So erhöhen Sie die Sicherheit Ihrer Produkte und erfüllen die Anforderungen des EU Cyber Resilience Act
Die Europäische Kommission hat im September 2022 den Entwurf eines Cyber Resilience Act (CRA) vorgelegt, der die Cybersicherheit von Produkten verbessern soll, die miteinander oder mit dem Internet verbunden werden können. Dies gilt sowohl für Produkte, die an Endverbraucher verkauft werden, aber auch in Unternehmen für die Produktion eingesetzt, als Vorprodukte bezogen und weiterverarbeitet werden und somit Teil von Lieferketten sind. Der CRA sieht eine Reihe von Maßnahmen vor, um die Cybersicherheit von Produkten zu erhöhen.
Die Europäische Kommission schlägt mit dem Cyber Resilience Act vor, für die genannten Produkte risikoadäquate Cybersicherheitsmaßnahmen in den Phasen des Designs, der Entwicklung und Produktion sowie während des Inverkehrbringens und der Nutzung zu etablieren. Dabei unterscheidet die Europäische Kommission nach der Kritikalität der Produkte:
- Nicht-kritische Produkte mit digitalen Elementen (z.B. Speichermedien, Grafikprogramme)
- Klasse I: kritische Produkte mit digitalen Elementen (z.B. Browser, Passwort-Manager, Firewalls, Mikrocontroller),
- Klasse II (z.B. Router oder Firewalls für den industriellen Einsatz, IoT Geräte),
- sowie hochkritische Produkte mit digitalen Elementen (in diese Kategorie fallen zunächst keine Produkte).
Die EU-Kommission geht davon aus, dass etwa 90 Prozent der Produkte in die Gruppe der nicht-kritischen Produkte fallen werden. Hersteller und Vertreiber kritischer Produkte müssen strengere Anforderungen erfüllen, z.B. bei der Konformitätsbewertung, die auf der Grundlage harmonisierter EU-Normen erfolgen soll. Die Konformität wird am Produkt durch die "CE-Kennzeichnung" dokumentiert. Die Umsetzung wird durch nationale Marktaufsichtsbehörden überwacht. Darüber hinaus sieht der CRA-Entwurf vor, dass Hersteller Sicherheitslücken über den gesamten Produktlebenszyklus, längstens jedoch fünf Jahre, schließen müssen. Nutzer müssen über behobene Schwachstellen und Cybersicherheitsvorfälle informiert werden. Hersteller müssen darüber hinaus Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden an die Europäische Agentur für Cybersicherheit (ENISA) melden.
Der CRA zielt darauf ab, Security-by-Design zum Standard zu machen. Dazu müssen unter anderem folgende Maßnahmen ergriffen werden:
Produkte dürfen vom Hersteller nur ohne bekannte Vulnerabilitäten vertrieben werden.
IT-Security Assessments müssen zu jeder Phase der Herstellung (Planung, Entwerfung, Entwicklung, Lieferung und weitere Instandhaltung) von Produkten durchgeführt werden.
Produkte müssen in ihren Grundeinstellungen am sichersten sein.
Hintergrundaufzeichnung von sicherheitsrelevanten digitalen Ereignissen im Arbeitsprozess eines Geräts.
Möglichkeiten für die Meldung und den Austausch von potentiellen Sicherheitslücken.
Nutzer müssen über behobene Schwachstellen und Cybersicherheitsvorfälle informiert werden.
Hersteller müssen Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden an die Europäische Agentur für Cybersicherheit (ENISA) melden
Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Importeure. Es gibt keine größenabhängigen Ausnahmen.
Einen Schritt voraus: Der Cyber Resilience Act der EU wird die CE-Zulassung von vernetzten Geräten umfassend regeln. Wir beraten Sie zu den adäquaten Maßnahmen:
Assessment der bisher umgesetzten Methoden und Standards in Ihren Unternehmen.
Soll-/Ist-Abgleich und Konzeption einer effizienten Roadmap auf Basis einer durchgeführten produktspezifischen Risikoanalyse.
Detaillierter Umsetzungsplan für die identifizierten Maßnahmen, z.B. die Entwicklung einer Security-by-Design-Architektur, die Etablierung sicherer integrierter Entwicklungsprozesse, die Ausbildung Ihrer Softwareentwickler zu Security-by-Design in der Programmierung, organisatorische und prozessuale Anpassungen.
Begleitung der Umsetzung der Maßnahmen. Unterstützung bei der Vorbereitung von Audits und der Durchführung von Penetration-Tests.
Solitaire Advisory setzt seine einzigartigen Erfahrungen ein, um Kunden gegen politische, physische und digitale Risiken weltweit resilienter zu machen.
Als Partner für asymmetrische Sicherheit aus einer Hand nutzen wir innovative Technologien und Methoden für eine umfassende Absicherung von Menschen, Daten, Unternehmen und Vermögenswerten. Unser Ziel ist es, im Zeitalter der cyber-physischen Konvergenz für unsere Kunden die passenden Lösungen zu bieten.
