Prüfung der Anforderungen des CRA
Unternehmen sollten die spezifischen Anforderungen des Cyber Resilience Act verstehen, einschließlich aller technischen Standards und Compliance-Vorgaben.
Cyber Resilience Act
EU-Richtlinie für mehr Cybersicherheit
EU-Richtlinie zur Cyberresilienz von Produkten mit digitalen Elementen
Der Cyber Resilience Act (deutsch: EU-Gesetz über Cyberresilienz) ist ein Gesetz der Europäischen Kommission, das darauf abzielt, Verbraucher und Unternehmen zu schützen, die innerhalb der EU, Hard- oder Softwareprodukte mit einem digitalen Element kaufen oder verwenden. Darin definiert sind verbindliche Anforderungen an die Cybersicherheit, die von Herstellern, Importeuren und Händlern solcher Produkte auf dem europäischen Markt erfüllt werden müssen. Im industriellen Sektor sind hiervon insbesondere folgende Produkte betroffen:
- kritische Produkte der Klasse I, wie z. B. Browser, Passwort-Manager, Router, etc.
- kritische Produkte der Klasse II, wie z. B. Firewalls, Chipkarten, Chipkartenleser, etc.
Die "Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen" ist ein Teil der Bemühungen der EU, die Hardware Sicherheit bzw. Software Sicherheit zu erhöhen und das Vertrauen in die digitale Wirtschaft zu stärken. Dies ist Bestandteil einer umfassenderen Strategie der EU zur Stärkung der Cybersicherheit. Dazu gehören auch andere Initiativen wie die NIS2-Richtlinie (Richtlinie über die Sicherheit von Netz- und Informationssystemen) und die DSGVO (Allgemeine Datenschutzverordnung). Das Ziel dieser Bemühungen ist es, einheitliche Regeln für die Cybersicherheit von Produkten mit digitalen Elementen in der gesamten EU zu schaffen.
Unsere Produkte helfen Ihnen die Konformitätsanforderungen des Cyber Resilience Act erfüllen. Wir beraten Sie gerne.
Auswirkungen und Herausforderungen für Unternehmen
Grundsätzlich gilt: Alle Unternehmen, die innerhalb des EU-Binnenmarktes Produkte mit digitalen Elementen herstellen, vertreiben oder einsetzen, sind vom Cyber Resilience Act betroffen. Dazu zählen unter anderem auch Maschinenbauer und Dienstleister wie z. B. Systemintegratoren, die Produkte der Klassen I und II verwenden. Sie alle müssen in Zukunft einige Cybersicherheitsanforderungen erfüllen, um die Hardware Sicherheit, Softwaresicherheit sowie die Sicherheit von Maschinen nach DIN EN ISO 12100, DIN EN ISO 13849 sowie der kommenden IEC62443 zu gewährleisten.
Auswirkungen auf IT Security, OT Security & Produkte
Im Bereich der IT müssen zukünftig Cybersicherheitsrichtlinien von Anfang an (Security by Design) berücksichtigt werden: Dazu gehören unter anderem regelmäßige Updates und Patches sowie maximale Transparenz bei der Berichterstattung über Sicherheitsvorfälle oder Schwachstellen.
Im Bereich OT Security, wo in vielen Betrieben veraltete Technologien zum Einsatz kommen, müssen umfassende Risikomanagementstrategien entwickelt und verstärkte Sicherheitsmaßnahmen umgesetzt werden. Hierbei kann eine Industrial Firewall eine gute Absicherungseinheit für Legacy Systeme (Altsysteme) sein, um den abgesicherten Betrieb der veralteten Technologien sicher zu stellen. Auch fordert der Cyber Resilience Act eine engere Verknüpfung zwischen IT- und OT-Sicherheitspraktiken.
Die Sicherheit der Produkte muss zukünftig über den gesamten Lebenszyklus hinweg gewährleistet und am Ende durch Zertifizierungen oder regelmäßige Sicherheitsbewertungen nachgewiesen werden können. Sollte ein Produkt irgendwann nicht mehr durch die Bereitstellung von Sicherheitsupdates unterstützt werden, oder sollten Schwachstellen in den Technologien entdeckt werden, müssen Verbraucher umgehend und aktiv darüber informiert werden. ADS-TEC Industrial IT GmbH stellt dies durch die Veröffentlichung etwaiger Meldungen in der deutschen IT-Sicherheitsplattform CERT@VDE sicher.
Zeitliche und finanzielle Herausforderungen
Das EU-Parlament hat den Cyber Resilience Act im März 2024 angenommen. Um verbindlich in Kraft treten zu können, muss das Gesetz noch den EU-Rat passieren. Nach Inkrafttreten haben betroffene Unternehmen 36 Monate Zeit, um die im Cyber Resilience Act beschriebenen Vorgaben anzuwenden.
Dies kann insbesondere bei kleinen und mittleren Unternehmen (KMU) erhebliche Kosten verursachen, da neue Sicherheitsmethoden eingeführt werden müssen. Hierzu zählt die Erstellung neuer Sicherheitspraktiken und Integration neuer Sicherheitstechnologien.
Für global operierende Unternehmen kann die Notwendigkeit, unterschiedliche Cybersicherheitsanforderungen in verschiedenen Märkten erfüllen zu müssen, zu zusätzlichen Herausforderungen führen.
Umsetzungsfristen des CRA
Sie haben Fragen zum Cyber Resilience Act oder wünschen eine Beratung?
Welche Maßnahmen Unternehmen ergreifen müssen
Bewertung der aktuellen Compliance-Position
Unternehmen sollten bewerten, inwieweit ihre aktuellen Produkte, Dienstleistungen und internen Prozesse den Anforderungen des Cyber Resilience Act entsprechen und wo Anpassungen erforderlich sind.
Entwicklung eines Plans zur Implementierung
Basierend auf der Bewertung sollten Unternehmen einen detaillierten Plan zur Umsetzung der erforderlichen Änderungen entwickeln, einschließlich Zeitplan, Budget und Ressourcenzuweisung.
Durchführung der erforderlichen Anpassungen
Dies kann die Überarbeitung von Produktentwicklungspraktiken, die Stärkung der Cybersicherheitssysteme und -prozesse sowie die Schulung der Mitarbeiter umfassen.
Überwachung und kontinuierliche Anpassung
Nach der Implementierung ist es wichtig, die Einhaltung der CRA-Anforderungen kontinuierlich zu überwachen und sich an etwaige Änderungen der Vorschriften oder technologische Entwicklungen anzupassen.
„one-for-all“-Lösung für Industrial Security
Industrial Router Firewalls IRF1000 & IRF3000
Netzwerke und Anlagen schützen, Gefahren erkennen, Produkte und Verbindungen sicherer machen: Die Vorgaben des Cyber Resilience Act sind klar beschrieben und bald für alle verbindlich. Und die passende Lösung ist auch schon da: Industrial Router Firewalls der Serien IRF1000 und IRF3000.
Unabhängig, ob Sie sich für unser Einsteigermodell IRF1000 oder unsere Hochleistungs-Firewalls IRF3000 entscheiden: In beiden Fällen bekommen Sie eine „one for all“-Lösung für den Schutz Ihrer Maschinen, Produktionsanlagen und industriellen Komponenten. Fordern Sie noch heute Ihr unverbindliches Test-Gerät an und überzeugen Sie sich von der Leistungsfähigkeit der Industrial Router Firewalls von ADS-TEC Industrial IT.