CRA als Hebel für Produktsicherheit, nicht als Entwicklungsblocker!
Mit dem Cyber Resilience Act (CRA) entsteht eine EU-Richtlinie, die verpflichtende Cybersicherheitsanforderungen für Hersteller und Importeure von „Produkten mit digitalen Elementen“, also Software- und Hardwareprodukten fordert.
BLUEPRINT: IST MEIN PRODUKT VOM CRA BETROFFEN?
Produkte im Fadenkreuz der Angreifer und die Antwort des CRA
In unserer von Zeit- und Kostendruck geprägten Welt können Produkt Hersteller schneller mit Sicherheitsproblemen konfrontiert werden, als es uns allen lieb ist.
Doch aus bestehenden Sicherheitsvorfällen können wir wertvolle Lektionen ziehen, wie zum Beispiel:
- Schwachstellen in Produkten mit digitalen Elementen können reale Folgen haben
- Security Features nachträglich hinzufügen kann teuer oder unmöglich sein
- "Coordinated disclosure" Koordinierte Veröffentlichung gehört zum guten Stiel
- Kunden sind über Schwachstellen und Gegenmaßnahmen geeignet zu informieren
- Behörden sind in der Lage Produkte zu verbieten
Viele der oben genannten Punkten sind auch Anforderungen der CRA.
Welche Produkte sind vom Cyber Resilience Act betroffen?
Default-Kategorie
Trifft auf 90% der Produkte zu. Eigenschaften dieser Produkte sind:
- Keine schwerwiegende Auswirkung durch Sicherheitsvorfall
- Keine Security Funktion
- Keine Safety Auswirkung
Beispiele: - Bildbearbeitungs-programme
- Textverarbeitungs-programme
Wichtige Produkte - Kategorie 1
Eigenschaften dieser Produkte sind:
- Schwerwiegende Auswirkung durch Sicherheitsvorfall
- Produkt hat Security Funktion
- Safety Auswirkung
Beispiele: - Passwort Manager
- Smart Home Assistenten
- VPN
Wichtige Produkte - Kategorie 2
Eigenschaften dieser Produkte sind:
- Wie Wichtige Produkte-Kategorie 1, aber mit stärkeren Auswirkungen durch einen Sicherheitsvorfall
Beispiele: - Hypervisoren
- Firewalls
- Manipulations-resistente Microprozessoren
Kritische Produkte
Eigenschaften dieser Produkte sind:
- Wie Wichtige Produkte-Kategorie 2, aber mit noch stärkeren Auswirkungen
- Kritische Produkte für die Umsetzung von NIS2
Beispiele: - Hardware Geräte mit Security Boxes
- Smartcards
- Smart Meter Gateway
CRA Status
Der CRA ist noch nicht in Kraft getreten, da das Gesetzgebungsverfahren noch nicht abgeschlossen ist.
Dem Act wurde bereits vom Europäischen Parlament und vom Rat der Europäischen Union zugestimmt.
Danach erfolgt die Veröffentlichung im Amtsplatt der EU mit Bekanntgabe des Datums an dem die Verordnung in Kraft tritt. Das geschieht vermutlich schon im November 2024.
Nachdem der CRA in Kraft getreten ist haben die Mitgliedsstaaten und Unternehmen 36 Monate Zeit die Anforderungen zu erfüllen.
Für die Umsetzung von Anforderungen zum Reporting von Schwachstellen und Incidents werden lediglich 21 Monate Zeit gegeben.
BLUEPRINT: IST MEIN PRODUKT VOM CRA BETROFFEN?Steht dein Produkt vom EU-Stopp?
Entdecke mit unserem kostenlosen Blueprint, ob dein Produkt vom CRA betroffen ist und wie du mit den Anforderungen umgehst.
Weiterführende Informationen
[1] Startseite Cyber Resilience Act (EU): https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
[2] Veröffentlichet Dokumente (ohne Zwischenstände): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454
[3] Legislationsprozess aktueller Stand: https://epthinktank.eu/2022/12/16/eu-cyber-resilience-act-eu-legislation-in-progress/
[4] Factsheet: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet
[5] FAQ: https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_5375
[6] NIS2 Richtlinie https://eur-lex.europa.eu/eli/dir/2022/2555
[7] Cyber Resilience Act (EU Parlament) https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html
Teste einen kostenlosen Blueprint!
Bist du dir nicht sicher, ob Secure Blueprints das Richtige für dich ist? Probiere unseren kostenlosen Blueprint aus.
JETZT LOSLEGEN
