Aktueller Stand
Die neue EU-Verordnung verpflichtet Hersteller zu Security by Design. Wie Unternehmen den EU Cyber Resilience Act erfolgreich für sich nutzen können.
Die neue EU-Verordnung verpflichtet Hersteller zu Security by Design. Wie Unternehmen den EU Cyber Resilience Act erfolgreich für sich nutzen können.
Die Bedrohungslage für IT-Systeme wächst konstant. KI-gestützte Angriffe und Ransomware as a Service befähigen auch technisch unbedarfte Kriminelle zu professionellen Angriffskampagnen. Diese treffen auf eine Infrastruktur, deren Systeme und Komponenten eine Vielzahl von Schwachstellen aufweisen. Der EU Cyber Resilience Act ergänzt eine Reihe anderer EU-Daten- und Cybersecurity-Gesetze um das Thema Produktsicherheit.
Inhalt:
Fazit: Over the Air garantiert Compliance und sichert strategische Vorteile für die Zukunft
Unternehmen investieren zwar viel in die Sicherheitsmaßnahmen in ihrem eigenen Netz, aber Produkte, die in den Markt gebracht werden sollen, stehen oft weniger im Fokus. Produktsicherheit ist jedoch ein essenzieller Bestandteil eines umfassenden Sicherheitskonzepts. Der EU Cyber Resilience Act soll genau diese Sicherheitslücke schließen und will die Voraussetzungen für ein effektives und harmonisiertes Schwachstellenmanagement schaffen.
Hersteller müssen zu diesem Zweck von nun an Security by Design und Security by Default nachweislich umsetzen. Produkte mit digitalen Elementen oder Schnittstellen müssen „Out of the Box“ sicher sein. Für den Kunden fallen also keine notwendigen Zusatzkonfigurationen an. Zudem fordert die Verordnung, dass derartige Produkte über die definierte Lebensdauer jederzeit und kostenfrei Security-Updates empfangen und verarbeiten können müssen. Das wiederum unterstützt die Betreiber dieser Produkte bei der effizienten Absicherung ihrer Infrastrukturen und ist eine essenzielle Grundlage für abgehärtete Lieferketten.
Der Cyber Resilience Act (CRA) wurde im März 2024 vom Europäischen Parlament verabschiedet und muss nun noch vom EU-Rat bestätigt werden, bevor er in Kraft treten kann. Danach ist eine Übergangsfrist von 24 Monaten vorgesehen, in deren Rahmen sich die Mitgliedsstaaten auf die Umsetzung vorbereiten sollten. Nach 36 Monaten müssen die Hersteller nachweisen können, dass sie die Sicherheitsanforderungen erfüllen. Im Gegensatz zu EU-Richtlinien müssen Verordnungen nicht erst in nationales Recht gegossen werden. Verordnungen sind daher nach ihrer Umsetzung für die Mitgliedsstaaten in allen Teilen verbindlich.
Alle Unternehmen, die Produkte mit digitalen Komponenten im Binnenraum herstellen, sowie Händler und Importeure, die diese Produkte vermarkten, sind davon betroffen.
Die Verordnung legt auch Pflichten für die Mitgliedsstaaten in Bezug auf die Marktüberwachung und die Durchsetzung der Bestimmungen fest. Die Sanktionen für Verstöße betragen bis zu 14 Millionen Euro, beziehungsweise 2,5 Prozent des Jahresumsatzes des betroffenen Unternehmens (abhängig davon, was höher ist).
Die Nachweispflicht für die Einhaltung der Vorgaben des CRA hat letztlich der Endverkäufer. Dieser muss zudem sicherstellen, dass alle seine Lieferanten die Anforderungen erfüllen, denn falls eine Komponente nicht compliant sein sollte, droht dem ganzen Produkt das Verkaufsverbot. Dementsprechend sind auch die internationalen Lieferanten von der neuen Verordnung betroffen.
Konkret handelt es sich bei einem Produkt mit digitalen Elementen um jede Art von Hardware, die eine Schnittstelle aufweist (beispielsweise eine Maschine mit einer Steuerung): Dabei ist es unerheblich, ob die Schnittstelle mit dem Internet verbunden ist oder nicht und ob sie tatsächlich genutzt wird oder nicht. In allen diesen Fällen müssen die Anforderungen des Cyber Resilience Acts trotzdem erfüllt sein.
Solche Produkte sind zudem in zwei Kategorien eingeteilt: Hochkritische Produkte, die für die Resilienz der gesamten Lieferkette relevant sind und kritische Produkte unter denen etwa Passwortmanager, Router oder Betriebssysteme fallen.
Ausnahmen macht der Cyber Resilience Act nur für Produkte mit digitalen Elementen, die durch bereits bestehende Verordnungen abgedeckt sind. Darunter fallen zum Bespiel Medizinprodukte, Produkte, die für die Flugsicherung eingesetzt werden oder bestimmte Produkte im Kontext von Kraftfahrzeugen.
Mit dem EU Cyber Resilience Act kommt eine Reihe von neuen Herausforderungen auf die Unternehmen zu. Diese lassen sich in eine organisatorische und eine technische Ebene unterteilen.
Organisatorisch gesehen, stehen Unternehmen nun in der Pflicht, unter anderem Maßnahmenpläne für Incident- und Risk-Management aufzustellen. Es braucht zudem ein regelmäßiges Risk Assessment und Reporting sowie gesteigerte Anforderungen an die Transparenz. Vulnerability Management sollte nun ebenfalls zum Sicherheits-Repertoire aller betroffenen Firmen gehören. Nicht zuletzt gilt es, ausreichende Ressourcen für die Softwareentwicklung zur Verfügung zu stellen.
Auf der Produktebene wird nun Cybersecurity by Design and by Default vorgeschrieben. So muss das Produkt nach Auslieferung ohne weiteres Zutun des Kunden bereits ausreichend abgesichert sein. Daten-Portabilität ist ebenfalls eine Herausforderung, die nicht unterschätzt werden sollte. So muss sichergestellt werden, dass alle Daten und Einstellungen sicher und einfach vom Produkt entfernt werden können.
Weiterhin herrschen nun neue und striktere Sicherheitsanforderungen an den Software-Entwicklungsprozess. Doch vor allem legt die neue Verordnung Wert darauf, dass das Produkt nun updatefähig über die Laufzeit sein muss – das gilt insbesondere für Security-Updates. Der Gesetzgeber macht zwar grundsätzlich keine Vorgaben, wie Updates durch die Hersteller konkret verteilt werden – so wäre auch per E-Mail oder über Techniker mit USB-Stick vor Ort vorstellbar – doch aus Gründen der Kundenfreundlichkeit und Effizienz, empfiehlt sich ein Over-the-Air-Update-System. Das funktioniert schnell und für den Kunden am bequemsten, erfordert aber eine Konnektivität-Lösung embedded auf dem Produkt (ggf. kann ein Produkt auch nachträglich ertüchtigt werden). Ist ein Produkt dazu in der Lage, Over-the-Air-Updates zu empfangen, ist damit gleichzeitig auch die (technische) Grundlage für IoT-Szenarien gelegt. Aus vom Gesetzgeber geforderten notwendigen Investitionen in Compliance können dann im selben Zug strategische Mehrwerte geschaffen werden.
Es ist zu erwarten, dass die Komplexität der mit dem EU Cyber Resilience Act vebundenen Handlungsfelder viele Unternehmen stark belasten werden – insbesondere wenn deren Kernkompetenzen nicht in der Software-Entwicklung liegen. Daher bietet es sich an, sich an externe Partner mit langjährigem Know-how in allen relevanten Security- & Software Themen zu wenden, um so eigene Ressourcen in der Produktentwicklung und im Service zu schonen.
Vor dem Hintergrund ständig zunehmender Cyberbedrohungen ist die Verabschiedung des EU Cyber Resilience Act zu begrüßen. Dabei ist es empfehlenswert, die Herausforderung gesamtheitlich mit einer effizienten technischen Lösung anzugehen.
Zwar ist es auch möglich, die Verpflichtung zur Update-Fähigkeit über E-Mail-Verteiler und über Service-Techniker vor Ort zu regeln, aber wesentlich einfacher und effizienter ist ein Over-the-Air-Update-System. Dieser Ansatz geht zwar mit einem gewissen Investment einher, doch schaffen sich Unternehmen auf diese Weise langfristig nutzbares, stabiles technisches Fundament – nicht nur für eine bessere Cybersicherheit, sondern auch mit Blick auf neue datengetriebene Geschäfts- und Service-Modelle wie Predictive Maintenance oder Equipment-as-a-Service.
Ein ganzheitliches Herangehen an den Cyber Resilience Act bedeutet deshalb nicht nur einen effizienten Schritt in Richtung Produktsicherheit, sondern kann auch einen wichtigen Impuls für die Digitalisierungsstrategie eines Unternehmens liefern. Herausforderungen werden damit zu Zukunftschancen.
Quelle Aufmacherbild: KI-Bild erstellt mit Midjourney