Lesezeit 2 min
Am 10. Dezember 2024 ist der Cyber Resilience Act (CRA, deutsch: Cyberresilienz-Verordnung (CRV)) in Kraft getreten. Sie legt ein Mindestmass an Cybersicherheit für elektronische Produkte (Hardware, Software, Datenfernverarbeitung) fest, für die es auf dem europäischen Markt keine spezifischen Vorschriften gibt (wie z.B. medizinsche Produkte oder kritrische Infrastruktur, für die eigene Verordnungen gelten). Die Verordnung sieht ein stufenweises Vorgehen vor, bis sie ab dem 11. Dezember 2027 für alle neuen Produkte eingehalten werden muss.
Wichtig zu wissen ist, dass aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle bereits ab dem 11. September 2026 gemeldet werden müssen.
Was muss ich tun?
Cybersicherheit in der Produktentwicklung
Die CRA stellt konkrete Anforderungen, welche in der Produktentwicklung berücksichtigt werden müssen. Dabei gelten die Grundsätze Security by Design und Security by Default. Die geforderte Risikobewertung stellt sicher, dass die Vorgaben des CRA eingehalten werden und mögliche Bedrohungen weder unter- noch überschätzt werden und somit eine Fehlplanung von Massnahmen vermieden wird.
Cybersicherheitsnachweis erbringen
Durch Prozesse (z.B. IEC 62443) und durch die Dokumentation der Prozessergebnisse wird die Einhaltung der CRA sichergestellt. In Abhängigkeit von der Produktkategorie kann der Nachweis der Sicherheit selbst erbracht werden oder es muss eine benannten Stelle eingeschaltet werden.
Die CRA legt die Kategorien «Standard/ Basis Produkte», «Wichtige Produkte» und «Kritische Produkte» fest. Die Produktkategorien haben keinen Einfluss auf die erforderlichen Tätigkeiten (Prozesse), sondern nur auf die Konformitätsbewertungsverfahren (Erbringung des Nachweises).
Cybersicherheit während der Produktlebensdauer
Die Cybersicherheit muss für die erwartete Lebensdauer des Produkts, mindestens jedoch für 5 Jahre, gewährleistet sein. Dies geschieht durch regelmässige und wirksame Prüfungen der Cybersicherheit (z.B. Penetrationstests). Dazu gehört auch die Aktualisierung der Risikobewertung. Schwachstellen im Produkt müssen unverzüglich gemeldet und durch Software-Updates behoben werden. All diese Aktivitäten müssen geplant und dokumentiert werden. Auch hier sorgen Prozesse dafür, dass dies geschieht.
Und was sonst noch?
Verschiedene Aspekte der CRA sind noch unklar. Es gibt noch keine harmonisierten Normen und keine notifizierten Stellen. Letztere sollen 2026 zur Verfügung stehen.
Produkte, die bereits auf dem Markt sind, fallen nicht unter die CRA, solange sie nicht wesentlich geändert werden. Leitlinien zur Definition einer wesentlichen Änderung wurden noch nicht erstellt. Die CRA gibt jedoch Hinweise darauf, was eine wesentliche Änderung sein könnte. Beispielsweise sind neue Funktionen oder Funktionsaktualisierungen, die einen Einfluss auf das Cybersicherheitsrisiko haben könnten, als wesentliche Änderung zu betrachten. Daraus folgt, dass die Änderung geprüft und bewertet werden muss, also mindestens eine Risikobewertung des Produktes durchgeführt werden muss.
Mehr Details erfahren Sie in unserer FAQ für Embedded Security.
Alois Cavelti
Haben Sie zusätzliche Fragen? Haben Sie eine andere Meinung? Wenn ja, mailen Sie mir oder kommentieren Sie Ihre Gedanken unten!
Autor
Keine Kommentare