Industrial Cyber Security
Schützen Sie Ihre kritischen Betriebstechnologien vor Cyberbedrohungen mit den Industrial-Security-Lösungen von PwC.
EU Cyber Resilience Act
Ihre Expertin für Fragen
Siri Oberpottkamp
Senior Managerin bei PwC Deutschland
Tel.: +49 1516 4500068
E-Mail
Neue Anforderungen an die digitale Produktsicherheit
Vernetzte Geräte und Services nehmen im digitalen Zeitalter eine immer größere Rolle ein. Mit dem EU Cyber Resilience Act (CRA) hat die EU neue Cybersicherheitsanforderungen an Produkte mit digitalen Elementen definiert, um diese besser gegen Cyberangriffe zu schützen und die Cyber Security unterschiedlicher Produkte zu harmonisieren. Produkte, für die bereits einschlägige Cyber-Security-Regularien seitens der EU existieren, sind vom CRA deshalb ausgenommen, so bspw. Automotive-Produkte. Der CRA ist seit Dezember 2024 in Kraft, wobei die neuen Regelungen schrittweise mit einer Übergangsfrist von 36 Monaten greifen. Bereits nach 21 Monaten gelten für Produkthersteller allerdings Vorgaben zur Meldepflicht bei Sicherheitsvorfällen.
Video
CRA in 90 Sekunden
Video Player is loading.
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
More tools
0:02:32
Transcript
Kategorien des Cyber Resilience Act
Der Cyber Resilience Act betrifft Produkte mit digitalen Elementen – also Produkte, die eine Verbindung mit anderen Geräten oder Netzwerken herstellen können. Dies beinhaltet sowohl Software als auch Hardware. Der entscheidende Indikator für die Anwendbarkeit des CRA liegt in der grundsätzlichen Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten.
Die konkreten Verpflichtungen für Unternehmen sind abhängig von der Einstufung der Produkte, die sich aus Anhang III und IV des CRA ergeben. Der Gesetzgeber unterscheidet die Produkte mit aufsteigendem Sicherheitsrisiko in die folgenden vier Kategorien. Grundlegende Cyber-Security-Anforderungen (definiert für Default-Produkte) müssen von allen Herstellern von Produkten mit digitalen Elementen erfüllt werden.
Default-Produkte mit digitalen Elementen
Alle Produkte mit digitalen Elementen, die nicht in den Anhängen III und IV des CRA aufgeführt sind, wie z.B. viele Smart-Home-Systeme oder Industrial-IoT-Sensoren. Diese erfordert eine interne Konformitätsprüfung, die belegt, dass die Cybersicherheitsanforderungen aus dem CRA erfüllt werden.
Wichtige Produkte mit digitalen Elementen der Klasse 1
Produkte dieser Kategorie wie z. B. Mikroprozessoren oder Antivirensoftware erfüllen üblicherweise eine der folgenden Bedingungen:
- dienen einem cybersicherheitsrelevanten Zweck,
- stellen eine Funktion bereit, die das Risiko birgt, eine große Anzahl anderer Produkte zu beeinträchtigen,
- oder stellen ein Risiko für die Sicherheit einer großen Anzahl von Menschen dar.
Zum Nachweis der CRA-Konformität ist die Anwendung eines harmonisierten Standards oder alternativ eine externe Prüfung durch eine Prüfstelle gefordert.
Wichtige Produkte mit digitalen Elementen der Klasse 2
Produkte wie Firewalls oder Hypervisors erfordern verpflichtend eine externe Konformitätsprüfung. Sie erfüllen üblicherweise zwei oder mehr der Bedingungen aus Klasse 1, da diese Produkte bei einem Sicherheitsvorfall ein höheres Risiko darstellen können.
Kritische Produkte mit digitalen Elementen
Diese Produkte sind Teil des Anhangs IV und werden in kritischen Infrastrukturen eingesetzt, wie z. B. Smart-Meter-Gateways oder Smart Cards. Hier ist die Anwendung eines Zertifizierungssystems als Konformitätsnachweis erforderlich
Haben Sie Fragen zum CRA?
Kontaktieren Sie uns gerne
Was müssen Produkthersteller jetzt tun?
Unternehmen, deren Produkte in eine der o.g. Kategorien eingeordnet werden, müssen zukünftig sicherstellen, dass ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus gewährleistet ist, wie in Anhang I des CRAs ausgeführt.
Auch kleinere Unternehmen, die Produkte mit digitalen Elementen herstellen, müssen sicherstellen, dass ihre Produkte die CRA-Anforderungen erfüllen. Besonders bei limitierten Ressourcen ist es wichtig, frühzeitig auf standardisierte Konformitätsprüfungen und Security-by-Design zu setzen. KMUs sollten zudem prüfen, ob sie auf bestehende Zertifizierungen und Sicherheitslösungen zurückgreifen können. Da die EU die Herausforderungen für KMUs erkannt hat, werden diese gesondert betrachtet, bspw. erhalten sie zusätzliche Unterstützung und ausgewählte Anforderungen wurden für kleine Unternehmen angepasst.
Die CE-Kennzeichnung für Produkte mit digitalen Elementen ist zukünftig an die Erfüllung des Cyber Resilience Act gekoppelt. Hierbei ist entscheidend, den Security-Aspekt von Anfang an in den Entwicklungsprozess neuer Produkte mit einzubeziehen. Insbesondere Risiko Assessments und Security-by-Design sind hier elementare Bestandteile. Darüber hinaus muss das Produkt auch bei Auslieferung, Wartung und Entsorgung sicher sein, um den gesamten Produktlebenszyklus zu berücksichtigen.
Das hat zur Folge, dass potenzielle Risiken umfassend dokumentiert und regelmäßig überprüft werden müssen. Dies gilt auch für Schwachstellen eines Produktes. Angenommen, ein Hersteller entdeckt, dass eine Schwachstelle in der Software eines Smart-Home-Systems ausgenutzt wurde: Der Hersteller ist verpflichtet, die Schwachstelle innerhalb von 24 Stunden den zuständigen Behörden zu melden, damit weitere Schäden verhindert werden können. Zusätzlich müssen Kunden zeitnah über den Sicherheitsvorfall und verfügbare Patches informiert werden.
Die Hersteller tragen somit die Verantwortung, Sicherheitslücken über die gesamte Lebensdauer des Produktes zu identifizieren und zu beheben. Dies umfasst auch die Bereitstellung kostenloser Security-Updates.
Um diese Anforderungen erfüllen zu können, sollten innerhalb der eigenen Organisation rechtzeitig die erforderlichen Ressourcen und Prozesse geschaffen werden. Dabei sollten sowohl technische als auch prozessuale Maßnahmen berücksichtigt werden.
Was passiert bei Nichteinhaltung des Cyber Resilience Act?
Unternehmen, die den CRA nicht einhalten, riskieren hohe Geldstrafen und können ihre Produkte möglicherweise nicht mehr auf dem europäischen Binnenmarkt anbieten. Im Falle von schweren Verstößen drohen Strafen von bis zu 15 Millionen Euro oder 2,5 % des globalen Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dies unterstreicht die Bedeutung der frühzeitigen Umsetzung der Sicherheitsanforderungen.
Case Study: Sichere Produktentwicklung und CRA-Compliance
Mit Inkrafttreten des Cyber Resilience Acts sowie erhöhter Kundenanfragen in Bezug auf Cybersicherheit sah sich ein internationaler Anlagenbauer mit zahlreichen Anforderungen an die Security seiner Produkte konfrontiert. Mit dem Auftrag einer ganzheitlichen Product-Security-Strategie wandte sich das Unternehmen an unser interdisziplinäres Product Security Team, um fortan ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus zu gewährleisten.
Zum Download: Cyber Resilience Act Asset Library
Webcastaufzeichnungen, unser neuestes Whitepaper und Handlungempfehlungen – das gibt’s hier zum Download. Registrieren Sie sich einmalig für den Zugang zu all unseren CRA-Assets und sichern Sie sich alle relevanten Insights.
Auch interessant
Europäische NIS-2-Richtlinie
Welche Organisationen sind von der europäischen NIS-2-Richtlinie betroffen? Welche Anforderungen gibt es und wie können sie sich vorbereiten?
Digital Operational Resilience Act (DORA)
Erfahren Sie alles Wissenswerte über die DORA-Verordnung und die Auswirkungen auf den EU-Finanzsektor. Stärken Sie die Cyber-Resilienz Ihres Unternehmens.
Sicherheit in Kritischen Infrastrukturen
Informationen für Betreiber Kritischer Infrastrukturen und der novellierten BSI KRITIS-Verordnung im Rahmen des IT-Sicherheitsgesetz 2.0.
Follow us
