Skip to content
    Zurück zu allen Artikeln

    Was Sie zum EU Cyber Resilience Act wissen und jetzt tun sollten

    Yves Astein
    Von

    Viele Unternehmen stellen sich die Frage, ob sie von den aktuellen Cyberregulierungen betroffen sind. Eine genauere Betrachtung offenbart jedoch, dass es nicht nur um das "ob", sondern vielmehr um das "wann" und "wie stark" geht.

    Bereits jetzt unterliegen zahlreiche Unternehmen der kritischen Infrastruktur der NIS-2-Richtlinie, und bald wird der neue Cyber Resilience Act für alle Industrieunternehmen relevant. Besonders Hersteller von Hard- und Software sollten sich daher verstärkt mit dem Thema Cyber Security auseinandersetzen.

    Was Sie zum EU Cyber Resilience Act wissen und jetzt tun sollten_Header

    Was bereits gilt: die Directive on Security of Network and Information Systems (NIS-2 Richtlinie)

    Die NIS-2 Richtlinie, ein zentraler Baustein der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“, ist die Fortführung der 2016 eingeführten NIS-Richtlinie. Sie trat am 16. Januar 2023 mit dem Ziel in Kraft, ein robustes Cybersicherheitsniveau in Europa zu etablieren und somit den Binnenmarkt zu festigen. Die EU-Staaten haben bis zum 17. Oktober 2024 Zeit, um die Richtlinien in ihre nationalen Gesetze zu integrieren.

    Die Richtlinie kategorisiert betroffene Sektoren in zwei Gruppen: essenziell und wichtig, wobei erstere Sektoren wie Energie, Verkehr, Finanzmärkte und Gesundheitswesen umfasst. Die genaue Bestimmung der betroffenen Unternehmen innerhalb dieser Sektoren obliegt den nationalen Gesetzen.

    NIS-2 bringt neue Regelungen, die Industrieunternehmen befolgen müssen, einschließlich der Meldung von Cybersicherheitsvorfällen an die zuständigen Behörden, basierend auf spezifischen Anforderungen und Zeitrahmen. Unternehmen sind auch verpflichtet, ein proaktives Risikomanagement zu implementieren und aktuelle Standards und Technologien in Bereichen wie Netzwerksicherheit und Krisenmanagement anzuwenden. Eine Zertifizierung, die die Einhaltung dieser Anforderungen bestätigt, kann von den Mitgliedstaaten erforderlich gemacht werden.

    In Deutschland wird die NIS-2 Richtlinie zu Anpassungen im bestehenden IT-Sicherheitsgesetz führen. Unternehmen, die bereits solide Cybersicherheitspraktiken, wie ein Informationssicherheitsmanagementsystem (ISMS), etabliert haben, werden voraussichtlich nur minimale Änderungen vornehmen müssen.

    Was 2024 kommen soll: der EU Cyber Resilience Act

    Für welche Unternehmen gilt der Cyber Resilience Act?

    Der Cyber Resilience Act (CRA) ist derzeit (Stand Januar 2024) noch ein Gesetzentwurf und soll für alle Hardware- und Softwareprodukte aus dem Consumer- und industriellen Bereich gelten, die miteinander oder dem Internet verbunden werden können. Alle in der EU produzierten oder in die EU importierten Geräte werden den Regularien unterliegen.

    Ab wann gilt der Cyber Resilience Act und wie schnell muss die Richtlinie umgesetzt werden?

    Der EU Cyber Resilience Act ist bisher nicht in Kraft getreten (Stand: Januar 2024): Ein endgültiger Beschluss im Parlament ist voraussichtlich bis Juni 2024 zu erwarten, mit einer Übergangszeit von bis zu zwei Jahren.

    Webinar Recording: The Impact of the EU Cyber Resilience Act (Januar 2024)

    Jetzt anschauen

    Welche verbindlichen Anforderungen kommen mit dem CRA?

    Mit dem Cyber Resilience Act werden Produkte und Anwendungen in drei Klassen kategorisiert und Unternehmen verpflichtet, bestimmten Richtlinien ihres Anwendungsbereichs zu folgen.

    Standard-Kategorie: Die niedrigste Klassifizierungskategorie (auch „Default Category“ genannt) umfasst typische Consumer-Produkte wie z. B. smarte Lautsprecher, Saugroboter, Hausautomatisierungen, Multimediageräte wie z. B. Fernseher, Spielekonsolen usw. In dieser Kategorie ist eine Selbstzertifizierung möglich.

    Class 1 und 2: Die beiden folgenden "kritischen" Klassen bzw. Kategorien umfassen alle Anwendungsbereiche in der Industrie und in öffentlichen Bereichen.

    Zur Class 1 gehören z. B. industrielle Automatisierung oder Gebäudeautomatisierungen. Zur Class 2 gehören Systeme, die in der kritischen Infrastruktur Verwendung finden.

    Class 1 und besonders Class 2 kategorisierte Systeme müssen von akkreditierten Institutionen zertifiziert werden.

    Kategorien_Klassen_Cyber Resilience Act

    Für alle drei Kategorien gilt, dass Hersteller gewährleisten müssen, dass ihre Geräte keine bekannten Sicherheitslücken aufweisen. Hersteller müssen für einen definierten Zeitraum, der je nach Produkt variieren kann, Softwareupdates zur Verfügung stellen.

    Der letzte Stand bezüglich dieser Garantiefrist lag bei maximal fünf Jahren. Es ist jedoch zu beachten, dass die endgültige Dauer der Garantie von verschiedenen Faktoren abhängt.

    Letztlich werden Kundenanforderungen, Marktentwicklungen und möglicherweise auch gerichtliche Entscheidungen maßgeblich darüber entscheiden, wie lange die Hersteller verpflichtet sind, Softwareupdates bereitzustellen.

    Schon während der Entwicklungsphase, aber auch im restlichen Lebenszyklus des Geräts müssen kontinuierlich sicherheitsrelevante Maßnahmen bezüglich des Produkts vorgenommen werden.

    Sicherheitsrelevante Vorfälle müssen vom Gerät selbst dokumentiert werden. Vorfälle und bekannt gewordene Sicherheitslücken sind vom Hersteller den verantwortlichen Behörden zu melden.

    Um eine Nachvollziehbarkeit zu gewährleisten, muss dazu eine sogenannte "Software Bill of Materials" geführt werden. Diese beschreibt zu jeder Zeit die auf dem Gerät verwendeten Software-Komponenten und ermöglicht so eine versionsgenaue Zuordnung von auftretenden Sicherheitsrisiken und eventuell verursachenden Softwarekomponenten.

    Was bedeutet der Cyber Resilience Act in Bezug auf bestehende Geräte?

    Wie und ob sich die neuen Regelungen auch auf bestehende Produkte auswirken werden, ist derzeit noch unklar.

    Was sind mögliche Konsequenzen bei Nichtumsetzung?

    Unternehmen, die sich nicht an die Vorschriften des Cyber Resilience Act halten, riskieren Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent ihres Jahresumsatzes.

    Doch die Bedeutung von Cybersecurity geht über die bloße Einhaltung von Gesetzen hinaus. Ein möglicher Schaden an Produkten und dem Firmenimage durch Hackerangriffe oder Ransomware kann sich ebenfalls erheblich auf den Jahresumsatz auswirken.

    Daher besteht nicht nur die Gefahr finanzieller Strafen, sondern auch ein direktes Eigeninteresse daran, die Sicherheit zu gewährleisten und mögliche negative Auswirkungen auf das Unternehmensimage zu verhindern.

    Was sollten Unternehmen jetzt sofort tun, um sich vor Cyberattacken zu schützen?

    Angriffe auf die IT-Infrastruktur deutscher Unternehmen und Institutionen sind ein ernsthaftes Problem. Cyberattacken lassen sich nur abwehren, wenn Unternehmen entsprechende Selbstschutzmaßnahmen ergreifen und in der Lage sind, auf Schwachstellen schnell zu reagieren.

    Sowohl der NIS-2 als auch der Cyber Resilience Act geben Maßnahmen vor, deren Umsetzung für jedes Industrieunternehmen sinnvoll ist – unabhängig davon, ob NIS-2 oder CRA für das jeweilige Unternehmen verpflichtend ist.

    Dazu gehören:

    • Übersicht der Hardwarekomponenten und Software in der IT-Infrastruktur sowie im eigenen Produkt
    • Bewertung der Software BOM und Bestandteile je nach Produktklasse
    • Klassifizierung der Produkte und ggf. Zertifizierung
    • Durchführung von Security Assessments in jeder Produktphase
    • Sofortige Benachrichtigung über Sicherheitslücken im Produkt und im Unternehmen
    • Gewährleistung der Updatefähigkeit von IT und Produkten
    • Bereitstellung von zeitnahen Updates für die eigenen Produkte
    • Implementierung von Security by Default
    • Protokollierung sicherheitskritischer Vorfälle im Produkt

    Welche Maßnahmen müssen Sie treffen?

    • Durchdachte Integration von Security Features:
      • Implementierung wie z. B. Secure Boot und Bereitstellung regelmäßiger Updates
      • Gewährleistung von einfacher und sicherer Anwendung
    • Verwendung von Standard Hardware und Software zum Schutz von Schlüsseln und Zertifikaten:
      • Integration von bewährter Hardware und Software in der Build-Umgebung und im Produkt
    • Sichere Produktinitialisierung:
      • Einrichtung von speziellen Prozessen und sicherem Bereich in der Produktion
    • Software-Lifecycle-Management und CVE-Monitoring:
      • Implementierung eines umfassenden Software-Lifecycle-Managements
      • Überwachung von Common Vulnerabilities and Exposures (CVE)
    • Vorbereitung zur Zertifizierung von Standardprodukten
      • Evaluierung der Möglichkeit einer Zertifizierung für Standardprodukte
      • Vorbereitung auf potenzielle Zertifizierungsprozesse

    In welchem Maß wird mein Produkt beeinflusst, wenn ich Produkte in verschiedenen Kategorien anbiete?

    Die Dynamik von Gesetzen, Zielgruppen, Produktanforderungen und Bedrohungslagen erfordert eine kontinuierliche Überwachung. Daher ist eine Produkt-Auditierung durch Dritte von Anfang an zu empfehlen.

    Allgemeine Anforderungen wie SBOM, CVE und Updatefähigkeit sollten im Interesse des Herstellers liegen, um auf Angriffe schnell reagieren zu können.

    Einheitliche Prozesse und Technologien, unabhängig von der Produktklasse, gewährleisten Schlankheit, Effizienz und Nachvollziehbarkeit.

    Bei Selbstauditierungen sollten erstellte Reports flexibel für spätere Fremdauditierungen genutzt werden können.

    Die Berücksichtigung internationaler Normen ist auch ratsam bei Vertrieb außerhalb der EU.

    Wie kann mich Phytec als Kunde unterstützen?

    Phytec bietet umfassende Sicherheitslösungen an, um Kunden effektiv vor steigenden Bedrohungen zu schützen. Die Auswahl an Sicherheitspaketen basiert auf umfangreichen Erfahrungen und erfüllt hohe Standards in Funktionalität, Sicherheit und langfristiger Wartbarkeit.

    Doch wie kann Phytec individuell dazu beitragen, die spezifischen Anforderungen seiner Kunden zu erfüllen?

    • Individuelle Konfiguration: Kunden können Sicherheitspakete nach ihren Anforderungen anpassen. Diese Flexibilität ermöglicht maßgeschneiderte Lösungen.
    • Fachliche Unterstützung: Neben hochwertiger Software bietet Phytec technischen Support für optimale Implementierung und Anpassung.
    • Klare Strukturierung: Die Sicherheitspakete bieten eine solide Basis und ermöglichen durch kundenspezifische Anpassungen zusätzliche Flexibilität.
    • Übersichtliche Tabelle: Eine klare Tabelle gibt einen Einblick in verfügbare Pakete, von Funktionen über Sicherheitsstandards bis zur flexiblen Konfiguration.
    • Investition in langfristige Sicherheit: Phytec betont die Bedeutung der richtigen Sicherheitswahl für eine nachhaltige digitale Infrastruktur.
    Phytec verpflichtet sich, Kunden eine solide Basis und individuelle Anpassungen zu bieten, um den Sicherheitsanforderungen jedes Unternehmens gerecht zu werden.
    Aufzeichnung des PHYTEC Experten-Webinars vom 24.01.2024

    The Impact of the EU Cyber Resilience Act

    Jetzt anschauen
    Yves Astein
    Von
    Yves Astein ist Head of Productmanagement bei PHYTEC. Er ist unser Experte für Embedded Devices, neue Entwicklungen auf dem Embedded Markt sowie für Security, Pflege und Management vernetzter Geräte.

    Related

    Vom i.MX 6 zum i.MX 8

    Mit dem PHYTEC Migration Guide auf der Überholspur in die nächste Produktgeneration
    Jetzt herunterladen