Cyber Resilience Act fordert Produktanpassungen
Die EU macht Ernst mit „Security by Design“: Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen in der EU bald nicht mehr verkauft werden. Hersteller müssen also ihre Produkte anpassen.
Am 10. Dezember 2024 trat der Cyber Resilience Act der EU in Kraft. Auf Hersteller von „Produkten mit digitalen Elementen“ kommen damit neue Verpflichtungen zu.„Unternehmen, die dem EU Cyber Resilience Act (CRA) unterliegen, sollten sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens Onekey. Er weist darauf hin, dass die ersten Vorschriften des CRA bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung finden. „Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cybersicherheitsanforderungen des Cyber Resilience Act vollständig erfüllen“, stellt Jan Wendenburg klar. Hersteller, Importeure und Händler seien gleichermassen gefordert: Ohne CRA-Konformität darf das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.
Der am 10. Dezember 2024 verabschiedete Cyber Resilience Act der Europäischen Kommission stellt die bisher umfassendste Regelung zur Cybersicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, d.h. alle smarten Produkte, egal ob für Industrie, Consumer oder Unternehmen, drängt die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden. „Angesichts der Produktlebenszyklen, die in der Regel viele Jahre umfassen, sollte dem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf dem EU-Markt verkaufen zu können“, rät Jan Wendenburg.
„Security by Design“ für CRA-Compliance
Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung. Darüber hinaus fordert der EU CRA eine Software Bill of Materials (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: Kritisch, Wichtig und Sonstige. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können. Die Umsetzungsfrist von 24, bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor grosse Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich „Best Practices“ zur Cybersicherheit implementieren. Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie RED II (EN 18031) und IEC 62443-4-2 zu berücksichtigen. Spezielle Compliance Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cybersicherheitsbewertung der Software von Produkten ermöglichen. Beispielhaft hierfür steht der zum Patent angemeldete Compliance Wizard von Onekey.
„Unternehmen, die ihre Produktstrategie rechtzeitig anpassen, sichern nicht nur ihre Marktzulassung in der EU, sondern auch ihre Wettbewerbsfähigkeit. Product-Lifecycle-Cybersecurity, proaktive Compliance und Supply Chain-Transparenz werden zu unverzichtbaren Erfolgsfaktoren für alle Hersteller auf dem EU Markt“, erklärt Jan Wendenburg.
Die neuen Anforderungen des Cyber Resilience Act
Um den neuen Anforderungen gerecht zu werden, müssen Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung des Produktlebenszyklus durchzuführen. Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss. Neue Schwachstellen sind laufend zu bewerten und bei Bedarf zu melden und/oder Massnahmen zur Reparatur zu ergreifen.
Die CRA-Vorgaben betreffen den gesamten Lebenszyklus smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschliessenden Ausserbetriebnahme. Hersteller sind verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, kann dieser Zeitraum entsprechend verkürzt werden. „In vielen Industriebereichen jedoch sind Produktlaufzeiten von 10 oder 20 Jahren oder sogar länger keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellenmanagement und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen“, verdeutlicht Jan Wendenburg die Herausforderungen.
„Die Umsetzung des Cyber Resilience Act stellt Hersteller vor erhebliche praktische Herausforderungen“, erklärt Jan Wendenburg. Er nennt konkrete Beispiele: „In der industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten. In der IoT-Industrie, etwa bei smarten Haushaltsgeräten, ist die ständige Pflege der Software Bill of Materials ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben.“ Die Unternehmen müssen mit ihren Zulieferern eng zusammenarbeiten und Werkzeuge zur Prüfung von Fremdsoftware, wie Binär-Analyse-Lösungen einsetzen um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten. „Nur automatisierte Prozesse und Werkzeuge zur Schwachstellen- und Compliance-Analyse ermöglichen die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen“, sagt Jan Wendenburg.
Quelle: Onekey
CRA und die Schweiz
Die Regelungen des Cyber Resilience Acts betreffen auch Schweizer Unternehmen, insbesondere wenn sie Produkte mit digitalen Komponenten in die EU exportieren möchten. Betroffen sind z.B. Netzwerkgeräte wie Router und Switches, industrielle Steuerungssysteme sowie Softwareprodukte. Schweizer Unternehmen, die solche Produkte oder andere Erzeugnisse mit digitalen Elementen in die EU exportieren möchten, sind verpflichtet, die Anforderungen des CRA zu erfüllen und müssen entsprechende Konformitätsnachweise erbringen. Gemäss Informationen aus dem Bundesamt für Cybersicherheit BACS gelte eine Mehrheit der Produkte als „nicht-kritisch“. Das bedeutet, dass als Konformitätsnachweis eine Selbstdeklaration genügt. Bei Produkten wie z.B. intelligente Türschlösser, Alarmanlagen, am Körper tragbare medizinische Geräte und dergleichen sind die Anforderungen an Konformität allerdings höher und benötigen eine Beurteilung durch Dritte.
red. / swisscybersecurity.net / Redguard AG
