Cyber Resilience Act (CRA)

Lange angekündigt — jetzt verabschiedet

Am 10. Oktober 2024 ist der Cyber Resilience Act (CRA) verabschiedet worden. Damit gelten ab November 2027 für eine Vielzahl vernetzter Geräte und deren Software EU-weite neue Mindestanforderungen in puncto Sicherheit. 

Schwachstellenmeldepflichten gelten sogar schon ab August 2026. Dabei werden vor allem die Hersteller von Produkten in die Pflicht genommen: Sie müssen sicherstellen, dass ihre Produkte die Sicherheitskriterien für den europäischen Markt erfüllen — mit wenigen Ausnahmen — unabhängig der Branche.

Drei Dinge sollten Sie jetzt beachten!

Erstens: Aufbau eines Schnelleinsatzteams für den Ernstfall

Werden Hersteller gewahr, dass Schwachstellen in ihren Produkten ausgenutzt werden, müssen sie künftig die Agentur der Europäischen Union für Cybersicherheit (ENISA) informieren: Innerhalb von 24 Stunden müssen sie eine erste Warnung geben und innerhalb von 72 Stunden weitere Details zur Art der Schwachstelle und mögliche Gegenmaßnahmen liefern. Abgesehen davon müssen sie jederzeit ansprechbar sein für Personen, die Sicherheitslücken melden möchten, und im Blick behalten, ob Schwachstellen in einem zugelieferten Softwarebestandteil bekannt werden. 

All das gehört zu den Aufgaben eines Product Security Incident Response Teams (PSIRT): Hersteller, die noch kein PSIRT etabliert haben, sollten sich dringend damit befassen, denn die genannten Pflichten sind bereits ab Juni 2026 zu erfüllen, und zwar für alle Produkte auf dem Markt — auch solche, die lange vor Inkrafttreten des CRA lanciert wurden!

Sicher wie nie!

Die DEFENDERBOX analysiert Ihr Netzwerk automatisch – rund um die Uhr: Stärken Sie die Widerstandsfähigkeit Ihres Unternehmens gegen Hackerangriffe, vor allem im eigenen Umfeld!

Sie möchten wissen, wie sicher Ihr Unternehmen ist? Finden Sie es mit einer Teststellung heraus! Jetzt buchen:

Zweitens: Bedrohungs- und Risikoanalysen als zentrales Instrument

Im Kern verlangt der CRA, dass Hersteller ihre Produkte regelmäßig auf Sicherheitsrisiken analysieren und an diese Risiken angepasste Sicherheitsmaßnahmen integrieren. Unternehmen müssen das Durchführen von Bedrohungs- und Risikoanalysen für alle Produkte fest in den Entwicklungsprozess integrieren: So identifizieren sie systematisch Bedrohungen, bewerten das jeweilige Sicherheitsrisiko und leiten informiert und gezielt Schutz- und Gegenmaßnahmen ab. 

Das Sicherheitsniveau der Software kann somit kontinuierlich und vor allem angemessen erhöht werden. Entwickler/innen erlangen ein neues Sicherheitsbewusstsein und teure, aber eigentlich unnötige Maßnahmen werden sogar vermieden.

Drittens: Überblick durch Analyse des aktuellen Zustands

Die ersten beiden Schritte sind wichtig, aber nicht ausreichend: Unternehmen müssen genau wissen, welche Anforderungen des Cyber Resilience Act (CRA) sie bereits erfüllen – sowohl bei ihren internen Prozessen im Produktlebenszyklus als auch bei ihren konkreten Produkten. Auch wenn es noch keine einheitlichen Normen für den CRA gibt, sind sich Experten einig, dass der bestehende Standard für industrielle Cybersicherheit, IEC 62443, eine gute Orientierung bietet. Unternehmen sollten also nicht abwarten, sondern schon jetzt eine Analyse ihres aktuellen Stands durchführen.

So können sie Maßnahmen ableiten und sich frühzeitig auf die Umsetzung des CRA vorbereiten, was wertvolle Zeit spart!

Aktuelle Beiträge

• Die richtigen Fragen…13. März 2025
  Die Ergebnisse zeigen, dass Unternehmen 2025 auf Cyber-Angriffe und Betriebsunterbrechungen besonders vorbereitet sein müssen. Proaktive Maßnahmen sind entscheidend!
• DEFENDERBOX für TechBoost qualifiziert6. März 2025
  Wir sind für das Innovationsprogramm der Deutschen Telekom nominiert!
• Unsichtbare Gefahr27. Februar 2025
  Eine besonders perfide Bedrohung: Infostealer. Diese Schadsoftware hat nur ein Ziel – das systematische Abgreifen sensibler Daten.
• Abzocke an Parkautomaten20. Februar 2025
  Aufgepasst in Köln, Dortmund und einigen anderen Städten! Parkticket bezahlen – und plötzlich sind die Bankdaten in den Händen von Betrügern.
• Google entfernt 2,36 Millionen gefährliche Apps13. Februar 2025
  2024 hat Google 2,36 Millionen Apps entfernt, weil sie gegen Sicherheitsrichtlinien verstießen oder Nutzer gefährdeten. 

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Probieren Sie es aus! Klicken Sie hier für eine Testinstallation der DEFENDERBOX.
Das Kennenlernangebot gilt bis
31. Dezember 2024.