Anforderungen des Cyber Resilience Acts (CRA) für Unternehmen

Die zunehmende Zahl von Cyberangriffen und Sicherheitslücken in digitalen Produkten hat in der EU zur Einführung des Cyber Resilience Acts (CRA) geführt, der neue Sicherheitsanforderungen für IT-Produkte festlegt. Der CRA betrifft alle Unternehmen, die digitale Produkte auf den EU-Markt bringen und verpflichtet Hersteller dazu, hohe Sicherheitsstandards einzuhalten und die Resilienz ihrer Produkte zu gewährleisten.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act ist ein EU-weites Regelwerk, das darauf abzielt, einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, wie Software und Hardware, durchzusetzen. Dieser Rechtsrahmen deckt den gesamten Lebenszyklus eines Produkts ab – von der Entwicklung über die Markteinführung bis hin zur Wartung und Entsorgung.

Wichtige Sicherheitsanforderungen

Der CRA stellt sicher, dass IT-Produkte:

1. Sicher gestaltet und produziert werden: Dies bedeutet, dass potenzielle Sicherheitsrisiken während der gesamten Entwicklungsphase berücksichtigt werden.
2. Ohne bekannte Sicherheitslücken geliefert werden: Ein umfassender Schwachstellen-Check muss erfolgen, bevor das Produkt den Markt erreicht.
3. Datenschutz und -minimierung gewährleisten: Die Verarbeitung personenbezogener Daten soll auf das Notwendige beschränkt und Sicherheitsmechanismen wie Verschlüsselung angewandt werden.
4. Angriffsflächen minimieren: Unnötige Schnittstellen und Funktionen sollten deaktiviert sein, um das Risiko von Angriffen zu senken.

Detaillierte Standard-Anforderungen nach dem CRA

Die Anforderungen des CRA gliedern sich in verschiedene technische und organisatorische Maßnahmen, die in den EU-weit anerkannten Standards verankert sind. Zu den wohl wichtigsten Anforderungen zählen:

1. Cybersecurity by Design

• Anforderung: Produkte müssen mit einem integrierten Cybersicherheitskonzept entwickelt werden, das Sicherheitsaspekte von der Planung bis zur Markteinführung berücksichtigt.
• Standard: ISO/IEC 27002 und EN ISO/IEC 62443-4-1 legen fest, dass Cybersicherheit durch eine frühzeitige Risikoanalyse und durch sichere Programmierpraktiken gewährleistet werden muss.

2. Sichere Lieferung und Installation

• Anforderung: Alle digitalen Produkte müssen ohne bekannte Schwachstellen geliefert und mit einer sicheren Standardkonfiguration ausgeliefert werden.
• Standard: ISO/IEC 18045 verlangt eine gründliche Schwachstellenanalyse; ETSI EN 303 645 definiert Anforderungen für sichere Lieferpraktiken.

3. Minimierung von Datenverarbeitung und Datenschutz

• Anforderung: Das Produkt darf nur die minimal erforderlichen Daten verarbeiten und speichern, um den gewünschten Dienst zu erbringen, in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO).
• Standard: ISO/IEC 27701 und ETSI TS 103 485 beschreiben Mechanismen zur Minimierung und Sicherung der Verarbeitung personenbezogener Daten.

4. Schutz der Datenintegrität und -vertraulichkeit

• Anforderung: Die Vertraulichkeit und Integrität der Daten, die das Produkt speichert, verarbeitet oder überträgt, muss durch Verschlüsselung gewährleistet werden.
• Standard: ISO/IEC 18033 legt aktuelle Verschlüsselungsmethoden fest, und EN IEC 62443-4-2 beschreibt spezifische Anforderungen für industrielle Systeme.

5. Schutz vor unbefugtem Zugriff

• Anforderung: Produkte müssen vor unberechtigtem Zugriff geschützt sein, einschließlich Authentifizierungs-, Identitäts- und Zugriffsmanagement.
• Standard: ISO/IEC 24760 (Identitätsmanagement) und ETSI EN 303 645 (Authentifizierung und Zugriffsschutz für IoT-Geräte).

6. Resilienz und Schutz vor Ausfällen

• Anforderung: IT-Produkte müssen widerstandsfähig gegen Angriffe und Ausfälle sein und Mechanismen zur Erkennung und Abwehr von DoS-Angriffen bieten.
• Standard: ISO/IEC 27002 und EN IEC 62443-4-2 legen fest, wie kritische Funktionen vor Überlastungen geschützt werden können, beispielsweise durch Lastverteilung und Netzwerksegmentierung.

7. Aktivitätsaufzeichnung und -überwachung

• Anforderung: Relevante Sicherheitsereignisse und Systemaktivitäten müssen überwacht und aufgezeichnet werden, um Cyberangriffe zu erkennen und Reaktionen zu erleichtern.
• Standard: ISO/IEC 27002 und ETSI EN 303 645 verlangen, dass alle relevanten Sicherheitsvorfälle dokumentiert und für autorisierte Nutzer zugänglich sind.

Herausforderungen und Chancen für Unternehmen

Die Umsetzung des CRA kann zunächst als komplex erscheinen, bietet Unternehmen jedoch langfristig erhebliche Vorteile. Einhaltungspflichten fördern nicht nur die IT-Sicherheit, sondern stärken auch das Vertrauen der Kunden und schützen die Unternehmen vor potenziell teuren Sicherheitsvorfällen.

Fazit

Der Cyber Resilience Act fordert Hersteller und Unternehmen dazu auf, eine umfassende Cybersicherheitsstrategie zu entwickeln und umzusetzen. Durch die Einhaltung dieser Vorschriften minimieren Unternehmen nicht nur das Risiko von Cyberangriffen, sondern erfüllen auch die gesetzlichen Anforderungen für den EU-Markt.

Für Unternehmen bedeutet der CRA, dass

• regelmäßige Sicherheitsüberprüfungen Pflicht werden können,
• bewährte Methoden zur Bedrohungsanalyse und Risikominimierung implementiert werden sollten,
• Compliance mit den europäischen Standards zwingend erforderlich ist.

Durch die Einhaltung des CRA bleiben Unternehmen wettbewerbsfähig und schaffen eine sichere digitale Zukunft.