Wir haben mit Joachim Morbach, Chief Engineer und Security Specialist bei infoteam, über den von der EU entworfenen „Cyber Resilience Act“ gesprochen und welche besonderen Herausforderungen und Cybersicherheitsverpflichtungen dabei auf Hersteller und Vertreiber von Produkten zukommen.
Welche Ziele verfolgt die EU mit dem Cyber Resilience Act (CRA)?
Ziel des Cyber Resilience Act ist, die IT-Sicherheit in den Mitgliedstaaten zu erhöhen. Der CRA soll sicherstellen, dass Produkte mit digitalen Elementen widerstandsfähiger gegen Cyberangriffe sind. Um dieses Ziel zu erreichen, verpflichtet der CRA die Hersteller dazu, bestimmte Anforderungen zu erfüllen, die Teil der CE-Zertifizierung werden.
Welche konkreten Pflichten für Hersteller und Vertreiber von Produkten mit digitalen Elementen leiten sich vom CRA ab?
Der Anhang zum CRA enthält eine Liste konkreter Anforderungen, die Hersteller erfüllen müssen, wozu unter anderem die Führung einer SBOM (Software Bill of Materials) und die Systemhärtung gehören. Ein wesentliches Element ist auch die Einhaltung von Cybersecurity in allen Phasen des Produktlebenszyklus einschließlich Planung, Design, Entwicklung, Produktion, Auslieferung/Markteinführung, Betriebs- und Wartungsphase sowie Außerbetriebnahme. Dies umfasst unter anderem eine Cybersecurity-Risikoanalyse sowie das Monitoring und Management von Schwachstellen während der gesamten Produktlebensdauer (bis maximal fünf Jahre).
Zudem müssen Hersteller kostenlose und einfach zu implementierende Security-Updates zur Verfügung stellen, um die Cybersicherheit ihrer Produkte aufrechtzuerhalten. Anleitungen müssen verständlich geschrieben sein, um Fehler zu vermeiden, die Auswirkungen auf die Cybersicherheit haben können.
Wie kann infoteam die Hersteller bei der Umsetzung der Anforderungen aus dem CRA unterstützen?
infoteam bietet Herstellern folgende Unterstützungsangebote, um die CRA-Vorgaben regelkonform umzusetzen:
- Beratung und Schulung: infoteam kann den Herstellern bei der Entwicklung und Implementierung von Sicherheitskonzepten helfen, die den Anforderungen des CRA entsprechen. Die von infoteam angebotenen Schulungen schärfen das Bewusstsein für die Bedeutung von Cybersicherheit und verbessern das Verständnis für die spezifischen Anforderungen des CRA. Hervorzuheben ist insbesondere unsere spezielle Schulung zum Secure Software Engineer (SSE).
- Implementierung von Cybersecurity-Tools bzw. technischen Maßnahmen zur Erhöhung der Cybersicherheit in digitalen Produkten: infoteam kann Herstellern dabei helfen, einerseits geeignete Tools und Systeme zu identifizieren und zu implementieren, die dazu beitragen, die Cybersicherheit ihrer Produkte zu erhöhen, sowie andererseits Maßnahmen innerhalb der Software oder des Betriebssystems zu identifizieren und zu implementieren, um die Widerstandsfähigkeit gegen Cyberangriffe zu steigern.
- Unterstützung bei der CE-Zertifizierung: infoteam kann Herstellern dabei helfen, die Anforderungen des CRA in die CE-Zertifizierung zu integrieren und sicherzustellen, dass ihre Produkte den Anforderungen des CRA entsprechen.
- Post Market Surveillance: infoteam kann bei der Umsetzung des Monitorings und Managements von Schwachstellen über die Produktlebensdauer helfen und bei der Einführung geeigneter Tools unterstützen. Darüber hinaus können wir auch das Monitoring und Management von Schwachstellen als Dienstleistung für die Hersteller übernehmen.
Durch diese Maßnahmen kann infoteam Unternehmen helfen, die Anforderungen des CRA zu erfüllen und ihre Produkte widerstandsfähiger gegen Cyberangriffe zu machen, was letztlich zu einer höheren Cybersicherheit in der gesamten Industrie beitragen kann.
