EU Cyber Resilience Act
EU Cyber Resilience Act
Security by Design becomes Law
Der EU Cyber Resilience Act (CRA) wird Security-Anforderungen für Hersteller, Importeure und Distributoren jeglicher Software- & Hardware-Produkte, inklusive Produkte für Smart Home, Smart Building, Industrial IoT, etc. stellen. Ziel des Gesetzes ist es, Produkte sicherer zu machen und zu gewährleisten, dass Hersteller während des gesamten Produktlebenszyklus für die Cybersecurity verantwortlich bleiben. Somit wird „Security by Design“ gesetzlich EU weit vorgeschrieben!
Das Gesetz soll nach aktuellem Stand (Nov. 2022) im Jahr 2024 in Kraft treten und betrifft damit alle Produkte, die sich heute in einer frühen Konzeptphase befinden oder bereits entwickelt werden. Im Jahr 2026 wird das Gesetz voraussichtlich dann für alle Produkte auf dem Markt gelten und betrifft damit auch Produkte, deren Entwicklung bereits abgeschlossen ist.
Sobald der Cyber Resilience Act in Deutschland und der EU in Kraft tritt, werden zeitnah CRA konforme Produkte am Markt verfügbar sein. Hersteller solcher Produkte können insbesondere zu Beginn einen deutlichen Wettbewerbsvorteil für sich erzielen. Hersteller, die erst zu diesem Zeitpunkt mit der CRA konformen Entwicklung beginnen, werden sich im Gegenzug mit einem Wettbewerbsnachteil konfrontiert sehen. Daneben drohen auch durch den Gesetzgeber empfindliche Strafen von bis zu 15 Mio € oder 2,5% des letzten Jahresumsatzes (was höher ist). Außerdem werden zukünftig nationale Marktüberwachungsbehörden nicht-konforme Produkte vom Markt verbannen können.
Welche Security-Anforderungen stellt der EU Cyber Resilience Act an die einzelnen Phasen eines gesamten Produktlebenszyklus?
Was gilt es pro Phase zu berücksichtigen?
Konzeptionsphase
Von der ersten Produktidee bis hin zur endgültigen Freigabe des Produktes für eine Vor- oder Serienentwicklung sollten die Anforderungen des EU Cyber Resilience Act (CRA) bereits beachtet werden. Diese haben nicht nur Einfluss auf die Abschätzung der Entwicklungszeit und –kosten, sondern auch auf die spätere Wettbewerbsfähigkeit des Produktes.
Gerade in der frühen Konzeptionsphase ist es wichtig herauszufinden, welche organisatorischen Anforderungen das Gesetz bereits in Ihrem Unternehmen erfolgreich abgedeckt sind. Beispielsweise fordert der CRA im aktuellen Entwurf einen Kontaktpunkt innerhalb ihres Unternehmens an dem Benutzer*innen Schwachstellen melden können. Dies sollte idealerweise unternehmensweit organisiert sein.
Sobald für eine Produktidee konkrete technische Umsetzungen geplant werden, ist es an der Zeit ein Security Risk Assessment, wie z.B. mit der CONCRY Methode, durchzuführen. Das Ergebnis eines solchen Assessments zeigt dann alle potentiellen Sicherheitslücken auf, aus denen Maßnahmen oder Security Features für dieses Produkt abgeleitet werden. Das kann von relativ einfachen Maßnahmen, wie der Vermeidung von Standardpasswörtern bis hin zu komplexeren Maßnahmen, wie die Verwendung von Trusted Execution Environments (TEEs) reichen.
Sie konzeptionieren gerade ein neues Produkt? Kontaktieren Sie unsere Spezialisten, um frühzeitig die Anforderungen des EU Cyber Resilience Acts in Ihr Produkt einfließen zu lassen!
Entwicklungsphase
Während der eigentlichen Entwicklungsphase des Produkts stellt der EU Cyber Resilience Act (CRA) vielschichtige Anforderungen, um am Ende der Entwicklung ein sicheres Produkt zu gewährleisten. Gerade in dieser Phase ist das aktive Management von Entwicklungskosten & -zeit verbunden mit dem Ziel eines CRA konformen Produkts sehr wichtig. Im Fokus stehen hier die Anforderungen des CRAs rund um das Produkt, aber es sind auch weitere organisatorischen Maßnahmen für die Markteinführung und Produktpflege vorzubereiten.
Die Entwicklung des Produkts steht an
Um keinen negativen Einfluss auf Entwicklungskosten & -zeit zu haben, ist es sinnvoll frühzeitig die Anforderungen des EU Cyber Resilience Acts (CRA) in Ihr Produkt mit einzuplanen.
Ein » CRA Readiness Assessment für Ihr Unternehmen oder ein » Security Risk Assessment für Ihr Produkt, wie mit der » CONCRY Methode, sind gute Startpunkte, um bereits in der Konzeptionsphase alle notwendigen Security Features für das neue Produkt einzuplanen.
Das Produkt befindet sich bereits in der Entwicklung
Egal ob die Produktentwicklung gerade gestartet wurde oder kurz vor dem Abschluss steht, es ist wichtig zu überprüfen, ob die Anforderungen des EU Cyber Resilience Acts (CRA) an die Produktentwicklung erfüllt werden.
Ein guter Startpunkt ist hier ein » CRA Readiness Assessment für Ihr Produkt, um eine schnelle Information zu bekommen, wo die Anforderungen erfüllt werden bzw. wo noch Raum für Besserungen ist.
Produktbezogene Risikoanalyse
Idealerweise wurde bereits in der Konzeptionsphase ein Security Risk Assessement z.B. in einem CONCRY Workshop durchgeführt, dass die Security Features des Produkts definiert hat. Diese Features werden nun entsprechend umgesetzt und getestet.
Unternehmensweite Anforderungen
Der nächste wichtige Schritt ist dann das CRA Readiness Assessment für Ihr Unternehmen. Hierbei wird untersucht, inwieweit Ihr Unternehmen den Anforderungen das Cyber Resilience Acts genügt. Ein Beispiel für eine solche Anforderung ist:
- Der „Schwachstellenbehandlungsprozess“. In dem Prozess muss definiert werden, wie nach Markteinführung mit gemeldeten Schwachstellen umgegangen wird. Der Gesetzentwurf sieht derzeit vor, dass verifizierte Schwachstellen innerhalb von 24 Stunden an die ENSIA, die Agentur der Europäischen Union für Cybersicherheit, gemeldet werden müssen.
- Ein Kontaktpunkt bei dem Benutzer Schwachstellen für das eigentliche und weitere 3rd-Party-Produkte melden können.
Produktspezifische Anforderungen
Sollten Sie bereits mit der Entwicklung eines Produkts begonnen haben, ist das CRA Readiness Assessment für Ihr Produkt ein erster wichtiger Schritt zu untersuchen, inwieweit Ihre aktuelle Entwicklung den Anforderungen des CRAs genügt. Beispiele solcher Anforderungen sind:
- die Implementierung eines sicheren Update Mechanismus,
- eine Toolchain, die es erlaubt jedes Release 5 Jahre lang wiederherzustellen und zu patchen oder
- ausreichende technische Dokumentationen (z.B. eine Systemarchitektur inklusive der Softwarearchitektur, eine Software Bill of Materials) oder Benutzer Dokumentationen einschließlich einer Beschreibung der Security-gerechten In- & Außerbetriebnahme des Produkts.
Am Abschluss der Entwicklung steht die Konformität zum EU Cyber Resilience Act (CRA). Für die meisten Produkte reicht hier eine Hersteller-Selbsterklärung; bei bestimmten Produktklassen (gerade im IIoT Bereich) sind aber weitere Schritte notwendig, wie beispielsweise eine Zertifizierung.
Egal wo Sie in Ihrer Produktentwicklung stehen, wir helfen Ihnen gerne bei der Bewertung der Anforderungen des EU Cyber Resilience Acts (CRA) an Ihre Produktentwicklung, bei Implementierung und Testing der Security Features und aller anderer Aspekte rund um den CRA! – Jetzt unsere Experten kontaktieren!
Markteinführung & Produktpflege
Nach der Entwicklung kann das Produkt in den Markt eingeführt werden. Auf Grundlage einer EU Cyber Resilience Act (CRA) gerechten Entwicklung, können nun die erstellten Dokumentationen veröffentlicht werden und der Schwachstellenbehandlungsprozess geht live.
Neben der Möglichkeit, dass Benutzer*innen Schwachstellen melden können, beginnen nun auch die 5 Jahre, in denen Hersteller ihre angemessene Sorgfalt, die sogenannte Due Diligence, in Bezug auf Security nachkommen müssen und durch Tests, Reviews und Marktbeobachtung Schwachstellen identifizieren und durch kostenlose Security Updates beheben müssen.
Das bieten wir Ihnen
Auf Ihrem Weg zu einem Cyber Resilience Act (CRA) konformen Produkt unterstützen wir Sie in allen Security by Design Fragen von den ersten Produktidee über die gesamte Konzeption bis hin zur Entwicklung Ihres Produkts. Darüber hinaus unterstützen und begleiten wir Sie bei der Analyse der Anforderungen des CRAs an Ihr Unternehmen.
- CRA Readiness Assessment für Ihr Unternehmen
Ein kurzer Workshop oder eine kleine Interviewserie mit dem Ziel herauszuarbeiten, welche Anforderungen des CRAs an Ihr Unternehmen und die Unternehmensprozesse bereits erfolgreich umgesetzt sind und wo es noch Raum zur Verbesserung gibt. Vor Durchführung erhalten Sie zur Vorbereitung von uns Informationen und konkrete Fragen. So vorbereitet können wir in wenigen gemeinsamen Terminen oder Workshops den aktuellen Stand Ihres Unternehmens erfassen und konkrete Handlungsoptionen ableiten.
- CRA Readiness Assessment für Ihr Produkt
Ein kurzer Workshop mit dem Ziel herauszuarbeiten, welche Anforderungen des CRA an das zu entwickelnde Produkt bereits erfolgreich umgesetzt sind und wo es noch Raum zur Verbesserung gibt.
Vor Durchführung erhalten Sie zur Vorbereitung von uns Informationen und konkrete Fragen bzw. bitten wir um eine Liste an Entwicklungsartefakten (z.B. eine Systemarchitektur und ein bereits durchgeführtes Risk Assessment), die wir uns bei einem effizienten Workshop gemeinsam anschauen und bewerten. Aus den Bewertungen Ihrer bisherigen Entwicklungsergebnisse können wir den aktuellen Stand Ihres Produktess erfassen und konkrete Handlungsoptionen ableiten.
- Die CRA Readiness Assessments für Produkt und Unternehmen kann in allen Produkt-Phasen überaus hilfreich sein. Wir empfehlen dies aber vor allem, wenn eine Produktentwicklung ohne Berücksichtigung an die Anforderungen des CRA gestartet wurde.
- CONCRY Workshop - unser Security Risk Assessment
Wir analysieren in einer kleinen Workshopreihe Ihr Produkt auf mögliche Schwachstellen und schützenswerte Ziele. Dazu untersuchen wir das Produktumfeld auf mögliche Bedrohungen, bewerten und dokumentieren die daraus resultierenden Risiken und entwerfen Maßnahmen zur Absicherung. Bei » CONCRY liegt der Fokus unter anderem auf der Agilität der Methodik: So kann das Vorgehen innerhalb einer grob festgelegten Rahmenstruktur an Ihre Sicherheitsziele und –anforderungen, wie dem CRA, angepasst werden.
- Kompetenter und erfahrener Entwicklungspartner,
der Sie entwicklungsbegleitend berät und supportet rund um Fragen von Tooling & Toolchain für die Anforderungen aus dem Cyber Resilience Act (CRA), z.B. automatische Erstellung von Software Bill of Materials (SW BoMs). Darüber hinaus unterstützen wir Sie auch operativ bei Implementierung und Testing Ihres Produkts, inklusive von Security Features, bis hin zur Serienreife.
Die Anwendung von Security by Design wird durch die Anforderungen des EU Cyber Resilience Act (CRA) zu einem Gesetz und damit zu einer unumgänglichen Handlungsaufforderung in jeder Produktentwicklung! Auch wenn sich noch Details im Gesetzgebungsprozess ändern werden, werden sich durch dieses Gesetz weitereichenden Änderungen von der Konzeption über die Entwicklung bis hin zur Produktpflege ergeben. Es ist sehr wahrscheinlich, dass das Gesetz entweder ganz oder in Teilen Anwendung finden wird. Die Sicherheit der Produkte wird auf Grund der derzeitigen Weltlage weiter im Fokus der Behörden bleiben.
Mit unserer jahrelangen Erfahrung in der Produktkonzeption, -entwicklung und Security von Connected Embedded Devices unterstützen wir Sie kompetent bei der Umsetzung des neuen Gesetzes in Ihrem Produkt. Unser Ziel ist dabei, dass Sie und Ihr Produkt bereits jetzt CRA-ready sind.
Die auf dieser Webseite enthaltenen Informationen stellen keine Rechtsberatung dar und sind auch nicht als solche gedacht; stattdessen dienen alle auf dieser Webseite verfügbaren Informationen, Inhalte und Materialien nur allgemeinen Informationszwecken. Die Informationen auf dieser Webseite stellen möglicherweise nicht die aktuellen rechtlichen oder sonstigen Informationen dar. Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der zur Verfügung gestellten Informationen kann daher nicht übernommen werden.
Die Leser dieser Webseite sollten sich an Ihren Anwalt wenden, um sich in dieser bestimmten Rechtsangelegenheit beraten zu lassen. Kein Leser oder Nutzer sollte auf der Grundlage der Informationen aus dieser Webseite handeln oder davon absehen, ohne zuvor einen Rechtsbeistand in der Ihn betreffenden Rechtsordnung zu konsultieren. Nur Ihr persönlicher Anwalt kann Ihnen versichern, dass die hierin enthaltenen Informationen - und Ihre Interpretation derselben - auf Ihre spezielle Situation anwendbar oder angemessen sind. Durch die Nutzung dieser Webseite oder der darin enthaltenen Ressourcen und den Zugriff darauf entsteht kein Mandatsverhältnis zwischen dem Leser oder Nutzer und den Autoren der Webseite, den Mitwirkenden, den beitragenden Anwaltskanzleien oder den Ausschussmitgliedern und ihren jeweiligen Arbeitgebern.
Quelle: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act mit Stand vom 15. 09.2022.
Möchten Sie auf die Anforderungen des EU Cyber Resilience Acts (CRA) vorbereitet sein?
Dann sind wir Ihr Partner für Security by Design für Embedded Devices.
Wir entwickeln gemeinsam mit Ihnen ein CRA konformes Vorgehen und setzen dieses professionell in Ihrem Produkt um.
Ansprechpartner und Standorte
Dortmund
Paderborn
Köln
