NIST-Gap Assesment: Dekcken Sie die Risken auf (InfoGuard Cyber Security Newsletter)

Cyber Resilience Act – Die finale Verabschiedung der Verordnung steht kurz bevor

Veröffentlicht am 12. Jun 2024 | von Michael Fossati | IoT-Sicherheit

Cyber Resilience Act (CRA) heisst die neue EU-Verordnung zur Stärkung der Cybersicherheit von Smart Devices. Die Verordnung definiert verbindliche Anforderungen an die Cybersicherheit, die von Herstellern, Importeuren und Händlern von IoT-Produkten für den europäischen Markt zu erfüllen sind. Die Verordnung ergänzt bestehende rechtliche Vorschriften und soll demnächst formell verabschiedet werden. Beschäftigt sich Ihr Unternehmen kommerziell mit vernetzten Produkten? Dann erfahren Sie hier, welche Sicherheitsanforderungen zu erfüllen sind und wie Sie Ihre smarten Geräte auf die strengen Standards vorbereiten.

Mit dem Cyber Resilience Act (CRA) tritt 2024 das bisher umfassendste Gesetz zur Regelung der Cybersicherheit von IoT-Produkten in Europa in Kraft. Am 12. März hat das Europäische Parlament den CRA angenommen. Der EU-Rat verabschiedet den CRA noch im zweiten Quartal und verankert ihn mit seiner Amtshandlung im Gesetz. Es gilt zu beachten, dass im Unterschied zur NIS2-Richtlinie zu seiner nationalen Gültigkeit keine Umsetzung in nationales Recht notwendig ist. Die Anforderungen treten nach einer Übergangsfrist von 36 Monaten im Laufe des Jahres 2027 in Kraft. Die Übergangsfrist für die Meldung von Sicherheitsvorfällen und Schwachstellen beträgt 21 Monate. 

Die Übergangsfrist von 36 resp. 21 Monaten kann zu einer erheblichen Herausforderung werden, da die Entwicklung neuer Produkte und Software in der Regel mehrere Jahre in Anspruch nimmt. Insbesondere die nachträgliche Anpassung von Produktkomponenten der Hard- und Software an die neuen Anforderungen kann im Einzelfall überaus aufwändig sein. Ohne die notwendigen Grundlagen, wie ein solider Entwicklungsprozess oder die Berücksichtigung von Security-by-Design oder Security-by-Default, kann eine nachträgliche Umsetzung der Anforderungen gar unmöglich sein oder zu unverhältnismässig hohen Aufwänden und Kosten führen. Aus diesem Grund haben einige Hersteller, insbesondere in der Autoindustrie, mit der Abkündigung älterer Fabrikate begonnen.

Mit der anstehenden Verabschiedung des CRA durch den EU-Rat und dem damit verbundenen Inkrafttreten der Übergangsfristen ist es wichtig, dass Unternehmen prüfen, ob sie die Anforderungen der EU-Verordnung erfüllen. Massnahmen zur Korrektur identifizierter Abweichungen sind vor Ablauf der Übergangsfristen umzusetzen.

Wer ist vom Cyber Resilience Act betroffen?

Zur Einhaltung der Verordnung aus dem Cyber Resilience Act der EU sind sämtliche im EU-Raum aktiven Hersteller, Importeure oder Händler von Produkten verpflichtet, die mit einem externen Gerät oder einem Netzwerk direkt oder indirekt kommunizieren bzw. verbunden werden können.

In unserem Alltag begleiten uns mittlerweile eine beinahe unendlich lange Produkteliste, die über eben diese Eigenschaften verfügen. Sei es der digitale Backofen, die Bewegungsmelder für die Beleuchtung für Ihr Zuhause, der Fitness-Tracker am Arm, das Auto in der Garage oder alle Smart-Home-Geräte – nur um ein paar wenige Beispiele zu nennen.

Wollen Sie wissen, ob Ihr Produkt auch unter den Cyber Resilience Act (CRA) fallen? Kontaktieren Sie uns, wir sagen es Ihnen. Zudem unterstützen Sie unsere Expert*innen bei der Identifikation möglicher Lücken und Abweichungen mit einem CRA-Gap-Assessment.

CRA-Gap-Assessment

Was will der Cyber Resilience Act erreichen?

Wichtigstes Ziel des CRA ist ein verbesserter Schutz der Verbraucher*innen und Unternehmen, die Produkte mit digitalen Komponenten kaufen und nutzen. Insbesondere geht es darum, den Standard im Bereich Cybersicherheit für die auf dem EU-Markt erhältlichen IoT-Produkte zu gewährleisten. Ebenso soll der CRA für eine erhöhte Transparenz hinsichtlich der Sicherheit von Hard- und Softwareprodukten schaffen.

Um diese Ziele zu erreichen, werden mit dem CRA die Vorschriften für das Inverkehrbringen von Produkten mit digitalen Komponenten in der EU definiert. Die zu erfüllenden Cybersicherheitsanforderungen und die Sorgfaltspflicht der Hersteller erstrecken sich über den gesamten Lebenszyklus der Produkte.

Welche Mindestanforderungen sind im CRA verankert?

  • Integration der Cybersicherheit in alle Phasen von Planung bis Wartung
  • Dokumentationspflicht für Cybersicherheitsrisiken
  • Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle
  • Überwachungs- und Beseitigungspflicht von Schwachstellen während der Produktlebensdauer (maximal 5 Jahre)
  • Pflicht zur Bereitstellung klarer und verständlicher Gebrauchsanweisungen
  • Verpflichtung zu Sicherheitsupdates für mindestens 5 Jahre

Die Herausforderung Open Source Code/Software in den eigenen IoT-Produkten

Aufgrund von Bedenken mit den ursprünglichen Regeln zur Haftung bei der Verwendung von Open Source Code/Software wurden Anpassungen am CRA vorgenommen. In den bisherigen Entwürfen wurde die Einhaltungspflicht den Erstellern der Software auferlegt. Die aktuelle Fassung schliesst jedoch Open-Source-Organisationen sowie natürliche Personen als Mitwirkende an Open-Source-Projekten explizit von der Haftung aus. Somit liegt die Verantwortung für die Einhaltung der Vorgaben bei den Unternehmen, die Open Source Code/Software kommerziell nutzen oder als Teil ihrer Produkte in den Verkehr bringen.

Um die Verantwortlichkeit für «Open Source Code/Software»-verwendende Lösungen wahrnehmen zu können, ist ein Inventar aller eingesetzter Komponenten unabdingbar. Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt hierzu das Erstellen einer «Software Bill of Materials » (SBOM).

Gap-Assessment zur Feststellung des CRA-Reifegrads

Sie möchten einen Überblick erhalten, ob Sie für CRA bereits gut aufgestellt sind oder was noch zu tun ist? Lassen Sie sich mit einem CRA-Gap-Assessment von unseren Expert*innen aufzeigen, ob und welche Abweichungen zu den EU-Anforderungen in Ihrer Sicherheitsstrategie bestehen. 
CRA-Gap-Assessment

Unterstützung bei der Umsetzung konkreter Massnahmen

Wenn wir Sie bei der Erfüllung der CRA-Vorgaben unterstützen können, dann stehen Ihnen bei InfoGuard über 230 Expert*innen zur Verfügung, sei es mit unseren Risk Management & Compliance Services oder 24/7 Cyber Defence & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center in der Schweiz. Nehmen Sie Kontakt mit uns auf – unsere Cyber-Sicherheitsexpert*innen helfen Ihnen gerne.

Kontaktieren Sie uns

 
<< >>

IoT-Sicherheit

Michael Fossati
Über den Autor / Michael Fossati

InfoGuard AG - Michael Fossati, Principal Cyber Security Consultant

Weitere Artikel von Michael Fossati

Ähnliche Artikel
Cyber Resilience Act – Machen Sie sich und Ihre Produkte bereit für CRA
Cyber Resilience Act – Machen Sie sich und Ihre Produkte bereit für CRA
Veröffentlicht am 20. Jul 2023 | von Markus Limacher | IT-Sicherheit | Data Governance |

Zukünftig soll die Cyber-Resilienz von digitalen Produkten erhöht werden. Die notwendigen Vorbereitungen für [...]
Die Uhr tickt: Verschärfte NIS2-Richtlinien ab Oktober 2024
Die Uhr tickt: Verschärfte NIS2-Richtlinien ab Oktober 2024
Veröffentlicht am 18. Apr 2024 | von Markus Limacher | IT-Sicherheit | Data Governance | 0 Kommentare

Im Dezember 2022 hat die EU die Cyber-Security-Richtlinie NIS2 verabschiedet. Die EU-Mitgliedsstaaten haben [...]
OT-Sicherheit – weil es um die Safety und Security von uns allen geht
OT-Sicherheit – weil es um die Safety und Security von uns allen geht
Veröffentlicht am 04. Aug 2021 | von Reinhold Zurfluh | Cyberrisiken | IoT-Sicherheit | 0 Kommentare

Die Digitalisierung erfasst sämtliche Bereiche von Wirtschaft und Gesellschaft – in offensichtlichen [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.
Blog Updates abonnieren
Social Media
Neuer Call-to-Action
Kategorien