EIn Beitrag von unserem Gastautor Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

[datensicherheit.de, 27.02.2025] In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren. Laut einer Bitkom-Umfrage vom vergangenen Jahr wussten 2024 13 Prozent der befragten IT-Entscheider, von mindestens einem Lieferketten-Zulieferer ihres Unternehmens zu berichten, der in den vergangenen 12 Monaten mindestens einmal Opfer eines Cybersicherheitsvorfalls geworden war. Weitere 13 Prozent vermuteten es, 21 Prozent konnten es nicht ausschließen. Mit dem Cyber Resiliene Act hat die EU eine gesetzliche Regelung auf den Weg gebracht, die Unternehmen verpflichtet auf diese Bedrohungen zu reagieren.

Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor, Bild: Keyfactor

Wachsendes Risko Software-Lieferkette

Um dem wachsenden Software-Lieferketten-Risiko zu begegnen, wurden in Europa in den vergangenen Jahren zahlreiche Gesetzesinitiativen auf den Weg gebracht und verabschiedet. Erinnert sei hier nur an NIS2 und DORA. Erst unlängst, am 11. Dezember, kam nun eine weitere gesetzliche Regelung hinzu: der Cyber Resilience Act (CRA). Er gilt für sämtliche Software, Firmware und verbundenen Geräte, die in der EU verkauft oder verwendet werden sollen. Hersteller werden in ihm in die Pflicht genommen, für die erforderliche Sicherheit ihrer Hard- und Softwareprodukte zu sorgen – und dies transparent. Käufern soll es so ermöglicht werden, fundiertere Kaufentscheidungen zu treffen, das Thema Sicherheit stärker in ihre Überlegungen mit einzubeziehen.

Erste Anforderungen müssen ab dem 11. September 2026 erfüllt werden

Erste Anforderungen des CRA müssen Anbieter schon ab dem 11. September 2026 erfüllen, das Groß ab dem 11. Dezember 2027. In Punkto Lieferkettensicherheit macht der CRA Vorgaben hinsichtlich der Risikobewertung und des Risikomanagements, der Sicherheitsmaßnahmen während der Produktentwicklung, der Sicherheit der Standardeinstellungen der Produkte sowie der Software Bill of Materials (SBOM) und der Konformitätsbewertung.

Eile ist geboten

Da es naturgemäß einige Zeit dauern wird, die internen Prozesse an die neuen Compliance-Vorgaben anzupassen, die entsprechenden Reporting-Strukturen einzurichten, kann IT-Entscheidern und Sicherheitsteams nur geraten werden, hier möglichst frühzeitig – am besten schon jetzt – zu beginnen. Vor allem auf drei Punkte sollten sie sich dabei konzentrieren: die Absicherung der gesamten DevOps-Toolchain, die Sicherstellung der Softwareauthentizität und die Etablierung von Maßnahmen zur Erhöhung der Transparenz.

1. Sicherheit in den gesamten Entwicklungszyklus einbetten – Die DevOps-Toolchain muss mit robusten kryptografischen Schutzmechanismen ausgestattet werden.
2. Software-Authentizität sicherstellen – Alle Softwarekomponenten müssen während des gesamten Entwicklungszyklus authentifiziert und verifiziert werden. Die Identitäten von Entwicklern, Anwendungen und Infrastrukturkomponenten müssen überprüfbar sein.
3. Transparenz und Rückverfolgbarkeit verbessern – Um einen vollständigen Einblick in und Überblick über die Herkunft von Software zu erhalten, muss auf Metadaten, wie die Software Bill of Materials (SBOMs), zugegriffen werden.

Umsetzen lässt sich all dies am effektivsten – und effizientesten – mit einer modernen Code Signing-Lösung. Denn diese lassen sich problemlos in CI/CD-Tools integrieren – ohne IT-Workflows und Build-Prozesse zu erschweren oder gar zu unterbrechen. Code kann so während seines gesamten Entwicklungszyklus effektiv überwacht und vor unbefugten Änderungen und Malware geschützt werden – und dies in Echtzeit. Darüber hinaus lässt sich die Durchsetzung von Sicherheitsrichtlinien so weitgehend automatisieren, was den eigenen Sicherheitsteams viel Arbeit abnimmt. Ausgestattet mit einem solchen Tool sollte es jedem Unternehmen möglich sein, die Risiken der eigenen Software-Lieferketten bis zur CRA-Deadline am 11. Dezember 2027 in den Blick und in den Griff zu bekommen.jiannis-papadakis-keyfactor_ab

Weitere Informationen zum Thema:

European Commission
Cyber Resilience Act

[datensicherheit.de, 20.11.2024] Laut einer Meldung des eco – Verband der Internetwirtschaft e.V. vom 20. November 2024 wurde der „Cyber Resilience Act“ (CRA / EU-Verordnung 2024/2847) an diesem Tag offiziell im Amtsblatt der Europäischen Union (EU) veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen habe. Der CRA lege horizontale Cyber-Sicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: Der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen

CRA erste europäische Verordnung, welche Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlegt

Prof. Dr. Norbert Pohlmann, eco-Vorstand für „IT-Sicherheit“, kommentiert: „Mit dem CRA geht die EU einen wichtigen Schritt für die Verbesserung der Cybe-Ssicherheit in einer zunehmend vernetzen digitalen Welt. Denn der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen.“ Dies sei nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.

Damit sei der „Cyber Resilience Act“ die erste europäische Verordnung, welche ein Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlege, „die auf dem EU-Markt in den Verkehr gebracht werden“. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cyber-Sicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

eco: CRA-Umsetzung sollte Handhabbarkeit der Regelungen in der Praxis sicherstellen und unnötige Bürokratie vermeiden

„Auch die gefundene Lösung für Open-Source-Technologien stellt einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt. Dennoch müssen wir die Umsetzung weiterhin kritisch und konstruktiv begleiten, um sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden“, unterstreicht Professor Pohlmann. Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen:

„Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden.“ Insgesamt sei der CRA indes ein wichtiger Meilenstein für die Stärkung der Cyber-Sicherheit in Europa. Der eco-Verband werde sich aktiv dafür einsetzen, „dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden“, so Professor Pohlmann abschließend.

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht, 20.11.2024
Dokument 32024R2847 / Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (Text von Bedeutung für den EWR)

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

[datensicherheit.de, 10.06.2024] Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheits-Ansatz zu verbessern. Im Gegensatz zu früheren Verordnungen wie der DSGVO (Datenschutzgrundverordnung) stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung. 

Andy Grolnick, CEO bei Graylog, Bild: Graylog

„Der CRA stellt einen bedeutenden Schritt zur Sensibilisierung für Cyberrisiken auf Unternehmensebene dar. Es besteht jedoch die Gefahr, dass er zu einem bloßen Kontrollkästchen für die Einhaltung der Vorschriften verkommt, wie es bei der DSGVO der Fall ist.“, äußert Andy Grolnick, CEO vom Security-Anbieter Graylog, seine Bedenken.

Fallstrick Compliance-Checkbox: was die DSGVO wirklich brachte

„Die Sicherheit von Checkboxen gleicht dem Anlegen eines Verbandes auf eine klaffende Wunde, sie ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der DSGVO erlebt, bei denen die Einhaltung der Vorschriften oft echte Sicherheitsmaßnahmen überschattete.“, so Grolnick weiter.

Die DSGVO wurde erlassen, um den Datenschutz für Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Nutzerbewegungen verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer jetzt das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden. Der Punkt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern stattdessen das Surferlebnis für viele beeinträchtigt und die Unternehmen Millionen kostete.

Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf hinzuweisen, dass es stattfindet. Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise erfüllen, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Support-Mechanismen ergreifen, aber nicht wirklich versuchen, das Hacking-Problem zu lösen, und so unter dem Radar fliegen können.

„Was wir nicht brauchen, ist eine weitere Verordnung, die die Hersteller dazu zwingt, die Vorschriften einzuhalten, ohne sich wirklich darauf zu konzentrieren, ihre Cybersicherheitslage zu verbessern, da wir immer mehr miteinander vernetzt sind.“, verdeutlicht Grolnick die Situation. „Der EU CRA wird die Unternehmen zwar zum Nachdenken darüber anregen, wie sie das Internet der Dinge nutzen, aber es wird nur eine minimale Anforderung zur Einhaltung geben, und genau darin liegt das Problem.“

Prioritäten richtig setzen: Die Cybersicherheit in einer IoT-Umgebung gehört an die erste Stelle

Bei jedem Produkt, das „intelligenter (smarter)“ wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Haus bringen, die eine Verbindung zu ihrem Smartphone oder ihrem WLAN erfordern, können sie letztlich auch Kriminellen Zugang zu ihrem Haus verschaffen.

„Sind der Geschirrspüler, die Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces oder Programmierschnittstellen) mit dem Smartphone verbunden, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden – persönliche Daten, Geolokalisierungsdaten, Netzwerkzugriff, Gerätesteuerung und vieles mehr. Innovation ist großartig, aber nicht ohne Standards. Sicherheit und Schutz müssen die Innovation untermauern, wenn sie effektiv sein soll – und das deutlich mehr als es der Norm entspricht.“, so Grolnick.

Lieferkettenbedrohung durch Hackerangriffe

Im Jahr 2023 wurden die Nachrichten von einer Reihe heftiger Cyberangriffe überschwemmt, die einen deutlichen Trend ankündigen: Hackerangriffe in der Lieferkette. Hier nutzen Cyberkriminelle Schwachstellen in Systemen von Drittanbietern aus, um an wertvolle Daten und Kundenwerte zu gelangen.

Der vernetzte Charakter von IoT-Implementierungen, an denen oft mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch personenbezogene Daten.

APIs schützen und Sicherheitsmängel beseitigen

Der CRA will unter anderem IoT-Hersteller dazu bringen, sich ernsthafter mit der Cybersicherheit auseinanderzusetzen und wirkungsvolle Schritte zum Schutz der Verbraucherdaten herbeizuführen. Das bedeutet, dass sie mehr als nur das Nötigste tun müssen, um die Anforderungen zu erfüllen.

Die Hersteller müssen der Integration robuster Authentifizierungsmechanismen wie kryptografischer Schlüssel, Zertifikate oder biometrischer Authentifizierung Vorrang einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden. Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.

Sich nur auf den Schutz der Außengrenzen zu verlassen, ist aufgrund der zunehmenden Raffinesse der Bedrohungsakteure unzureichend. Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um bösartige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden können. Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.

Kostenfalle Sicherheit

Sicherheit wird oft als kostspieliges Hindernis für die Fertigung angesehen, die Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Das muss jedoch nicht so sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist, offen gesagt, eine Investition, die sich für Unternehmen lohnt.

24 Milliarden vernetzte Geräte in 2050

Da die Zahl der vernetzten Geräte bis 2050 weltweit voraussichtlich 24 Milliarden erreicht, vergrößert die Verbreitung des IoT die Angriffsflächen für Hacker rapide. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Herstellung festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.

„Die Umsetzung erfordert eine enge Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten. Es ist dringend erforderlich, aus den Fallstricken der DSGVO zu lernen und sicherzustellen, dass der EU CRA Unternehmen tatsächlich dazu ermutigt, der Cybersicherheit Priorität einzuräumen und ihre Widerstandsfähigkeit zu stärken.“, so Grolnick abschließend.

[datensicherheit.de, 03.10.2023] Der „EU Cyber Resilience Act“ (CRA-E) wirft seinen Schatten voraus: Je näher dessen Inkrafttreten rückt, desto mehr Fragen stellen sich offensichtlich für Hersteller und Inverkehrbringer sogenannter Smart Devices. Künftig haften Unternehmen demnach für das Management von Sicherheitsrisiken – dafür sehe dieses neue EU-Gesetz drastische Strafzahlungen vor, welche bereits bei Fristversäumnissen fällig werden könnten.

Cyber Resilience Act betrifft alle Anbieter elektronischer Produkte

Zum insgesamt achten Mal findet nach Angaben der Veranstalter am 28. November 2023 die Fachkonferenz „CYBICS“ statt – „zum zweiten Mal in diesem Jahr widmet sie sich ausschließlich dem Thema ,Cyber Resilienz’ sowie dem CRA-E“. Unter dem Motto „Compliance, Sicherheit und Best Practices: der Cyber Resilience Act“ werde die Konferenz unter der Federführung der isits AG International School of IT Security gemeinsam mit Partnern wie ONEKEY, Vertretern der Europäischen Kommission, Experten der Zertifizierungsstelle Bureau Veritas und von CERT@VDE in Frankfurt am Main veranstaltet.

Die Keynote der „CYBICS“ werde von einem „Policy Officer“ der Europäischen Kommission gehalten, welcher als Vertreter der Brüsseler Behörden über den aktuellen Stand des CRA-E informieren möge. Eingeladen seien alle Vertreter aus Wirtschaft und Industrie, „da zukünftig auch alle Unternehmen die Regeln und Anforderungen des CRA-E bei Herstellung und Vermarktung von elektronischen Produkten beachten müssen“.

Cyber Resilience Act überträgt Verantwortung von Nutzern auf Hersteller

Erstmals werde mit dem „Cyber Resilience Act“ die Verantwortung für den sicheren Betrieb von Geräten mit digitalen Elementen – von Massenartikeln wie Smartwatches über Router, Zutrittskontrollsystemen bis hin zu Druckern und industriellen Steuerungssystemen – von den Nutzern auf die Hersteller übertragen. Auch in Zukunft würden die Betreiber von Netzen für deren Sicherheit verantwortlich sein.

Hersteller und Inverkehrbringer von Geräten müssen jedoch bereits bei der Entwicklung und Vermarktung künftig deutlich höhere Auflagen erfüllen. „Das betrifft nicht nur die IT-Sicherheit selbst, sondern auch Prozesse und Meldepflichten“, berichtet Jan Wendenburg, „CEO“ des „CYBICS“-Mitveranstalters ONEKEY. Derzeit sei die Verunsicherung bei den Unternehmen sehr groß, da neben der EU-Gesetzgebung vor allem die Abstimmung mit den lokalen Behörden noch ausstehe. Dies dürfe aber keinesfalls zu Verzögerungen führen – denn der CRA-E werde nach seiner endgültigen Verabschiedung unmittelbar in allen EU-Ländern wirksam, betont Wendenburg.

Neue EU-Gesetzgebung rund um Cyber Resilience Act sorgt für Aufmerksamkeit der Industrie

Mit diesem gewaltigen Paradigmenwechsel in den gesetzlichen Anforderungen gehe eine wachsende Unsicherheit einher. Der CRA-E bietet laut Wendenburg in vielen Bereichen Konfliktpotential – alleine schon bei Open-Source-Software, welche auch in Geräten und deren Firmware zum Einsatz komme.

„Kaum ein Thema hat in den letzten zehn Jahren so viel Resonanz und Diskussionen bei Herstellern entfaltet wie die neue EU-Gesetzgebung rund um den ,Cyber Resilience Act.‘ Wir als Veranstalter begegnen dem Bedarf mit einer zweiten ,CYBICS’-Fachkonferenz noch in diesem Jahr, um den Herstellern konkrete Leitlinien und Hilfestellungen anbieten zu können, die schon jetzt auf die Praxis in den Unternehmen ausgerichtet sind“, erläutert Birgitte Baardseth von der isits AG International School of IT Security.

Weitere Informationen zur kostenpflichtigen Veranstaltung:

cybics
Early Bird Tickets bis 13.10.2023

[datensicherheit.de, 15.09.2022] Laut einer aktuellen Stellungnahme hat die EU am 15. September 2022 den „Cyber Resilience Act“ vorgestellt, mit welchem demnach die Sicherheit von IoT-Geräten verbessert werden soll. Bitkom-Präsident Achim Berg erkennt darin zwar einen wichtiger Beitrag zur Stärkung der Cyber-Sicherheit, kritisiert aber auch hohen bürokratischen Aufwand für die Unternehmen:

Bitkom lobt Security by Design und kritisiert Bürokratie

„Europa muss die Abwehr von Cyber-Angriffen stärker in den Fokus rücken“, fordert der Bitkom-Präsident. Der „Cyber Resilience Act“ könne dabei einen „wichtigen Beitrag zur Stärkung der Sicherheit vernetzter Geräte leisten“. Ein wirksamer Schutz vor Cyber-Kriminellen sei Voraussetzung dafür, dass die Geräte und Technologien im vernetzten Zuhause auf ein neues Sicherheitsniveau gebracht werden könnten. „Krisenfestigkeit war wohl selten so wichtig wie heute, der ,Cyber Resilience Act’ kommt genau zur richtigen Zeit.“

Der „Cyber Resilience Act“ schaffe deutlich mehr Sicherheit für Verbraucher, indem „Security by Design“ rechtlich vorgegeben und Updates für den Lebenszyklus des Produkts garantiert würden. Er schaffe aber zugleich einen hohen bürokratischen Aufwand für die Unternehmen – unter anderem durch umfangreiche Dokumentationspflichten.

Bitkom moniert Umsetzungsfrist von 24 Monaten nach Inkrafttreten

Kritisch bewertet Bitkom nach eigenen Angaben die Umsetzungsfrist von 24 Monaten nach Inkrafttreten, welche angesichts der deutlich längeren Entwicklungszyklen viele Unternehmen vor große Herausforderungen stelle. Umso wichtiger sei es, „die zusätzlichen Compliance-Kosten, die durch den ,Cyber Resilience Act’ auf die Unternehmen zukommen, möglichst gering zu halten“.

Dazu gehöre auch eine klare und eindeutige Gesetzgebung. Berg macht abschließend deutlich: „Der ,Cyber Resilience Act’ darf nicht zu neuer Rechtsunsicherheit in den Unternehmen führen – die Datenschutz-Grundverordnung sollte hier ein mahnendes Beispiel sein.“

Weitere Informationen zum Thema:

European Commission, 15.09.2022
Policy and legislation / Cyber Resilience Act

European Commission, 15.09.2022
Cyber Resilience Act – Factsheet

bitkom
Positionspapier / Cyber Resilience Act

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 16.09.2022
Cyber Resilience Act: TÜV-Verband fordert Nachschärfungen / EU-Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt

datensicherheit.de, 09.08.2020
Cyber Resilience: 5 Mythen in der Analyse / Unternehmen sehen sich mit immer raffinierteren Cyber-Angriffen und teureren Datenskandalen konfrontiert

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence / Mimecast veröffentlicht den neuesten Bericht des Gremiums