Cyber Resilience Act: EU stärkt Sicherheitsanforderungen für vernetzte Geräte und Software. (Bild: pickup @ AdobeStock)
Der am 10. Dezember 2024 verabschiedete Cyber Resilience Act (CRA) der Europäischen Kommission stellt die bisher umfassendste Regelung zur Cybersicherheit vernetzter Produkte in Europa dar. Alle Hersteller von Geräten mit „digitalen Elementen“, also alle smarten Produkte für Industrie, Consumer oder Unternehmen, müssen die neuen Sicherheitsvorgaben bereits innerhalb der Produktentwicklung berücksichtigen. Denn die ersten Vorschriften des CRA finden bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung. Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cybersicherheitsanforderungen des Cyber Resilience Act vollständig erfüllen. Dabei sind Hersteller, Importeure und Händler gleichermaßen gefordert: Denn ohne CRA-Konformität gibt es kein CE-Kennzeichen.
Security by Design sorgt für Compliance
Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung. Darüber hinaus fordert der EU CRA eine Software Bill of Materials (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: Kritisch, Wichtig und Sonstige. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.
Die Umsetzungsfrist von 24 beziehungsweise 36 Monaten seit Inkrafttreten stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen deshalb schnellstmöglich Best Practices zur Cybersicherheit implementieren. Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie RED II (EN 18031) und IEC 62443-4-2 zu berücksichtigen. Spezielle Compliance Tools können helfen, indem sie eine schnelle, einfache und damit effiziente Cybersicherheitsbewertung der Software von Produkten ermöglichen.
Welche Auswirkungen hat der CRA schon jetzt?
Um den neuen Anforderungen gerecht zu werden, müssen Unternehmen Sicherheitslücken in ihren Produkten erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchführen. Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss. Neue Schwachstellen sind laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.
Die CRA-Vorgaben betreffen den gesamten Lebenszyklus smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme. Hersteller sind verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, kann sich auch dieser Zeitraum entsprechend verkürzen. Bei Produktlaufzeiten von 10 oder 20 Jahren oder sogar länger dagegen müssen auch die Überwachung, Wartung, das Schwachstellenmanagement und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden.
Die Umsetzung des Cyber Resilience Act stellt Hersteller vor erhebliche praktische Herausforderungen, etwa in der industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten. In der IoT-Industrie, etwa bei smarten Haushaltsgeräten, ist die ständige Pflege der Software Bill of Materials ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben. Die Unternehmen müssen eng mit den Zulieferern zusammenarbeiten und Werkzeuge wie Binär-Analyselösungen zur Prüfung von Fremdsoftware einsetzen, um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten.
KI-basierende Technologie ermöglicht Compliance
„Nur mit automatisierten Prozessen und Werkzeugen zur Schwachstellen- und Compliance-Analyse lassen sich die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens Onekey. Die Kombination der automatisierten Onekey Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Die KI-basierende Technologie identifiziert Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware innerhalb von Minuten vollautomatisch im Binärcode - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte SBOM-Erstellung lassen sich Software-Lieferketten proaktiv überprüfen. Digital Cyber Twins ermöglichen die automatisierte 24/7-Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus. Der zum Patent angemeldete, integrierte Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.