Der Cyber Resilience Act fordert Produktanpassungen

Höchste Zeit für Hersteller: Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen in der EU bald nicht mehr verkauft werden. [...]

„Unternehmen, die dem EU Cyber Resilience Act (CRA) unterliegen, sollten sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Er weist darauf hin, dass die ersten Vorschriften des CRA bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung finden. „Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cybersicherheitsanforderungen des Cyber Resilience Act vollständig erfüllen“, stellt Jan Wendenburg klar. Hersteller, Importeure und Händler seien gleichermaßen gefordert: Ohne CRA-Konformität darf das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.

Der am 10. Dezember 2024 verabschiedete Cyber Resilience Act der Europäischen Kommission stellt die bisher umfassendste Regelung zur Cybersicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, also alle smarten Produkte, egal ob für Industrie, Consumer oder Unternehmen, drängt die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden. „Angesichts Produktlebens­zyklen, die in der Regel viele Jahre umfassen, sollte dem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf dem EU-Markt verkaufen zu können“, rät Jan Wendenburg.

„Security by Design“ für CRA-Compliance

Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung. Darüber hinaus fordert der EU CRA eine Software Bill of Materials (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: Kritisch, Wichtig und Sonstige. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.

Die Umsetzungsfrist von 24 bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich Best Practices zur Cybersicherheit implementieren. Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie RED II (EN 18031) und IEC 62443-4-2 zu berücksichtigen. Spezielle Compliance-Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cybersicherheitsbewertung der Software von Produkten ermöglichen. Beispielhaft hierfür steht der zum Patent angemeldete Compliance Wizard von ONEKEY.

„Unternehmen, die ihre Produktstrategie rechtzeitig anpassen, sichern nicht nur ihre Marktzulassung in der EU, sondern auch ihre Wettbewerbsfähigkeit. Product-Lifecycle-Cybersecurity, proaktive Compliance und Supply Chain-Transparenz werden zu unverzichtbaren Erfolgsfaktoren für alle Hersteller auf dem EU Markt“, erklärt Jan Wendenburg.

Die neuen Anforderungen des CRA und ihre Auswirkungen

Um den neuen Anforderungen gerecht zu werden, müssen Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchzuführen. Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss. Neue Schwachstellen sind laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.

Die CRA-Vorgaben betreffen den gesamten Lebenszyklus smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme. Hersteller sind verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, kann dieser Zeitraum entsprechend verkürzt werden. „In vielen Industriebereichen jedoch sind Produktlaufzeiten von 10 oder 20 Jahren oder sogar länger keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellenmanagement und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen“, verdeutlicht Jan Wendenburg die Herausforderungen.

„Die Umsetzung des Cyber Resilience Act stellt Hersteller vor erhebliche praktische Herausforderungen“, erklärt Wendenburg. Er nennt konkrete Beispiele: „In der industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten. In der IoT-Industrie, etwa bei smarten Haushaltsgeräten, ist die ständige Pflege der Software Bill of Materials ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben.“ Die Unternehmen müssen mit ihren Zulieferern eng zusammenarbeiten und Werkzeuge zur Prüfung von Fremdsoftware, wie Binär-Analyse-Lösungen einsetzen um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten. „Nur automatisierte Prozesse und Werkzeuge zur Schwachstellen- und Compliance-Analyse ermöglichen die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen“, sagt Jan Wendenburg.