Der Cyber Resilience Act (CRA) wurde kürzlich im Amtsblatt der EU veröffentlicht. Die Verordnung enthält Vorgaben an die Cybersicherheit von Produkten mit digitalen Elementen. 36 Monate haben betroffene Unternehmen nun Zeit, die im CRA enthaltenen Anforderungen umzusetzen. Bestimmte Meldepflichten sind bereits in den nächsten 21 Monaten zu erfüllen. Wer genau steht in der Pflicht? Und was wird im CRA gefordert? Das Safety-Unternehmen Pilz gibt Tipps zur Umsetzung.
EU-Rechtsakt zur Cyberresilienz: Das Ziel des CRA ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen. Der CRA umfasst dafür eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte mit ein. Betroffen sind also Produkte sowohl aus dem B2C-Bereich, wie etwa Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme. Der CRA wurde heute im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft.
Die wichtigsten Anforderungen für Maschinenhersteller
Risikobewertung und -gewährleistung: Hersteller müssen Produkte so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Maß an Cybersicherheit gewährleistet ist.
Schwachstellenmanagement: Bekannte Schwachstellen sollen von dem Hersteller durch kostenlose Sicherheitsaktualisierungen beseitigt werden, sofern zwischen dem Hersteller und dem gewerblichen Nutzer nichts anderes vereinbart wurde.
Dokumentation: Hersteller müssen Schwachstellen und Komponenten ihrer Produkte identifizieren und dokumentieren.
Meldepflichten: Innerhalb 24 Stunden nach Bekanntwerden hat der Hersteller eine ausgenutzte Schwachstelle über die Meldeplattform der ENISA (European Union Agency for Cybersecurity) zu melden.
Was Maschinenhersteller jetzt tun können
Pilz empfiehlt allen Maschinenherstellern sich zeitnah mit den Anforderungen zu befassen und gemeinsam mit den Komponentenherstellern und den Betreibern Konzepte zur Zusammenarbeit zu entwickeln. In welcher Netzwerkzone soll eine Maschine betrieben werden? Wie soll mit Softwareupdates umgegangen werden? Wenn solche Fragen vorab geklärt sind, kann jeder Wirtschaftsakteur seine neuen organisatorischen und technischen Pflichten erfüllen. Pilz unterstützt seit Jahrzehnten Maschinenbauer und Anwender bei der Sicherheit ihrer Maschinen und Anlagen – auch bei den neuen Anforderungen zum Thema Industrial Security. Denn ohne Security ist eine Maschine samt getroffener Safety-Maßnahmen angreifbar und ungeschützt. Hier gilt es Vorsorgemaßnahmen zu treffen.
Praxistipps zur Umsetzung der CRA-Vorgaben
Stets auf dem Laufenden: Abonnements von Newslettern und RSS-Feeds auf eur-lex.europa.eu halten über Gesetzesänderungen auf EU-Ebene informiert.
Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, sogenannten Security Advisories.
