Lange angekündigt — jetzt verabschiedet
Am 10. Oktober 2024 ist der Cyber Resilience Act (CRA) verabschiedet worden. Damit gelten ab November 2027 für eine Vielzahl vernetzter Geräte und deren Software EU-weite neue Mindestanforderungen in puncto Sicherheit.
Schwachstellenmeldepflichten gelten sogar schon ab August 2026. Dabei werden vor allem die Hersteller von Produkten in die Pflicht genommen: Sie müssen sicherstellen, dass ihre Produkte die Sicherheitskriterien für den europäischen Markt erfüllen — mit wenigen Ausnahmen — unabhängig der Branche.
Drei Dinge sollten Sie jetzt beachten!
Erstens: Aufbau eines Schnelleinsatzteams für den Ernstfall
Werden Hersteller gewahr, dass Schwachstellen in ihren Produkten ausgenutzt werden, müssen sie künftig die Agentur der Europäischen Union für Cybersicherheit (ENISA) informieren: Innerhalb von 24 Stunden müssen sie eine erste Warnung geben und innerhalb von 72 Stunden weitere Details zur Art der Schwachstelle und mögliche Gegenmaßnahmen liefern. Abgesehen davon müssen sie jederzeit ansprechbar sein für Personen, die Sicherheitslücken melden möchten, und im Blick behalten, ob Schwachstellen in einem zugelieferten Softwarebestandteil bekannt werden.
All das gehört zu den Aufgaben eines Product Security Incident Response Teams (PSIRT): Hersteller, die noch kein PSIRT etabliert haben, sollten sich dringend damit befassen, denn die genannten Pflichten sind bereits ab Juni 2026 zu erfüllen, und zwar für alle Produkte auf dem Markt — auch solche, die lange vor Inkrafttreten des CRA lanciert wurden!
Sicher wie nie!
Die DEFENDERBOX analysiert Ihr Netzwerk automatisch – rund um die Uhr: Stärken Sie die Widerstandsfähigkeit Ihres Unternehmens gegen Hackerangriffe, vor allem im eigenen Umfeld!
Sie möchten wissen, wie sicher Ihr Unternehmen ist? Finden Sie es mit einer Teststellung heraus! Jetzt buchen:
Zweitens: Bedrohungs- und Risikoanalysen als zentrales Instrument
Im Kern verlangt der CRA, dass Hersteller ihre Produkte regelmäßig auf Sicherheitsrisiken analysieren und an diese Risiken angepasste Sicherheitsmaßnahmen integrieren. Unternehmen müssen das Durchführen von Bedrohungs- und Risikoanalysen für alle Produkte fest in den Entwicklungsprozess integrieren: So identifizieren sie systematisch Bedrohungen, bewerten das jeweilige Sicherheitsrisiko und leiten informiert und gezielt Schutz- und Gegenmaßnahmen ab.
Das Sicherheitsniveau der Software kann somit kontinuierlich und vor allem angemessen erhöht werden. Entwickler/innen erlangen ein neues Sicherheitsbewusstsein und teure, aber eigentlich unnötige Maßnahmen werden sogar vermieden.
Drittens: Überblick durch Analyse des aktuellen Zustands
Die ersten beiden Schritte sind wichtig, aber nicht ausreichend: Unternehmen müssen genau wissen, welche Anforderungen des Cyber Resilience Act (CRA) sie bereits erfüllen – sowohl bei ihren internen Prozessen im Produktlebenszyklus als auch bei ihren konkreten Produkten. Auch wenn es noch keine einheitlichen Normen für den CRA gibt, sind sich Experten einig, dass der bestehende Standard für industrielle Cybersicherheit, IEC 62443, eine gute Orientierung bietet. Unternehmen sollten also nicht abwarten, sondern schon jetzt eine Analyse ihres aktuellen Stands durchführen.
So können Sie Maßnahmen ableiten und sich frühzeitig auf die Umsetzung des CRA vorbereiten, was wertvolle Zeit spart!
DE 
EN