Der EU Cyber Resilience Act (CRA) wird Security-Anforderungen für Hersteller, Importeure und Distributoren jeglicher Software- & Hardware-Produkte, inklusive Produkte für Smart Home, Smart Building, Industrial IoT, etc. stellen. Ziel des Gesetzes ist es, Produkte sicherer zu machen und zu gewährleisten, dass Hersteller während des gesamten Produktlebenszyklus für die Cybersecurity verantwortlich bleiben. Somit wird „Security by Design“ gesetzlich EU weit vorgeschrieben!
Das Gesetz soll nach aktuellem Stand (Nov. 2022) im Jahr 2024 in Kraft treten und betrifft damit alle Produkte, die sich heute in einer frühen Konzeptphase befinden oder bereits entwickelt werden. Im Jahr 2026 wird das Gesetz voraussichtlich dann für alle Produkte auf dem Markt gelten und betrifft damit auch Produkte, deren Entwicklung bereits abgeschlossen ist.
Sobald der Cyber Resilience Act in Deutschland und der EU in Kraft tritt, werden zeitnah CRA konforme Produkte am Markt verfügbar sein. Hersteller solcher Produkte können insbesondere zu Beginn einen deutlichen Wettbewerbsvorteil für sich erzielen. Hersteller, die erst zu diesem Zeitpunkt mit der CRA konformen Entwicklung beginnen, werden sich im Gegenzug mit einem Wettbewerbsnachteil konfrontiert sehen. Daneben drohen auch durch den Gesetzgeber empfindliche Strafen von bis zu 15 Mio € oder 2,5% des letzten Jahresumsatzes (was höher ist). Außerdem werden zukünftig nationale Marktüberwachungsbehörden nicht-konforme Produkte vom Markt verbannen können.
Von der ersten Produktidee bis hin zur endgültigen Freigabe des Produktes für eine Vor- oder Serienentwicklung sollten die Anforderungen des EU Cyber Resilience Act (CRA) bereits beachtet werden. Diese haben nicht nur Einfluss auf die Abschätzung der Entwicklungszeit und –kosten, sondern auch auf die spätere Wettbewerbsfähigkeit des Produktes.
Gerade in der frühen Konzeptionsphase ist es wichtig herauszufinden, welche organisatorischen Anforderungen das Gesetz bereits in Ihrem Unternehmen erfolgreich abgedeckt sind. Beispielsweise fordert der CRA im aktuellen Entwurf einen Kontaktpunkt innerhalb ihres Unternehmens an dem Benutzer*innen Schwachstellen melden können. Dies sollte idealerweise unternehmensweit organisiert sein.
Sobald für eine Produktidee konkrete technische Umsetzungen geplant werden, ist es an der Zeit ein Security Risk Assessment, wie z.B. mit der CONCRY Methode, durchzuführen. Das Ergebnis eines solchen Assessments zeigt dann alle potentiellen Sicherheitslücken auf, aus denen Maßnahmen oder Security Features für dieses Produkt abgeleitet werden. Das kann von relativ einfachen Maßnahmen, wie der Vermeidung von Standardpasswörtern bis hin zu komplexeren Maßnahmen, wie die Verwendung von Trusted Execution Environments (TEEs) reichen.
Sie konzeptionieren gerade ein neues Produkt? Kontaktieren Sie unsere Spezialisten, um frühzeitig die Anforderungen des EU Cyber Resilience Acts in Ihr Produkt einfließen zu lassen!
Während der eigentlichen Entwicklungsphase des Produkts stellt der EU Cyber Resilience Act (CRA) vielschichtige Anforderungen, um am Ende der Entwicklung ein sicheres Produkt zu gewährleisten. Gerade in dieser Phase ist das aktive Management von Entwicklungskosten & -zeit verbunden mit dem Ziel eines CRA konformen Produkts sehr wichtig. Im Fokus stehen hier die Anforderungen des CRAs rund um das Produkt, aber es sind auch weitere organisatorischen Maßnahmen für die Markteinführung und Produktpflege vorzubereiten.
Um keinen negativen Einfluss auf Entwicklungskosten & -zeit zu haben, ist es sinnvoll frühzeitig die Anforderungen des EU Cyber Resilience Acts (CRA) in Ihr Produkt mit einzuplanen.
Ein » CRA Readiness Assessment für Ihr Unternehmen oder ein » Security Risk Assessment für Ihr Produkt, wie mit der » CONCRY Methode, sind gute Startpunkte, um bereits in der Konzeptionsphase alle notwendigen Security Features für das neue Produkt einzuplanen.
Egal ob die Produktentwicklung gerade gestartet wurde oder kurz vor dem Abschluss steht, es ist wichtig zu überprüfen, ob die Anforderungen des EU Cyber Resilience Acts (CRA) an die Produktentwicklung erfüllt werden.
Ein guter Startpunkt ist hier ein » CRA Readiness Assessment für Ihr Produkt, um eine schnelle Information zu bekommen, wo die Anforderungen erfüllt werden bzw. wo noch Raum für Besserungen ist.
Idealerweise wurde bereits in der Konzeptionsphase ein Security Risk Assessement z.B. in einem CONCRY Workshop durchgeführt, dass die Security Features des Produkts definiert hat. Diese Features werden nun entsprechend umgesetzt und getestet.
Der nächste wichtige Schritt ist dann das CRA Readiness Assessment für Ihr Unternehmen. Hierbei wird untersucht, inwieweit Ihr Unternehmen den Anforderungen das Cyber Resilience Acts genügt. Ein Beispiel für eine solche Anforderung ist:
Sollten Sie bereits mit der Entwicklung eines Produkts begonnen haben, ist das CRA Readiness Assessment für Ihr Produkt ein erster wichtiger Schritt zu untersuchen, inwieweit Ihre aktuelle Entwicklung den Anforderungen des CRAs genügt. Beispiele solcher Anforderungen sind:
Am Abschluss der Entwicklung steht die Konformität zum EU Cyber Resilience Act (CRA). Für die meisten Produkte reicht hier eine Hersteller-Selbsterklärung; bei bestimmten Produktklassen (gerade im IIoT Bereich) sind aber weitere Schritte notwendig, wie beispielsweise eine Zertifizierung.
Egal wo Sie in Ihrer Produktentwicklung stehen, wir helfen Ihnen gerne bei der Bewertung der Anforderungen des EU Cyber Resilience Acts (CRA) an Ihre Produktentwicklung, bei Implementierung und Testing der Security Features und aller anderer Aspekte rund um den CRA! – Jetzt unsere Experten kontaktieren!
Nach der Entwicklung kann das Produkt in den Markt eingeführt werden. Auf Grundlage einer EU Cyber Resilience Act (CRA) gerechten Entwicklung, können nun die erstellten Dokumentationen veröffentlicht werden und der Schwachstellenbehandlungsprozess geht live.
Neben der Möglichkeit, dass Benutzer*innen Schwachstellen melden können, beginnen nun auch die 5 Jahre, in denen Hersteller ihre angemessene Sorgfalt, die sogenannte Due Diligence, in Bezug auf Security nachkommen müssen und durch Tests, Reviews und Marktbeobachtung Schwachstellen identifizieren und durch kostenlose Security Updates beheben müssen.
Auf Ihrem Weg zu einem Cyber Resilience Act (CRA) konformen Produkt unterstützen wir Sie in allen Security by Design Fragen von den ersten Produktidee über die gesamte Konzeption bis hin zur Entwicklung Ihres Produkts. Darüber hinaus unterstützen und begleiten wir Sie bei der Analyse der Anforderungen des CRAs an Ihr Unternehmen.
Die Anwendung von Security by Design wird durch die Anforderungen des EU Cyber Resilience Act (CRA) zu einem Gesetz und damit zu einer unumgänglichen Handlungsaufforderung in jeder Produktentwicklung! Auch wenn sich noch Details im Gesetzgebungsprozess ändern werden, werden sich durch dieses Gesetz weitereichenden Änderungen von der Konzeption über die Entwicklung bis hin zur Produktpflege ergeben. Es ist sehr wahrscheinlich, dass das Gesetz entweder ganz oder in Teilen Anwendung finden wird. Die Sicherheit der Produkte wird auf Grund der derzeitigen Weltlage weiter im Fokus der Behörden bleiben.
Mit unserer jahrelangen Erfahrung in der Produktkonzeption, -entwicklung und Security von Connected Embedded Devices unterstützen wir Sie kompetent bei der Umsetzung des neuen Gesetzes in Ihrem Produkt. Unser Ziel ist dabei, dass Sie und Ihr Produkt bereits jetzt CRA-ready sind.
Die auf dieser Webseite enthaltenen Informationen stellen keine Rechtsberatung dar und sind auch nicht als solche gedacht; stattdessen dienen alle auf dieser Webseite verfügbaren Informationen, Inhalte und Materialien nur allgemeinen Informationszwecken. Die Informationen auf dieser Webseite stellen möglicherweise nicht die aktuellen rechtlichen oder sonstigen Informationen dar. Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der zur Verfügung gestellten Informationen kann daher nicht übernommen werden.
Die Leser dieser Webseite sollten sich an Ihren Anwalt wenden, um sich in dieser bestimmten Rechtsangelegenheit beraten zu lassen. Kein Leser oder Nutzer sollte auf der Grundlage der Informationen aus dieser Webseite handeln oder davon absehen, ohne zuvor einen Rechtsbeistand in der Ihn betreffenden Rechtsordnung zu konsultieren. Nur Ihr persönlicher Anwalt kann Ihnen versichern, dass die hierin enthaltenen Informationen - und Ihre Interpretation derselben - auf Ihre spezielle Situation anwendbar oder angemessen sind. Durch die Nutzung dieser Webseite oder der darin enthaltenen Ressourcen und den Zugriff darauf entsteht kein Mandatsverhältnis zwischen dem Leser oder Nutzer und den Autoren der Webseite, den Mitwirkenden, den beitragenden Anwaltskanzleien oder den Ausschussmitgliedern und ihren jeweiligen Arbeitgebern.
Quelle: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act mit Stand vom 15. 09.2022.