Arrow und NXP optimieren CRA-konforme Entwicklung

Arrow Electronics und NXP Semiconductors unterstützen Kunden bei der Vorbereitung auf den EU Cyber Resilience Act (CRA). Dieser legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten fest, die in der Europäischen Union vertrieben werden. Da der CRA am 11. Dezember 2027 vollständig inkraft tritt und bei Nichteinhaltung empfindliche Bußgelder drohen, müssen Hersteller nachweisen, dass Cybersicherheit von der Entwicklung über die Bereitstellung bis hin zum Lebenszyklusmanagement in Produkte integriert ist. Alle neuen Designs sollten also bereits über integrierte Cybersicherheit verfügen.

Um dem gerecht zu werden, kombiniert Arrow die Halbleiter- und Sicherheitsexpertise von NXP mit den Entwicklungskompetenzen von eInfochips, einem Unternehmen von Arrow. Durch die Nutzung der Secure-by-Design-Technologien und der Sicherheitsdokumentation von NXP kann eInfochips die CRA-konforme Entwicklung optimieren und den Aufwand für die Einhaltung der CRA-Vorschriften reduzieren. Der koordinierte Prozess erstreckt sich von der Risikobewertung in der Frühphase bis zur sicheren Bereitstellung und schafft so einen strukturierten und wiederholbaren Weg zur Einhaltung der Vorschriften.

Cybersicherheit im gesamten Produktlebenszyklus

Der Prozess beginnt bei eInfochips mit einer gemeinsamen Risikoanalyse mit dem Endkunden. Diese umfasst die Bedrohungsmodellierung und die Definition von Cybersicherheitsanforderungen gemäß IEC 62443-4-1. Das Ergebnis ist ein dokumentierter Cybersicherheitsplan und ein Anforderungsrahmen, der die Entwicklungsaktivitäten über den gesamten Produktlebenszyklus hinweg steuert. Das Unternehmen unterstützt Hardware Design, Firmware-Entwicklung sowie die Entwicklung von Cloud- und mobilen Anwendungen. Cybersicherheit ist dabei in den gesamten Produktlebenszyklus integriert: Bedrohungsmodellierung, Risikobewertung, sichere Programmierung, SAST, DAST, PAN-Tests und die Implementierung in Projekten, die auf die Einhaltung von IEC 62443, RED3.3 oder CRA abzielen.

Cyber-Resilience-Act: Neue Pflichten für Distributoren

Der Cyber Resilience Act stellt Distributoren vor neue Pflichten. Im Interview erklärt der FBDi, welche Rollenveränderungen drohen, wo Regulierung noch unklar ist – und wie sich die Branche jetzt vorbereiten muss.

Die Sicherheitstechnologien von NXP, darunter EdgeLock Secure Enclave und EdgeLock Secure Elements und Authenticators, bieten Hardware Roots of Trust, schützen Geräteanmeldeinformationen und sichern sensible Daten. Secure Enclave stärkt zusätzlich die Plattformintegrität. Diese Sicherheitsgrundlagen tragen dazu bei, die wesentlichen CRA-Anforderungen hinsichtlich Geräteintegrität, Authentifizierung, Zugriffskontrolle, Zertifizierung, Datenschutz und Update-Integrität zu erfüllen.

Nach der Entwicklung sorgt Arrow für eine sichere Bereitstellung. Dabei werden Geräteidentität und sichere Konfiguration eingerichtet und gleichzeitig die CRA-konforme Lifecycle-Sicherheit während des gesamten Einsatzes gewährleistet. Das Unternehmen nutzt den skalierbaren, cloudbasierenden EdgeLock 2GO-Service von NXP für sichere Bereitstellung und Anmeldeinformationsverwaltung und ermöglicht so die vertrauenswürdige Einbindung von Schlüsseln, Zertifikaten und Lifecycle-Anmeldeinformationen in großem Umfang. Dies unterstützt die CRA-relevanten Anforderungen für sichere Updates, Überwachung und Schwachstellenmanagement.