Den EU-cyber resilience Act verstehen und Produkt Cybersicherheit und compliance erreichen
Dieses Whitepaper richtet sich an Produktverantwortliche, Produkt-Sicherheitsmanager und Compliance-Experten von Herstellern, Händlern und Importeuren vernetzter Geräte, die auf Märkten innerhalb der Europäischen Union tätig sind.
.jpg)
Den EU Cyber Resilience Act verstehen und Produktsicherheits-Compliance erreichen
ZUSAMMENFASSUNG
Um die verpflichtenden Anforderungen der Europäischen Union gemäß dem kommenden EU Cyber Resilience Act (CRA) im Bereich Produktsicherheit und Vorfallmeldung zu erfüllen, müssen alle Hersteller sowie deren Importeure und Händler, die ihre Produkte innerhalb der EU vermarkten, die Cyber-Resilienz ihrer Produkte erheblich stärken.
Diese Bemühungen müssen die gesamte Produktlieferkette umfassen, um eine bessere Transparenz der verwendeten Softwarekomponenten sicherzustellen, das Gesamtsicherheitsniveau der Produkte zu erhalten und zu verhindern, dass Produkte mit bekannten Schwachstellen ausgeliefert werden. Zusätzlich sind Hersteller sowie deren Importeure und Händler verpflichtet, die Europäische Agentur für Cybersicherheit (ENISA) innerhalb von 24 Stunden zu informieren, sobald ihnen eine neue Produktschwachstelle bekannt wird.
Als Folge dieser neuen Regulierung und zur Reduzierung des manuellen Aufwands für Hersteller, Importeure und Händler wird die Erstellung von Software-Stücklisten (Software Bill of Materials – SBOMs) sowie die Sicherheitsanalyse der Software-Lieferkette entsprechend den Anforderungen des CRA umfassend automatisiert werden müssen.
Dieses Whitepaper fasst die neuen verpflichtenden Anforderungen des CRA zusammen, beschreibt, wie sich daraus ergebende Risiken reduziert werden können, und erläutert, wie der Produktsicherheitsprozess – vom Design über die Softwareentwicklung bis zum Ende des Produktlebenszyklus – gestaltet sein muss, um diese regulatorischen Anforderungen und entsprechende Sicherheitsmaßnahmen wirksam umzusetzen.
HINTERGRUND
NEUER EU CYBER RESILIENCE ACT (CRA) ZIELT AUF MEHR SICHERHEIT UND TRANSPARENZ AB
Am 15. September 2022 veröffentlichte die Agentur der Europäischen Union für Cybersicherheit (ENISA) den Entwurf des neuen Cyber Resilience Act (CRA), der vom Europäischen Parlament in der gesamten Europäischen Union umgesetzt werden soll. Betroffen sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Der CRA zielt darauf ab, das Sicherheitsniveau aller Produkte mit digitalen Elementen innerhalb der EU zu erhöhen, indem Hersteller verpflichtet werden, einen Rahmen für Cybersicherheit umzusetzen, diesen aktiv zu pflegen und während des gesamten Produktlebenszyklus einzuhalten. Darüber hinaus soll eine erhöhte Transparenz bezüglich der Sicherheitseigenschaften es Verbrauchern und Unternehmen ermöglichen, sicherheitsbewusste Entscheidungen zu treffen.
BEGRENZTE HANDLUNGSZEIT FÜR PRODUKTE MIT DIGITALEN ELEMENTEN
Diese Initiative der ENISA erfolgt angesichts zunehmender Schäden durch Cyberkriminalität, die im Jahr 2021 weltweit Kosten von mehr als 5,5 Billionen Euro verursachten. Viele dieser Cyberangriffe entstehen aufgrund von Schwachstellen in Produkten mit digitalen Elementen und werden durch mangelnde Transparenz seitens der Hersteller bezüglich relevanter Sicherheitseigenschaften verschärft. Obwohl der CRA ein breites Spektrum an „Produkten mit digitalen Elementen“ umfasst – von Betriebssystemen über Desktop- und mobile Anwendungen bis hin zu Hardware-Geräten und Netzwerkausrüstung – konzentriert sich dieses Whitepaper gezielt auf vernetzte Geräte und richtet sich insbesondere an Hersteller, Händler und Importeure solcher Geräte.
Es wird erwartet, dass der neue CRA Anfang 2024 durch die Europäische Kommission als Richtlinie verabschiedet wird, ohne dass eine Zustimmung durch das Europäische Parlament erforderlich ist. Selbst unter Berücksichtigung einer Übergangsfrist bleibt nur wenig Zeit, um notwendige Meldepflichten zu etablieren und die übrigen wesentlichen Anforderungen zu erfüllen. Aufgrund der typischerweise mehrjährigen Design- und Entwicklungszyklen ist es notwendig, dass Hersteller bereits jetzt handeln. Lediglich Geräte, die unter die Verordnung (EU) 2018/1139 (Zivilluftfahrt), Verordnung (EU) 2017/745 (Medizinprodukte), Verordnung (EU) 2017/746 (In-vitro-Diagnostika) fallen oder gemäß der Verordnung (EU) 2019/2144 (Typgenehmigung von Kraftfahrzeugen und deren Anhängern sowie Systemen, Komponenten und separaten technischen Einheiten hierfür) zertifiziert sind, sind vom CRA ausgenommen. Angesichts der durchschnittlich mehrjährigen Zeitspanne zwischen Design und Produktion vernetzter Geräte bleibt den Herstellern nur wenig Zeit, um erforderliche Sicherheitsänderungen umzusetzen und die neuen Anforderungen zu erfüllen.
Bereit zur automatisierung ihrer Cybersicherheit & Compliance?
Machen Sie Cybersicherheit und Compliance mit ONEKEY effizient und effektiv.