Cyber Resilience Act fordert Produktanpassungen
2. April 2025
Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen in der EU bald nicht mehr verkauft werden. Daher sollten Unternehmen, die dem EU Cyber Resilience Act (CRA) unterliegen, sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen.
Die ersten Vorschriften des CRA finden bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung. Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cyber-Sicherheitsanforderungen des Cyber Resilience Act vollständig erfüllen. Damit sind Hersteller, Importeure und Händler gleichermaßen gefordert: Ohne CRA-Konformität darf das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.
Der am 10. Dezember 2024 verabschiedete Cyber Resilience Act der Europäischen Kommission stellt die bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, d.h. alle smarten Produkte, egal ob für Industrie, Consumer oder Unternehmen, drängt die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden.
„Security by Design“ für CRA-Compliance
Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung. Darüber hinaus fordert der EU CRA eine Software Bill of Materials (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen.
Der CRA kategorisiert Produkte in die drei Sicherheitsklassen:
- Kritisch,
- Wichtig und
- Sonstige.
In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.
Die Umsetzungsfrist von 24, bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich „Best Practices“ zur Cyber-Sicherheit implementieren. Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie RED II (EN 18031) und IEC 62443-4-2 zu berücksichtigen.
Spezielle Compliance Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cyber-Sicherheitsbewertung der Software von Produkten ermöglichen.
Anforderungen des CRA und ihre Auswirkungen
Um den neuen Anforderungen gerecht zu werden, müssen Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchzuführen. Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss. Neue Schwachstellen sind laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.
Die CRA-Vorgaben betreffen den gesamten Lebenszyklus smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme. Hersteller sind verpflichtet, Sicherheits-Updates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, kann dieser Zeitraum entsprechend verkürzt werden.
In vielen Industriebereichen jedoch sind Produktlaufzeiten von 10 oder 20 Jahren oder sogar länger keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellenmanagement und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen.
Jan Wendenburg ist CEO des Düsseldorfer Cyber-Sicherheitsunternehmens Onekey.
