Cyber Resilience Act (CRA)

Ein umfassender Leitfaden für Unternehmen

Vorbereitungen für den CRA

FAQ

Sicherheitsanforderungen

Abstrakt

Der folgende Blog-Artikel bietet einen umfassenden Überblick über den kommenden Cyber Resilience Act (CRA) und konzentriert sich dabei auf die Auswirkungen auf Unternehmen, die Produkte mit digitalen Elementen (PDEs) herstellen. Er umreißt die wichtigsten Anforderungen, wie Sicherheit durch Design, automatische Updates und Datenschutz, und betont, wie wichtig die Einhaltung der Vorschriften ist, um schwere Strafen zu vermeiden. In dem Artikel werden auch Strategien für Unternehmen erörtert, die sich auf den CRA vorbereiten und sicherstellen wollen, dass ihre Produkte strenge Cybersicherheitsstandards erfüllen, um so das Vertrauen und die Wettbewerbsfähigkeit auf dem EU-Markt zu stärken.

Vorbereitung auf den Cyber Resilience Act

In der sich ständig weiterentwickelnden digitalen Landschaft hat die Cybersicherheit für Unternehmen weltweit höchste Priorität erlangt. Mit der Einführung des Cyber Resilience Act (CRA), einer neuen Verordnung, die strenge Cybersicherheitsstandards für Produkte mit digitalen Elementen (PDEs) festlegt, macht die Europäische Union einen bedeutenden Schritt nach vorn. Dieser Artikel soll Unternehmen dabei helfen, den CRA und seine Anforderungen zu verstehen und sich effektiv auf seine Umsetzung vorzubereiten.

Das Gesetz zur Widerstandsfähigkeit im Internet verstehen

Der Cyber Resilience Act ist eine bahnbrechende Verordnung, mit der sichergestellt werden soll, dass alle Produkte mit digitalen Elementen, von der Hardware bis zur Software, Mindestanforderungen an die Cybersicherheit erfüllen, bevor sie auf den EU-Markt gebracht werden. Der CRA schreibt vor, dass diese Produkte einen Security-by-Design-Ansatz verfolgen, der die Notwendigkeit sicherer Entwicklungspraktiken von Anfang an betont. Produkte, die die CRA erfüllen, erhalten eine CE-Kennzeichnung, die die Einhaltung dieser neuen Normen signalisiert. Hauptziel des CRA ist die Verbesserung der Sicherheit von PDEs als Reaktion auf die zunehmende Zahl von Cyberangriffen in der EU, deren Kosten weltweit auf 5,5 Billionen Euro pro Jahr geschätzt werden. Durch die Durchsetzung dieser Cybersicherheitsmaßnahmen will der CRA das Vertrauen in die digitale Infrastruktur der EU stärken und die globale Wettbewerbsfähigkeit der europäischen Unternehmen fördern.

Sicherheitsanforderungen gemäß des CRA

Der CRA legt spezifische Sicherheitsanforderungen fest, die Hersteller in ihre Produkte integrieren müssen. Dazu gehören:

  • Zugriffsschutz: Sicherstellen, dass nur befugte Personen auf sensible Systeme und Daten zugreifen können.
  • Vertraulichkeit: Schutz von Informationen vor unberechtigter Offenlegung.
  • Integrität: Schutz von Daten und Systemen vor unbefugten Änderungen.
  • Verfügbarkeit: Sicherstellen, dass Systeme und Daten bei Bedarf zugänglich sind.

Darüber hinaus verpflichtet der CRA die Hersteller, Schwachstellen zu verwalten und für einen bestimmten Zeitraum Sicherheitsupdates für ihre Produkte bereitzustellen. Dieser proaktive Ansatz für die Cybersicherheit zielt darauf ab, die Risiken während des gesamten Lebenszyklus des Produkts zu verringern.

Siehe auch das Kapitel Expertenwissen: Grundlegende Sicherheitsanforderungen für PDEs.

Der Anwendungsbereich des Gesetzes über die Widerstandsfähigkeit im Internet

Der Geltungsbereich des CRA ist umfassend und deckt alle Produkte mit digitalen Elementen ab, die über Kommunikationsfunktionen verfügen, einschließlich eingebetteter Systeme und eigenständiger Software. Sie gilt sowohl für Hardware- als auch für Softwareprodukte gemäß dem neuen Rechtsrahmen und erfordert deren Einhaltung, bevor diese Produkte in der EU vermarktet werden können. Hersteller, Importeure und Händler von PDEs in der EU müssen sicherstellen, dass ihre Produkte diese strengen Cybersicherheitsstandards erfüllen. Der CRA schreibt auch vor, dass die Produkte die CE-Kennzeichnung tragen müssen, die die Konformität mit den neuen Cybersicherheitsanforderungen anzeigt. Wichtig ist, dass der CRA den gesamten Lebenszyklus von PDEs abdeckt - von der Planung und Konstruktion bis hin zu Produktion, Lieferung und Wartung. Dadurch wird sichergestellt, dass die Cybersicherheit in jeder Phase aufrechterhalten wird und Cyberschwachstellen wirksam verhindert und verwaltet werden.

Die Folgen der Nichteinhaltung der Vorschriften

Der CRA verhängt strenge Strafen bei Nichteinhaltung. Produkte, die die CRA-Normen nicht erfüllen, dürfen nicht auf den Markt gebracht werden, und die Lieferanten müssen alle nicht konformen Produkte, die bereits auf dem Markt sind, zurückziehen. Bußgelder für die Nichteinhaltung grundlegender Anforderungen können bis zu 15 Mio. EUR oder 2,5 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Die Nichteinhaltung anderer Verpflichtungen kann mit Bußgeldern von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes geahndet werden. Darüber hinaus kann die Bereitstellung falscher, unvollständiger oder irreführender Informationen an die Regulierungsbehörden zusätzliche Bußgelder von bis zu 5 Mio. EUR oder 1 % des weltweiten Umsatzes nach sich ziehen.

Erfüllung der Produktsicherheitsanforderungen des CRA

Um den CRA zu erfüllen, müssen die Hersteller Sicherheitsanforderungen in den gesamten Entwicklungsprozess integrieren. Dazu gehört die Gewährleistung von Zugriffsschutz, Vertraulichkeit, Integrität, Verfügbarkeit und sicherer Bereitstellung. Der CRA schreibt außerdem vor, dass die Hersteller ihre Produkte auf Schwachstellen untersuchen und bei Feststellung von Problemen sofort Abhilfe schaffen. Sicherheitsupdates müssen für einen Zeitraum von mindestens fünf Jahren kostenlos zur Verfügung gestellt werden, um den kontinuierlichen Schutz der Nutzer zu gewährleisten.

Konformitätsbewertung und CE-Kennzeichnung

Bevor sie Produkte auf den Markt bringen, müssen die Hersteller gründliche Konformitätsbewertungen durchführen, um die Einhaltung des CRA zu gewährleisten. Diese Bewertungen basieren auf der Kritikalität des Produkts, mit besonderem Schwerpunkt auf kritischen Infrastrukturen. Die Konformität erfordert die Einhaltung der europäischen Normen oder die Prüfung durch zugelassene Institutionen. Sobald ein Produkt die erforderlichen Anforderungen erfüllt, kann der Hersteller die CE-Kennzeichnung anbringen, die seine Konformität mit des CRA signalisiert.

Die Marktüberwachungsbehörden (MSA) in den einzelnen EU-Mitgliedstaaten werden den CRA durchsetzen. Sie sind befugt, Durchsuchungen von Produkten des Internets der Dinge (IoT) durchzuführen und mit der Agentur der Europäischen Union für Cybersicherheit (ENISA) und dem Europäischen Datenschutzausschuss (EDPB) zusammenzuarbeiten.

Zeitplan für die Umsetzung und nächste Schritte

Die Europäische Kommission hat den Verordnungsentwurf für den CRA am 15. September 2022 veröffentlicht. Nach der Annahme durch das Europäische Parlament am 12. März 2024 wird die CRA voraussichtlich 2024 in Kraft treten, wobei die vollständige Umsetzung über einen Zeitraum von 36 Monaten erfolgen soll. Die Bestimmungen des CRA werden innerhalb von zwei Jahren nach ihrem Inkrafttreten, voraussichtlich Ende 2026, vollständig anwendbar sein.

Strategien zur Einhaltung des CRA

Um die Anforderungen des CRA zu erfüllen, müssen Unternehmen einen proaktiven Ansatz für die Cybersicherheit wählen. Dazu gehören die Entwicklung sicherer Produkte, die Durchführung regelmäßiger Risikobewertungen und die Transparenz gegenüber den Anwendern in Bezug auf Sicherheitsupdates und bekannte Schwachstellen. Unternehmen sollten auch den Einsatz von Automatisierungslösungen in Betracht ziehen, um Compliance-Aktivitäten wie Schwachstellenmanagement, Software Bill of Materials (SBOM) und automatisierte Berichterstattung zu optimieren. Eine zentralisierte Plattform kann die Überwachung in Echtzeit übernehmen und so sicherstellen, dass das Unternehmen die Anforderungen des CRA einhält.

Herausforderungen und Chancen

Der CRA stellt zwar eine Herausforderung dar, wenn es darum geht, die kontinuierliche Einhaltung der sich entwickelnden Cybersicherheitsstandards zu gewährleisten, sie bietet aber auch erhebliche Chancen. Indem sie der Cybersicherheit Priorität einräumen, können sich Unternehmen einen Wettbewerbsvorteil auf dem Markt verschaffen, indem sie Produkte anbieten, die den höchsten Sicherheitsstandards entsprechen.

Der weltweite Einfluss Des CRA

Der CRA ist im Begriff, einen globalen Präzedenzfall für Cybersicherheitsstandards zu schaffen und Politik und Praktiken über die EU hinaus zu beeinflussen. Diese Verordnung ermutigt internationale Hersteller, ähnliche Praktiken zu übernehmen, und trägt so zu einem höheren Niveau der globalen Cybersicherheit bei. Unternehmen, die sich aufgrund der strengen Anforderungen des CRA auf höhere Kosten für die Einhaltung der Vorschriften vorbereiten, werden sich in einer besseren Position befinden, um die neuen Standards zu erfüllen, wenn sie bereits gute Praktiken anwenden.

Schlussfolgerung

Der Cyber Resilience Act wird die Cybersicherheitslandschaft verändern und strenge Standards vorschreiben, die Unternehmen erfüllen müssen, um konform und wettbewerbsfähig zu bleiben. Beim Erreichen dieser Standards geht es nicht nur um das Ankreuzen von Kästchen - es geht darum, Ihr Unternehmen zu schützen und Vertrauen bei Ihren Kunden aufzubauen. An dieser Stelle kommt die Rasotec GmbH ins Spiel: Wir bieten Ihnen die Expertenwissen und Bewertungen, die Sie benötigen, um sicherzustellen, dass Ihre Systeme widerstandsfähig und für die Anforderungen des CRA bereit sind. Warten Sie nicht darauf, dass Schwachstellen aufgedeckt werden - arbeiten Sie noch heute mit Rasotec zusammen, um Ihre Zukunft zu sichern und in einer sich schnell entwickelnden digitalen Welt die Nase vorn zu haben.

Kontakt

Wir helfen Ihrem Unternehmen bei der Einhaltung der Vorschriften des CRA.

info@rasotec.com

Häufig gestellte Fragen (FAQ)

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union zur Verbesserung der Cybersicherheit für alle Produkte mit digitalen Elementen (PDEs). Sie legt strenge Sicherheitsanforderungen fest, die Hersteller erfüllen müssen, bevor ihre Produkte auf dem EU-Markt in Verkehr gebracht werden können. Der CRA soll sicherstellen, dass diese Produkte von vornherein sicher sind und Schwachstellen während ihres gesamten Lebenszyklus behoben werden.

Welche Produkte sind von dem CRA betroffen?

Der CRA gilt für alle Produkte mit digitalen Elementen, die über Kommunikationsfunktionen verfügen, einschließlich Hardware und Software. Dazu gehören eingebettete Systeme, eigenständige Software und alle Produkte mit Ferndatenverarbeitungsfunktionen. Sie gilt jedoch nicht für Produkte, die unter andere EU-Rechtsvorschriften fallen, für Cloud-Computing-Dienste oder nichtkommerzielle freie und Open-Source-Software.

Was sind die wichtigsten Sicherheitsanforderungen im Rahmen des CRA?

Der CRA verlangt, dass die Produkte Sicherheitsstandards in Bezug auf Zugriffsschutz, Vertraulichkeit, Integrität und Verfügbarkeit erfüllen. Darüber hinaus müssen die Hersteller Schwachstellen verwalten, mindestens fünf Jahre lang Sicherheitsupdates bereitstellen und sichere Entwicklungsprozesse während der Entwurfs-, Entwicklungs- und Fertigungsphasen gewährleisten.

Was ist die CE-Kennzeichnung, und warum ist sie wichtig?

Die CE-Kennzeichnung ist eine Zertifizierung, die die Konformität eines Produkts mit den EU-Vorschriften, einschließlich des CRA, anzeigt. Produkte mit der CE-Kennzeichnung wurden so bewertet, dass sie die erforderlichen Sicherheits-, Gesundheits- und Umweltschutzanforderungen erfüllen. Für PDE bedeutet dies, dass sie die von dem CRA vorgeschriebenen Cybersicherheitsstandards erfüllt haben und somit in der EU legal vermarktet werden können.

Welche Sanktionen drohen bei Nichteinhaltung der Vorschriften des CRA?

Die Strafen für die Nichteinhaltung des CRA sind erheblich. Produkte, die nicht den CRA-Normen entsprechen, dürfen in der EU nicht verkauft werden, und die Lieferanten müssen alle nicht konformen Produkte, die bereits auf dem Markt sind, zurückziehen. Die Geldbußen für Verstöße können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Auch für andere Verpflichtungen, wie z. B. eine fehlerhafte Berichterstattung, gibt es Geldbußen, die bis zu 5 Mio. EUR oder 1 % des weltweiten Umsatzes betragen können.

Welche Auswirkungen hat der CRA auf die Hersteller?

Die Hersteller müssen sicherstellen, dass ihre Produkte die Cybersicherheitsanforderungen der Ratingagentur erfüllen, bevor sie in der EU verkauft werden können. Dazu gehören die Durchführung von Risikobewertungen, die Gewährleistung sicherer Entwicklungspraktiken und die Bereitstellung laufender Sicherheitsupdates. Die Nichteinhaltung kann zu Geldstrafen, Produktrückrufen und einer verstärkten Kontrolle durch die Regulierungsbehörden führen.

Wann wird das CRA in Kraft treten?

Der CRA wird voraussichtlich im Jahr 2024 in Kraft treten, wobei der Zeitplan für die vollständige Umsetzung etwa 36 Monate beträgt. Die Vorschriften werden Ende 2026 vollständig anwendbar sein, so dass die Unternehmen Zeit haben, ihre Praktiken anzupassen und die Einhaltung der Vorschriften sicherzustellen.

Welche Maßnahmen sollten Unternehmen ergreifen, um die Anforderungen des CRA zu erfüllen?

Unternehmen sollten zunächst ihre aktuelle Cybersicherheitslage bewerten, gründliche Risikobewertungen durchführen und ihre Produktentwicklungsprozesse mit den Anforderungen der CRA in Einklang bringen. Sie sollten auch die Implementierung von Automatisierungswerkzeugen für das Schwachstellenmanagement, die Verwaltung von Software-Stücklisten und die Compliance-Berichterstattung in Betracht ziehen, um diese Prozesse zu rationalisieren.

Wie steht der CRA im Einklang mit anderen Cybersicherheitsstandards?

Der CRA orientiert sich an internationalen Normen wie der IEC 62443, die sichere Entwicklungsprozesse und technische Produktanforderungen abdeckt. Die Umsetzung dieser Normen kann den Herstellern helfen, die Anforderungen des CRA effektiv zu erfüllen und sicherzustellen, dass ihre Produkte sicher und konform sind.

Wird sich der CRA auf Unternehmen außerhalb der EU auswirken?

Ja, der CRA wird sich auf jedes Unternehmen auswirken, das Produkte mit digitalen Elementen auf dem EU-Markt verkaufen möchte. Hersteller aus Nicht-EU-Ländern müssen sicherstellen, dass ihre Produkte die Anforderungen des CRA erfüllen, einschließlich der CE-Kennzeichnung, um ihre Produkte in der EU legal vermarkten zu können. Es wird erwartet, dass diese Verordnung einen Präzedenzfall für globale Cybersicherheitsstandards schaffen und Politik und Praxis über die EU hinaus beeinflussen wird.

Welche Rolle spielt die Automatisierung bei der Einhaltung der Vorschriften des CRA?

Die Automatisierung kann den Konformitätsprozess durch die Verwaltung von Schwachstellenbewertungen, SBOM-Management und Risikobewertungen in Echtzeit erheblich erleichtern. Eine einheitliche Plattform kann dabei helfen, die Einhaltung der CRA-Anforderungen effizient zu überwachen und aufrechtzuerhalten und so den Zeit- und Ressourcenaufwand für manuelle Prozesse zu reduzieren.

Welchen Nutzen hat die Ratingagentur für die Nutzer?

Die Ratingagentur kommt den Nutzern zugute, indem sie sicherstellt, dass Produkte mit digitalen Elementen hohen Cybersicherheitsstandards entsprechen, wodurch das Risiko von Schwachstellen und Cyberangriffen verringert wird. Außerdem profitieren die Nutzer von obligatorischen Sicherheitsupdates und einem besseren Schutz ihrer Daten und ihrer Privatsphäre.

Was sind die nächsten Schritte für Unternehmen bei der Vorbereitung auf den CRA?

Unternehmen sollten sich zunächst über die spezifischen Anforderungen des CRA informieren, die für ihre Produkte gelten. Sie sollten ihre derzeitigen Sicherheitsmaßnahmen bewerten, einen Plan zur Behebung etwaiger Lücken entwickeln und mit der Umsetzung der erforderlichen Änderungen beginnen, um die Einhaltung der Vorschriften zu gewährleisten, bevor der CRA vollständig in Kraft tritt. Weitere empfohlene Schritte sind die Zusammenarbeit mit Cybersicherheitsexperten und die Investition in automatische Compliance-Tools.

Expertenwissen: Grundlegende Sicherheitsanforderungen für PDEs

Während sich Unternehmen auf die Einhaltung des Cyber Resilience Act vorbereiten, ist es wichtig, die wichtigsten Sicherheitsanforderungen zu verstehen, die für Produkte mit digitalen Elementen (PDEs) gelten. Diese Anforderungen sollen sicherstellen, dass PDEs robust und sicher sind und den komplexen Cybersecurity-Bedrohungen standhalten, mit denen moderne Unternehmen konfrontiert sind. Nachfolgend stellen wir eine Untergruppe dieser wesentlichen Anforderungen vor und heben die Kernpunkte hervor, auf die sich Ihr Unternehmen konzentrieren muss.

Sicherheit durch Design und Standardkonfiguration

  • Produkte mit digitalen Elementen müssen unter dem Gesichtspunkt der Cybersicherheit konzipiert, entwickelt und produziert werden, d. h. unter Berücksichtigung potenzieller Risiken und der Umsetzung geeigneter Sicherheitsmaßnahmen während des gesamten Produktlebenszyklus.
  • Die Produkte sollten standardmäßig mit sicheren Konfigurationen ausgestattet sein. Dies minimiert das Risiko von Cybervorfällen aufgrund von schwachen Grundeinstellungen. Im Business-to-Business-Kontext kann es Vereinbarungen zur Anpassung dieser Einstellungen geben, aber die Standardeinstellung sollte immer der Sicherheit Vorrang geben.

Automatisierte und transparente Sicherheitsupdates

  • PDEs müssen in der Lage sein, automatische Sicherheitsupdates zu empfangen. Dadurch wird sichergestellt, dass Schwachstellen umgehend gepatcht werden, wodurch das Zeitfenster für potenzielle Angriffe verringert wird. Die Nutzer sollten über diese Aktualisierungen benachrichtigt werden und bei Bedarf über einen einfach zu bedienenden Opt-out-Mechanismus verfügen.
  • Trennung von Updates: Wo es möglich ist, sollten Sicherheitsaktualisierungen von Funktionsaktualisierungen getrennt werden. Auf diese Weise können sich Unternehmen auf die Aufrechterhaltung der Sicherheit konzentrieren, ohne notwendigerweise die Funktionalität zu verändern, von der ihr Betrieb abhängt.

Datenschutz und Vertraulichkeit

  • Zum Schutz sensibler Informationen müssen PDEs modernste Verschlüsselungstechniken für Daten im Ruhezustand und bei der Übertragung einsetzen. Dies ist entscheidend für den Schutz persönlicher und geschäftlicher Daten vor unbefugtem Zugriff oder Verstößen.
  • Neben der Verschlüsselung müssen die Produkte auch die Integrität der Daten gewährleisten, d. h. sicherstellen, dass die Daten während der Speicherung oder Übertragung nicht manipuliert werden. Es sollten Systeme vorhanden sein, die jeden unbefugten Zugriff oder jede Datenbeschädigung erkennen und melden.

Zugangskontrolle und Identitätsmanagement

  • PDEs müssen robuste Zugangskontrollmechanismen enthalten. Diese können von einfachen Authentifizierungsmethoden bis hin zu fortschrittlicheren Identitäts- und Zugriffsmanagementsystemen (IAM) reichen, die sicherstellen, dass nur befugte Personen auf sensible Funktionen oder Daten zugreifen können.

Minimierung der Angriffsflächen

  • Produkte sollten mit einer minimalen Angriffsfläche konzipiert werden, d. h. sie sollten die Anzahl der potenziellen Einstiegspunkte für Cyberangriffe begrenzen. Dazu gehört die sorgfältige Berücksichtigung externer Schnittstellen und die Gewährleistung, dass alle offenen Funktionen sicher verwaltet werden.
  • Für den Fall eines Sicherheitsvorfalls sollten PDEs über Mechanismen zur Verringerung der Auswirkungen verfügen, wie z. B. die Isolierung gefährdeter Komponenten und Ausfallsicherheitsmaßnahmen zur Aufrechterhaltung wesentlicher Funktionen.

Umgang mit Schwachstellen und Offenlegung von Schwachstellen

  • Die Hersteller sind verpflichtet, Schwachstellen in ihren Produkten umgehend zu erkennen, zu dokumentieren und zu beheben. Dazu gehört auch die Pflege einer umfassenden Software Bill of Materials (SBOM), um Abhängigkeiten zu verfolgen und zu verwalten.
  • Wenn Schwachstellen entdeckt werden, müssen die Hersteller umgehend Sicherheitsupdates verteilen und den Nutzern klare, leicht zugängliche Informationen über die Art der Schwachstellen, ihre möglichen Auswirkungen und die Maßnahmen, die die Nutzer ergreifen sollten, zur Verfügung stellen.

Benutzerdaten und End-of-Support-Benachrichtigungen

  • PDEs müssen es den Nutzern ermöglichen, ihre Daten sicher und dauerhaft zurückzuziehen und zu löschen, wenn sie dies wünschen. Dies ist eine wesentliche Voraussetzung für die Aufrechterhaltung des Vertrauens und die Gewährleistung des Datenschutzes.
  • Die Benutzer sollten benachrichtigt werden, wenn der Supportzeitraum für das Produkt ausläuft, damit sie fundierte Entscheidungen über die weitere Nutzung und mögliche Sicherheitsrisiken treffen können.

Links

Dokument:

https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:52022PC0454

EU-Beobachtungsstelle:

https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2022/0272(COD)&l=de

EU-Veröffentlichung:

https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act