„Unternehmen, die dem EU Cyber Resilience Act (CRA) unterliegen, sollten sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens Onekey. Er weist darauf hin, dass die ersten Vorschriften des CRA bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung finden. „Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cybersicherheitsanforderungen des Cyber Resilience Act vollständig erfüllen“, stellt Jan Wendenburg klar. Hersteller, Importeure und Händler seien gleichermaßen gefordert: Ohne CRA-Konformität darf das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.
Der am 10. Dezember 2024 verabschiedete Cyber Resilience Act der Europäischen Kommission stellt die bisher umfassendste Regelung zur Cybersicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, das heißt, alle smarten Produkte, egal ob für Industrie, Consumer oder Unternehmen, drängt die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden. „Angesichts Produktlebenszyklen, die in der Regel viele Jahre umfassen, sollte dem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf dem EU-Markt verkaufen zu können“, rät Jan Wendenburg.
„Security by Design“ für CRA-Compliance
Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung. Darüber hinaus fordert der CRA eine Software Bill of Materials (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: Kritisch, Wichtig und Sonstige. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.
Die Umsetzungsfrist von 24, beziehungsweise 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich „Best Practices“ zur Cybersicherheit implementieren. Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie RED II (EN 18031) und IEC 62443-4-2 zu berücksichtigen. Spezielle Compliance Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cybersicherheitsbewertung der Software von Produkten ermöglichen. Beispielhaft hierfür steht der zum Patent angemeldete Compliance Wizard von Onekey.
„Unternehmen, die ihre Produktstrategie rechtzeitig anpassen, sichern nicht nur ihre Marktzulassung in der EU, sondern auch ihre Wettbewerbsfähigkeit. Product-Lifecycle-Cybersecurity, proaktive Compliance und Supply-Chain-Transparenz werden zu unverzichtbaren Erfolgsfaktoren für alle Hersteller auf dem EU Markt“, erklärt Jan Wendenburg.
Die neuen Anforderungen des CRA und ihre Auswirkungen
Um den neuen Anforderungen gerecht zu werden, müssen Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchzuführen. Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss. Neue Schwachstellen sind laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.
Die CRA-Vorgaben betreffen den gesamten Lebenszyklus smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme. Hersteller sind verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, kann dieser Zeitraum entsprechend verkürzt werden. „In vielen Industriebereichen jedoch sind Produktlaufzeiten von 10 oder 20 Jahren oder sogar länger keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellenmanagement und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen“, verdeutlicht Jan Wendenburg die Herausforderungen.
„Die Umsetzung des Cyber Resilience Act stellt Hersteller vor erhebliche praktische Herausforderungen“, erklärt Jan Wendenburg. Er nennt konkrete Beispiele: „In der industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten. In der IoT-Industrie, etwa bei smarten Haushaltsgeräten, ist die ständige Pflege der Software Bill of Materials ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben.“
Die Unternehmen müssen mit ihren Zulieferern eng zusammenarbeiten und Werkzeuge zur Prüfung von Fremdsoftware, wie Binär-Analyse-Lösungen einsetzen um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten. „Nur automatisierte Prozesse und Werkzeuge zur Schwachstellen- und Compliance-Analyse ermöglichen die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen“, sagt Jan Wendenburg.
Kritische Sicherheitslücken durch KI schnell erkennen
Onekey ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten Onekey Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab. Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
%20SIGMATEK.jpg "Leistungsstarke Servoantriebs-Lösung mit integriertem Safety-Paket")
