Aktuelles, Branche - geschrieben von am Sonntag, April 6, 2025 20:44 - noch keine Kommentare

CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln

Tags: , , , , ,

Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

[datensicherheit.de, 06.04.2025] „Unternehmen, die dem ,EU Cyber Resilience Act’ (CRA) unterliegen, sollten sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen“, betont Jan Wendenburg, „CEO“ von ONEKEY. Er erinnert daran, dass die ersten Vorschriften des CRA bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung finden. „Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cyber-Sicherheitsanforderungen des ,Cyber Resilience Act’ vollständig erfüllen“, stellt Wendenburg klar. Hersteller, Importeure und Händler seien gleichermaßen gefordert: Ohne CRA-Konformität dürfe das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.

CRA stellt bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar

Der am 10. Dezember 2024 verabschiedete CRA der Europäischen Kommission stelle die bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, d.h. alle sogenannten Smarten Produkte, egal ob für Industrie, „Consumer“ oder Unternehmen, drängt demnach die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden:

„Angesichts Produktlebens­zyklen, die in der Regel viele Jahre umfassen, sollte dem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf dem EU-Markt verkaufen zu können“, legt Wendenburg nahe. Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung.

Darüber hinaus fordert der EU CRA eine „Software Bill of Materials“ (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: „Kritisch“, „Wichtig“ und „Sonstige“. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.

Neben dem CRA müssen weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ Berücksichtigung finden

Die Umsetzungsfrist von 24, bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich „Best Practices“ zur Cyber-Sicherheit implementieren.

Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ zu berücksichtigen. „Spezielle Compliance-Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cyber-Sicherheitsbewertung der Software von Produkten ermöglichen.“ Beispielhaft hierfür stehe der zum Patent angemeldete „Compliance Wizard“ von ONEKEY.

Wendenburg gibt zu bedenken: „Unternehmen, die ihre Produktstrategie rechtzeitig anpassen, sichern nicht nur ihre Marktzulassung in der EU, sondern auch ihre Wettbewerbsfähigkeit. Product-Lifecycle-Cybersecurity, proaktive ,Compliance’ und ,Supply Chain’-Transparenz werden zu unverzichtbaren Erfolgsfaktoren für alle Hersteller auf dem EU Markt.“

CRA-Anforderungen und ihre Auswirkungen

Um den neuen Anforderungen gerecht zu werden, müssten Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchzuführen. „Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss.“ Neue Schwachstellen seien laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.

„Die CRA-Vorgaben betreffen den gesamten Lebenszyklus Smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme.“ Hersteller seien verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, könne dieser Zeitraum entsprechend verkürzt werden. „In vielen Industriebereichen jedoch sind Produktlaufzeiten von zehn oder 20 Jahren – oder sogar länger – keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellen-Management und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen“, stellt Wendenburg klar.

Sein Fazit: „Die Umsetzung des ,Cyber Resilience Act’ stellt Hersteller vor erhebliche praktische Herausforderungen.“ Er nennt konkrete Beispiele:

  • „In der Industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten.
  • In der IoT-Industrie, etwa bei Smarten Haushaltsgeräten, ist die ständige Pflege der ,Software Bill of Materials’ ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben.“

Die Unternehmen müssten mit ihren Zulieferern eng zusammenarbeiten und Werkzeuge zur Prüfung von Fremdsoftware, wie Binär-Analyse-Lösungen einsetzen, um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten. „Nur automatisierte Prozesse und Werkzeuge zur Schwachstellen- und ,Compliance’-Analyse ermöglichen die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen.“

Weitere Informationen zum Thema:

ONEKEY
Prepare for the EU Cyber Resilience Act with a Tailored Assessment

datensicherheit.de, 07.11.2024
ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken / „Smart Factory“ ein großartiges Konzept – aber ONEKEY-CEO sieht damit verbundene Cyber-Risiken noch zu oft als vernachlässigt an

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Aktuelles, Experten, Studien - Apr. 5, 2025 19:04 - noch keine Kommentare

Bekämpfung terroristischer Online-Inhalte: Transparenzbericht 2024 erschienen

weitere Beiträge in Experten


Aktuelles Experten Studien

Aktuelles, Branche - Apr. 7, 2025 13:26 - noch keine Kommentare

Finanzdienstleistungen: Gedanken zur vorteilhaften und sicheren KI-Nutzung

weitere Beiträge in Branche


Aktuelles Branche Gastbeiträge

Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare

Threat Hunting: Bedeutung und Wertschätzung steigt

weitere Beiträge in Service


Aktuelles Umfragen


Datenschutzerklärung