Die Verordnung (EU) 2024/2847, der sogenannte Cyber Resilience Act (CRA), enthält Vorgaben an die Cybersicherheit von Produkten mit digitalen Elementen. Welche das genau sind und wie sich betroffene Unternehmen nun gut auf den CRA vorbereiten, erklärt Matthias Kuczera, Fachexperte für „Funktionale Sicherheit – Normen“ bei Pilz GmbH & Co. KG, im Interview.
Herr Kuczera, warum braucht es den EU-Rechtsakt zur Cyberresilienz? Und wer ist von den Vorgaben betroffen?
Das Ziel des Cyber Resilience Act ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen. Der CRA umfasst dafür eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte mit ein.
„Ohne Security ist eine Maschine samt getroffener Safety-Maßnahmen angreifbar und ungeschützt.“
Matthias Kuczera, Fachexperte für „Funktionale Sicherheit – Normen” bei Pilz
Betroffen sind damit Verbraucherprodukte wie Smartphones, Laptops, Smart-Home-Geräte, Smartwatches und vernetztes Spielzeug. Auch B2B-Produkte wie Steuerungen und Sensoren fallen unter den CRA. Darüber hinaus sind Softwareprodukte wie Betriebssysteme betroffen.
Wann müssen die Vorgaben des Cyber Resilience Act umgesetzt sein?
Der CRA ist eine EU-Verordnung und keine Richtlinie. Anders als die NIS-2-Richtlinie ist er somit direkt in allen EU-Mitgliedstaaten anwendbar, eine nationale Umsetzung ist nicht erforderlich. Es gibt jedoch eine Übergangsfrist. Die Umsetzung des CRA soll in verschiedenen Etappen von Ende 2024 bis zur verpflichtenden Anwendung ab 11. Dezember 2027 erfolgen. Die Meldepflichten der Hersteller gelten bereits ab dem 11. September 2026 und Vorgaben für die Notifizierung von Konformitätsbewertungsstellen sogar ab dem 11. Juni 2026.
Was wird in dem rechtsverbindlichen CRA konkret gefordert?
Die neue Verordnung verpflichtet Hersteller, Importeure und den Handel. Alle Produkte, die digitale Elemente beinhalten und das CE-Kennzeichen tragen, müssen ein angemessenes Cybersicherheitsniveau gewährleisten. Zusammengefasst bedeutet dies, dass es konkrete Vorgaben zur Risikobewertung und ‑gewährleistung, zum Schwachstellenmanagement, zur Dokumentation sowie zu den Meldepflichten gibt.
Die wichtigsten Anforderungen im Überblick:
Risikobewertung und ‑gewährleistung
Hersteller müssen Produkte so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Maß an Cybersicherheit gewährleistet ist.
Schwachstellenmanagement
Bekannte Schwachstellen müssen vom Hersteller durch kostenlose Sicherheitsaktualisierungen beseitigt werden, sofern zwischen dem Hersteller und dem gewerblichen Nutzer in Bezug auf ein maßgeschneidertes Produkt nichts anderes vereinbart wurde.
Dokumentation
Hersteller müssen Schwachstellen und Komponenten ihrer Produkte identifizieren und dokumentieren. Ein Teil dieser Dokumentation umfasst die Erstellung einer Software-Stückliste (auch bekannt als Software Bill of Materials, SBOM) in einem maschinenlesbaren Format.
Es soll zudem dokumentiert sein, wie mit Sicherheitslücken umgegangen wird, beispielsweise wann ein Hersteller Sicherheitsupdates für sein Produkt zur Verfügung stellt.
Meldepflichten
Innerhalb 24 Stunden nach Bekanntwerden hat der Hersteller jede aktiv ausgenutzte Schwachstelle und jeden schwerwiegenden Sicherheitsvorfall über die Meldeplattform der ENISA (European Union Agency for Cybersecurity) in Form einer Frühwarnung zu melden. Für eine weitere Detaillierung hat der Hersteller bis zu 72 Stunden Zeit. Ein Abschlussbericht muss innerhalb von 14 Tagen für jede aktiv ausgenutzte Schwachstelle bzw. innerhalb eines Monats für jeden schwerwiegenden Sicherheitsvorfall vorgelegt werden.
Welche Tipps haben Sie für Maschinenhersteller?
Pilz unterstützt seit Jahrzehnten Maschinenbauer und Anwender bei der Sicherheit ihrer Maschinen und Anlagen – auch bei den neuen Anforderungen zum Thema Industrial Security. Denn ohne Security ist eine Maschine samt getroffener Safety-Maßnahmen angreifbar und ungeschützt. Hier gilt es, Vorsorgemaßnahmen zu treffen. Wir empfehlen Maschinenherstellern, sich zeitnah mit den Anforderungen des CRA zu befassen und gemeinsam mit den Komponentenherstellern und den Betreibern Konzepte zur Zusammenarbeit zu entwickeln. Zu den typischen Fragen, die zwischen den Wirtschaftsakteuren geklärt werden sollten, gehören: In welcher Netzwerkzone soll eine Maschine betrieben werden? Wie soll mit Softwareupdates umgegangen werden? Wann endet der Support für Komponenten, in dem die Nutzer die Behebung von Schwachstellen und den Erhalt von Sicherheitsaktualisierungen erwarten können? Wann wird von einer „wesentlichen Veränderung“ an einer Maschine gesprochen?
Erst wenn derartige Fragen geklärt sind, kann jeder Wirtschaftsakteur seine neuen organisatorischen und technischen Pflichten erfüllen. Es ist zudem hilfreich, stets auf dem Laufenden zu bleiben. Abonnements von Newslettern und RSS-Feeds auf eur-lex.europa.eu halten über Gesetzesänderungen auf EU-Ebene informiert. Zudem empfehle ich das Common Security Advisory Framework (CSAF) zur Umsetzung der CRA-Vorgaben. Es ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, den sogenannten Security Advisories.
Loading...
