Der CRA setzt klare Security-Anforderungen an Produkte voraus, dazu zählen der Zugriffsschutz, Vertraulichkeitsschutz, Integrität, Verfügbarkeit und auch ein sicherer Auslieferungszustand. Um einen sicheren Entwicklungsprozess zu gewährleisten, sind diese vor allem bei der Konzeption, Entwicklung und Herstellung zu berücksichtigen.
Der Cyber Resilience Act (CRA)
Der Cyber Resilience Act stellt eine wegweisende Entwicklung im Bereich der Cyber-Sicherheit dar. Er legt klare Verpflichtungen für Hersteller digitaler Produkte fest, insbesondere hinsichtlich der Implementierung von Security-by-Design. Um das begehrte CE-Kennzeichen zu erhalten, unterliegen künftige Produkte Mindestsicherheitsanforderungen. Der CRA adressiert essenzielle Aspekte wie Zugriffsschutz, Vertraulichkeit, Integrität und Verfügbarkeit während des gesamten Entwicklungsprozesses. Dieser Beitrag wirft einen Blick auf die Herausforderungen und Chancen, die der CRA für Hersteller mit sich bringt, und betrachtet die mögliche Rolle der internationalen Norm IEC 62443 als Schlüsselakteur in diesem Kontext.
Entdecken Sie im Cyber Resilience Act (CRA) die Zukunft der Cyber-Sicherheit für digitale Produkte – klare Richtlinien, höhere Standards und eine wegweisende Strategie für ein sichereres digitales Zeitalter.
Was ist der CRA?
Der Cyber Resilience Act (CRA) setzt klare Richtlinien für Hersteller digitaler Produkte, die nun verpflichtet sind, eine Security-by-Design-Strategie zu verfolgen. Um das begehrte CE-Kennzeichen zu erhalten, müssen Produkte, die dem CRA unterliegen, zukünftig Mindestsicherheitsanforderungen erfüllen. Der Gesetzestext legt dabei großen Wert auf Aspekte wie Zugriffsschutz, Vertraulichkeit, Integrität und Verfügbarkeit, die in den gesamten Entwicklungsprozess integriert werden müssen. Zusätzlich regelt der CRA das Schwachstellenmanagement sowie die Zeitspanne, in der Hersteller verpflichtet sind, Security-Updates bereitzustellen.
Ziel des CRA ist es, das Vertrauen in die digitale Infrastruktur der Europäischen Union zu stärken und die Wettbewerbsfähigkeit europäischer Unternehmen auf globaler Ebene zu steigern. Als EU-Act bedarf er keiner nationalen Umsetzung und ist am 10. Dezember 2024 EU-weit in Kraft getreten.
Die IEC 62443, als internationaler Standard, nimmt eine Schlüsselrolle ein, da sie sowohl den geforderten sicheren Entwicklungsprozess als auch die technischen Anforderungen an Produkte und Systeme abdeckt. Aufgrund dieser Deckungsgleichheit könnte die IEC 62443 als vielversprechende Grundlage für eine harmonisierte Norm des CRA dienen. Um die Anforderungen an das Schwachstellenmanagement zu erfüllen, wird ein standardisierter Software Bill of Material (SBOM) für alle Produkte benötigt. Dieser umfassende Überblick über alle Software-Komponenten ist essenziell. Zudem müssen bekannte Schwachstellen im digitalen Format, z. B. durch das Common Vulnerability Scoring System (CVSS), erfasst werden.
Wer ist davon betroffen?
Der Cyber Resilience Act (CRA) ist ein EU-Gesetz, das sich auf alle Produkte mit digitalen Elementen auswirkt, die Kommunikationsfähigkeiten haben. Der CRA deckt sowohl Hardware als auch Software ab und orientiert sich am New Legislative Framework. Das Gesetz macht verbindliche Vorgaben, die beim Inverkehrbringen von Produkten einzuhalten sind. Produkte, die diesen Regeln entsprechen, tragen ein CE-Kennzeichen.
Im Umkehrschluss bedeutet dies, dass nicht-konforme Produkte nicht mehr in den Verkehr gebracht werden dürfen. Doch auch bei Bestandsprodukten muss der Anbieter den Verkauf einstellen, wenn die Cyber-Security-Anforderungen nicht erfüllt werden.
Was bedeutet das für den Hersteller?
Im Rahmen des sicheren Entwicklungsprozesses müssen Hersteller ihre Produkte aktiv auf Schwachstellen prüfen und diese auch unverzüglich beheben. Diese Sicherheitsaktualisierung soll kostenfrei bereitgestellt werden und erstreckt sich über einen Zeitraum von fünf Jahren. Zudem führt der CRA zusätzliche Meldepflichten ein: Hersteller müssen der Europäischen Agentur für Cyber-Sicherheit (ENISA) unverzüglich mitteilen, wenn sie Kenntnis von aktiv ausgenutzten Schwachstellen oder Angriffen auf ihre Produkte erhalten, die die Sicherheit beeinträchtigen können, z. B. durch Manipulation von Download-Bereichen.
Vor dem Markteintritt muss der Hersteller sicherstellen, dass sein Produkt den vorgeschriebenen Standards entspricht. Die Bewertung erfolgt in Abhängigkeit von der Klassifizierung des Produkts bezüglich seiner Kritikalität. Dies erfordert die Einhaltung europäischer Normen oder eine Prüfung durch eine autorisierte Institution. Besonderes Augenmerk liegt dabei auf kritischen Infrastrukturen in der Industrie. In diesem Kontext sind die Anwendung harmonisierter Normen und/oder die Zusammenarbeit mit einer zugelassenen Institution erforderlich.
Was bedeutet das für die Nutzenden?
Der CRA ermöglicht es den Nutzenden von Produkten zu profitieren, die höhere Cyber-Sicherheitsstandards erfüllen und weniger Risiken durch Hacker, Sicherheitslücken oder andere Gefahren bergen. Solche Produkte müssen die CE-Kennzeichnung haben, die ihre Konformität mit den neuen Anforderungen zeigt.
Die Hersteller sind zudem verpflichtet, die Produkte während ihres gesamten Lebenszyklus zu pflegen und automatische Sicherheits-Updates anzubieten. Die Nutzenden können dadurch auf die Cyber-Sicherheitsgarantien von CE-gekennzeichneten Produkten vertrauen.
Cyber Security ist keine Option mehr, sondern eine Notwendigkeit
Hersteller stehen vor der Herausforderung, einen sicheren Entwicklungsprozess zu gewährleisten und umfassende Sicherheitsmaßnahmen vor der Markteinführung zu implementieren. Dies geht mit zusätzlichen Aufwänden einher, die Ressourcen und Produktionszeiten beeinflussen können. Die neue Gesetzgebung verspricht erhebliche Vorteile für Endbenutzende, da sie das Sicherheitsniveau anhebt und die Risiken im Bereich Cyber Security maßgeblich minimiert. Hersteller stehen jedoch vor einigen Herausforderungen, die mit zusätzlichen Aufwänden einhergehen. Doch es lohnt sich, diese Herausforderungen einzugehen, denn Verstöße können dazu führen, dass Behörden Produktverbesserungen oder Rückrufe verlangen und Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes verhängen.
Doch es gibt Hoffnung, denn die grundlegenden Anforderungen, wie sie durch den CRA definiert sind, werden durch den sicheren Entwicklungsprozess gemäß IEC 62443-4-1 und die funktionalen Vorgaben nach IEC 62443-4-2 abgedeckt. Eine Implementierung der Norm IEC 62443 ist demnach empfehlenswert.
Zeitplan des CRA
Der Startschuss ist gefallen. Jetzt ist der Zeitpunkt, Maßnahmen einzurichten und sich gemeinsam vorzubereiten. Der Cyber Resilience Act (CRA) wurde am 10. Dezember 2024 offiziell veröffentlicht. Bis zum 11. September 2026 müssen alle Produkte ein konformes Schwachstellenmanagementsystem haben. Ab dem 11. Dezember 2027 ist die volle Umsetzung des CRA erforderlich, und alle relevanten Produkte müssen die Anforderungen erfüllen, um das CE-Kennzeichen zu erhalten.
Jetzt ist die Zeit zu handeln, um die neuen Sicherheitsstandards zu erfüllen und die Wettbewerbsfähigkeit zu sichern.
Unser vollständiges 360°-Security-Konzept
Wir bei Phoenix Contact setzen auf einen umfassenden 360°-Sicherheitsansatz, der sichere Produkte als zentrales Element integriert. Die Entwicklung sicherer Produkte erfolgt gemäß den Standards der IEC 62443-4-1, während die Anforderungen an Security-Funktionen nach IEC 62443-4-2 erfüllt werden. Das PSIRT-Team (Product Security Incident Response Team) ist für die effektive Behandlung von Schwachstellen verantwortlich.
Um den neuen gesetzlichen Anforderungen gerecht zu werden, ist Phoenix Contact dank dieser Strategie gut positioniert. Zusätzlich bieten wir unseren Kunden sichere Applikationslösungen und Dienstleistungen an. Die unabhängige Zertifizierung durch den TÜV SÜD bestätigt die Einhaltung der Cyber-Security-Prozesse gemäß IEC 62443.