top of page

NIS2 und der Cyber Resilience Act (CRA) 

Der Cyber Resilience Act (CRA) der Europäischen Union stellt verbindliche Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen, die innerhalb der EU in Verkehr gebracht werden. Ziel ist es, bereits bei der Entwicklung, Bereitstellung und Wartung solcher Produkte für ein hohes Maß an IT-Sicherheit zu sorgen. Die Pflichten gelten insbesondere für Hersteller, Importeure und Händler von Software, vernetzter Hardware und digitalen Komponenten.

Untersuchen eines Schaltkreises

Was muss getan werden?

​

Secure-by-Design und Secure-by-Default

 

Hersteller müssen sicherstellen, dass ihre Produkte von Anfang an sicher konzipiert, entwickelt und getestet werden. Sicherheitsfunktionen müssen standardmäßig aktiviert sein („Secure by Default“) und dürfen nicht erst durch den Nutzer manuell aktiviert werden müssen. Die Angriffsfläche ist zu minimieren, z. B. durch Deaktivierung unnötiger Schnittstellen und Dienste.

​

Risikobasierter Entwicklungsansatz

 

Bereits in der Entwicklung ist eine systematische Risikobewertung durchzuführen. Dabei sind potenzielle Bedrohungen, Schwachstellen und Auswirkungen auf die Sicherheit zu identifizieren. Diese Risiken müssen dokumentiert und durch technische oder organisatorische Maßnahmen behandelt werden.

​

Sicherheitsupdates und Wartung

 

Hersteller müssen ihre Produkte über einen angemessenen Zeitraum mit Sicherheitsupdates versorgen – mindestens 5 Jahre, sofern nicht eine kürzere wirtschaftliche Lebensdauer nachweisbar ist. Updates müssen automatisiert oder einfach durchführbar sein und dürfen die Sicherheit nicht verschlechtern. Informationen zu Updates müssen transparent und verständlich dokumentiert sein.

​

Schwachstellenmanagement

 

Ein effektiver Prozess zur Erkennung, Behandlung und Kommunikation von Schwachstellen muss vorhanden sein. Dazu zählt auch die Verpflichtung, bekannte Schwachstellen in zugekauften Komponenten zu überwachen. Hersteller müssen über Mechanismen verfügen, wie Schwachstellen analysiert, behoben und nachverfolgt werden – inklusive Zeitplan und Verantwortlichkeiten.

​

Technische Dokumentation

 

Hersteller müssen für jedes Produkt eine umfassende technische Dokumentation bereitstellen, die u. a. folgende Punkte enthält:

 

  • Sicherheitsarchitektur und -funktionen

  • Risikobewertung

  • Schwachstellenmanagementprozess

  • Update- und Patchkonzept

  • Test- und Qualitätssicherungsverfahren

Konformitätsbewertung und CE-Kennzeichnung

 

Vor der Inverkehrbringung in der EU ist eine Konformitätsbewertung durchzuführen. Diese kann in vielen Fällen durch den Hersteller selbst erfolgen, bei besonders kritischen Produkten ist eine Prüfung durch eine benannte Stelle erforderlich (Third-Party Assessment).

Anschließend ist eine EU-Konformitätserklärung abzugeben und das Produkt mit einer CE-Kennzeichnung zu versehen – sie bescheinigt, dass das Produkt auch die Anforderungen an die Cybersicherheit nach dem CRA erfüllt.

​

Informationspflicht gegenüber Kunden

 

Hersteller müssen klar und verständlich dokumentieren:

 

  • Wie lange Sicherheitsupdates bereitgestellt werden

  • Wie das Produkt sicher konfiguriert und verwendet wird

  • Welche bekannten Risiken oder Einschränkungen bestehen

  • Was bei einem Sicherheitsvorfall zu tun ist

​

​

Ein ISMS ist nicht notwendig

​

Es kann geschlussfolgert werden, dass ein ISMS, z.B. auf Basis ISO/IEC 27001 nicht notwendig ist. Dennoch kann es hilfreich sein, da viele der Anforderungen in einem ISMS relevant sind und umgesetzt werden.

bottom of page