Rechtsvorschrift zur Cyberresilienz Das droht Unternehmen durch den Cyber Resilience Act der EU

Anbieter zum Thema

G DATA CyberDefense AG

Impossible Cloud GmbH

Mit dem Cyber Resilience Act (CRA) der EU wird die Industrie mit einem der strengsten Regelwerke konfrontiert. Alles, was einen Microchip enthält, wird dann streng reglementiert. Was es dabei zu beachten gilt, zeigen wir hier.

Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, also von allem, was einen Mikrochip enthält, werden im Rahmen des CRA zu einer Reihe strenger Maßnahmen verpflichtet. Bis dato gibt es dafür laut Onekey, einem Spezialisten für Produkt-Cybersicherheit, aber kaum etablierte Prozesse. Der Cyber Resilience Act wird unter anderem eine Cyber-Risikobewertung vorschreiben, bevor ein Produkt überhaupt auf den Markt gebracht wird, wie es beispielhaft heißt. Alle Hersteller müssten jetzt schon damit beginnen, die kommenden Anforderungen in die Produktentwicklung zu integrieren, weil die Entwicklung neuer Produkte und Varianten oft viele Monate oder gar Jahre benötige. Von Onekey gibt es dazu einen Leitfaden, der für die Industrie die kommenden Regularien, wesentliche Maßnahmen und praktische Hinweise zu deren Umsetzung zusammenfasst.

Cyberkriminellen immer ein Stück voraus sein

Außer den Sicherheitsmaßnahmen gegen unbefugten Zugriff sind Unternehmen künftig auch zum Software-Schwachstellen- und Patch-Management verpflichtet, wie es weiter heißt. Und zwar bevor Schäden durch von Hacker entstehen. Das heißt im Prinzip, dass die Entwickler den Hackern stets eine Nasenlänge voraus sein müssen. Während des gesamten Produktzyklus müssten Hersteller die Schwachstellen ihrer Produkte effektiv managen, regelmäßige Tests durchführen und ein umfassendes Patch-Management vorweisen. Hinzu kommt die Pflicht, eine klare Dokumentation zu führen.

Cybersecurity und MDR-Services

Was tun, wenn kein IT-Fachpersonal Schlange steht?

Dazu gehöre auch die Führung einer Software Stückliste „Software Bill of Materials“ (SBOM), die alle in einem Gerät oder einer Anlage enthaltenen Softwareprodukte – auch versteckte – detailliert auflistet. Je nach Produkt und verbauten Komponenten könne das aber Hunderte von verschiedenen Baugruppen mit eigenem Microchip und damit versteckten Risiken sein. Auch personelle Strukturen müssten geschaffen werden. Und zwar, um bestimmte Aufgaben und Pflichten des CRA von einem Beauftragten im Namen der Organisation wahrzunehmen. Dazu gehört beispielsweise die Rolle des Ansprechpartners für die Marktaufsichtsbehörden.

Der CRA zwingt zur Neugestaltung etablierter Prozesse

Zusätzlich zu den Dokumentationspflichten müssen Unternehmen wegen des CRA nun auch regelmäßig den Datenbestand zu den Produkten aktualisieren und die Daten bis zu 10 Jahre nach dem Inverkehrbringen des Produkts aufbewahren. Das zeigt, dass der Druck – auch wenn die EU-Kommission das Gesetz etwas verschiebt – hoch ist. Produkte und Komponenten – übrigens auch von Drittanbietern – müssen deshalb auf Schwachstellen untersucht werden. Hersteller und Importeure müssen diese Prüfung dokumentieren und die notwendigen Kapazitäten für die Informationspflichten bereitstellen.

Für die Industrie bedeutet dies ein Umdenken in den etablierten Entwicklungs- und Produktionsprozessen. Wer hier nicht rechtzeitig handle, riskiere hohe Strafzahlungen durch die Behörden. Als Spezialist für Produkt-Cybersicherheit betreibt Onekey übrigens eine der weltweit größten automatisierten Analyseplattformen, um Produkte mit digitalen Elementen auf Schwachstellen zu untersuchen, die Hacker ausnutzen könnten.

Zudem bietet Onekey ein 45-minütiges Online-Seminar an, bei dem die Gesetzesgrundlage und deren Umsetzung im Vordergrund stehen. Das Seminar mit dem Titel „Understanding the EU Cyber Resilience Act and achieve product cybersecurity compliance” findet am Donnerstag den 9. März um 11:00 Uhr MEZ statt. Hier geht`s zur Anmeldung.

Dieser Artikel erschien zuerst auf unserem Partnerportal Industry of Things.

(ID:49269076)