuierliches Monitoring: Wir begleiten Sie auch nach der Umsetzung und sorgen dafür, dass Ihre Cyber-Sicherheit immer auf dem neuesten Stand bleibt.
Profitieren Sie von unserer Erfahrung und stellen Sie sicher, dass Ihr Unternehmen auch in Zukunft den Herausforderungen der digitalen Welt gewachsen ist. Kontaktieren Sie uns jetzt, um im Rahmen unserer kostenlosen Erstberatung mehr darüber zu erfahren, wie wir Sie unterstützen können.
Bereit für den nächsten Schritt?
Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren oder ein unverbindliches Angebot zu erhalten. Sie erreichen uns unter 0800 5600831 (gebührenfrei) und über unser Kontaktformular.