Das ist ein häufiges Szenario bei Entwicklern. Sie sind kurz davor, Ihr neuestes IoT auf den Markt zu bringen, als Sie erfahren, dass Sie sich an neue Cybersicherheitsrichtlinien oder -vorschriften halten müssen, die während des Entwicklungsprozesses nicht berücksichtigt wurden. Vielleicht erfahren Sie, dass Sie Ihr Produkt nicht in einen geplanten Markt, wie die Europäische Union (EU), verkaufen können. Mit dem Cyber Resilience Act (CRA) ist dies eine sehr reale Möglichkeit.
Die CRA ist eine weitreichende neue Verordnung zur Cybersicherheit und gilt für praktisch alle vernetzten Geräte - und alle Geräte, die direkt oder indirekt mit anderen Geräten oder Netzen verbunden werden können -, die in der EU verkauft oder vertrieben werden sollen.
Die offizielle Verabschiedung der CRA erfolgt Ende 2024, und die Fristen für die Durchsetzung nähern sich rasch. In diesem Blogbeitrag erläutern wir, was Hersteller, OEMs (Original Equipment Manufacturers) und Händler über die CRA wissen müssen und wie sie die Grundlagen für die Einhaltung der Vorschriften schaffen können.
Der EU Cyber Resilience Act ist ein Rechtsrahmen, der darauf abzielt, die Cybersicherheit für digitale Produkte zu verbessern. Im Gegensatz zu früheren Vorschriften, die sich auf den Datenschutz konzentrierten, befasst sich die CRA mit der Sicherheit der Produkte selbst. Sie schreibt vor, dass die Schutzmaßnahmen bereits in der Entwurfsphase eingebaut und nach dem Inverkehrbringen aufrechterhalten werden müssen.
Was sind die Rechtsvorschriften zum Cyber Resilience Act? Die Rechtsvorschriften des Cyber Resilience Act CRA gelten für nahezu jedes Produkt mit digitalen Elementen. Um in der EU verkauft oder vertrieben zu werden, müssen die betroffenen Produkte dem CRA entsprechen und zum Nachweis ihrer Konformität eine CE-Kennzeichnung tragen.
Im Kern kommt die CRA Verbrauchern und Unternehmen zugute, indem sie eine Grundlage für Cybersicherheitspraktiken schafft, die sie vor steigenden IoT schützt. Darüber hinaus unterstützt sie ein transparenteres digitales Ökosystem auf dem europäischen Markt.
Die CRA hat einen außerordentlich breiten Anwendungsbereich und betrifft jedes Unternehmen, das Produkte mit digitalen Elementen für den EU-Markt entwickelt, herstellt, importiert oder vertreibt. Sie ist nicht auf Unternehmen mit Sitz in Europa beschränkt. Jedes Unternehmen, das ein qualifiziertes Produkt auf dem EU-Markt in Verkehr bringt, muss die Vorschriften einhalten, unabhängig davon, wo sich seine Produktionsstätten befinden.
Mit der Verordnung wird ein Modell der gemeinsamen Verantwortung mit definierten Verpflichtungen für die Beteiligten über den gesamten Produktlebenszyklus hinweg eingeführt. Dies hat weitreichende Auswirkungen auf die digitale Lieferkette.
Von der CRA betroffene Branchen und Rollen
Während die Hersteller die umfangreichsten Verpflichtungen haben, wirkt sich die CRA auf ein breites Spektrum von Unternehmen aus, darunter auch auf andere:
- Hardware-Lieferanten, die Komponenten mit digitalen Elementen anbieten
- Software-Anbieter, deren Anwendungen über Konnektivitätsfunktionen verfügen
- Systemintegratoren, die Komponenten von Drittanbietern zu Komplettlösungen kombinieren
- Importeure oder Vertreiber von verbundenen Produkten
Um die Anforderungen der CRA zu erfüllen, müssen Einkaufsleiter, Produktmanager, Sicherheitsexperten und technische Entscheidungsträger zusammenarbeiten, um die Einhaltung der Vorschriften zu gewährleisten.
Produkte, die von der CRA betroffen sind
Die Produkte der CRA decken praktisch alle Marktsegmente ab, darunter:
- Industrielle Steuerungen, Gateways und Sensornetzwerke
- Vernetzte Infrastruktur für Energie, Verkehr und öffentliche Dienste
- POS-Systeme (Point-of-Sale), interaktive Kioske und Fernlerngeräte für den Einzelhandel
Kurz gesagt, wenn ein Produkt digitale Elemente enthält und - entweder direkt oder indirekt - mit anderen Geräten oder Netzwerken verbunden ist, fällt es wahrscheinlich unter die CRA, sofern es nicht durch andere Cybersicherheitsvorschriften ausdrücklich ausgenommen ist.
Nach den CRA-Leitlinien wird von den Herstellern und Anbietern erwartet, dass sie eine Haltung der ständigen Verantwortlichkeit einnehmen. Sie müssen zunächst die bewährten Praktiken des "Secure-by-Design" befolgen und dann wachsam gegenüber neu auftretenden Schwachstellen sein.
Diese Anforderungen gehen weit über die herkömmliche Zertifizierung am Verkaufsort hinaus und verpflichten dazu, Endverbraucher und Aufsichtsbehörden während des gesamten Produktlebenszyklus auf dem Laufenden zu halten.
Secure-By-Design-Prinzipien
Die CRA drängt die Hersteller, die Cybersicherheit bereits in den frühesten Entwicklungsphasen zu berücksichtigen. Die Geräte müssen einer förmlichen Bewertung der Cybersicherheitsrisiken unterzogen werden und angemessene Schutzmaßnahmen enthalten. Dies beinhaltet unter anderem:
- Sicherstellung, dass Produkte ohne bekannte ausnutzbare Schwachstellen ausgeliefert werden
- Verwendung von sicheren Standardkonfigurationen nach dem Auspacken
- Implementierung von Authentifizierungssystemen zur Verhinderung unbefugten Zugriffs
- Schutz der Datenvertraulichkeit durch modernste Verschlüsselungsmechanismen
- Minimierung von Angriffsflächen durch Reduzierung unnötiger Schnittstellen und Exposition
Für viele Hersteller wird die Einhaltung der CRA-Richtlinien grundlegende Änderungen der Entwicklungsabläufe erfordern. Die Verordnung betrifft nicht nur die Gerätearchitektur, sondern auch die Entwicklung der Firmware und die Produktdokumentation.
Laufende Risikoüberwachung und Aktualisierungen
Sicherheit ist keine einmalige Verpflichtung. Gemäß der CRA müssen die Hersteller neue Bedrohungen während des gesamten Supportzeitraums des Produkts überwachen. Wenn ein Sicherheitsproblem festgestellt wird, müssen unverzüglich Sicherheitsupdates bereitgestellt werden.
Diese Aktualisierungen müssen kostenlos und für die Nutzer leicht anwendbar sein. Außerdem müssen sie sicher verteilt werden, um zu gewährleisten, dass Schwachstellen umgehend und, sofern es sich um Sicherheitsaktualisierungen handelt, automatisch behoben oder reduziert werden.
Diese Anforderungen erfordern Dienste wie Digi ConnectCoreConnectCore® Cloud Services, die eine sichere Edge-to-Cloud-Kommunikation mit Unterstützung von Transport Layer Security (TLS), zertifikatsbasierter Authentifizierung und Verschlüsselung gewährleisten. Schwachstellen können durch die Nutzung der sicheren Software-Update-Funktion unserer Cloud-Services behoben werden, um solche Patches und Korrekturen sicher und zuverlässig per Fernzugriff über die Luft (OTA) zu verteilen. Darüber hinaus können OEM-Geräteflotten mithilfe der Vorlagenfunktionalität automatisch gescannt, aktualisiert und in Übereinstimmung mit der festgelegten Konfiguration gewartet werden. Durch die Nutzung von Vorlagen können OEM-Kunden Zeit sparen, Fehler reduzieren, den Aufwand minimieren und die Skalierung verwalten, wenn Konfigurationsaktualisierungen erforderlich sind. Darüber hinaus können sie die Konsistenz und Standardisierung aller im Feld eingesetzten Geräte sicherstellen.
Erfahren Sie wie Digi ConnectCore Cloud-Dienste die Einhaltung von Sicherheitsvorschriften für große Flotten von IoT vereinfacht.
Obligatorische Berichterstattung über Vorfälle
Wenn eine Schwachstelle aktiv ausgenutzt wird oder ein erheblicher Sicherheitsvorfall eintritt, müssen die Hersteller gemäß der Ratingagentur sowohl die Agentur der Europäischen Union für Cybersicherheit (ENISA) als auch ein benanntes Computer Security Incident Response Team (CSIRT) benachrichtigen. Erste Warnmeldungen müssen innerhalb von 24 Stunden übermittelt werden, wobei Folgemaßnahmen innerhalb von 72 Stunden, 14 Tagen und 30 Tagen erforderlich sind, wie in Artikel 14, "Meldepflichten der Hersteller", dargelegt.
Diese strengen Fristen machen eine schnelle Aufdeckung und Reaktion erforderlich. Die Nichteinhaltung kann erhebliche Konsequenzen nach sich ziehen, darunter Geldstrafen von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes.
Produktdokumentation und Konformität
Um die Einhaltung der CRA nachzuweisen, müssen die Hersteller Unterlagen vorhalten, aus denen hervorgeht, dass ihre Produkte zumindest während des Supportzeitraums die gesetzlichen Anforderungen erfüllen. Dazu gehören u. a. eine Kopie der EU-Konformitätserklärung, technische Unterlagen, Konformitätsbewertungen und die Software-Stückliste (SBOM).
Dieses Dokumentationsniveau ist einer der ressourcenintensiveren Aspekte der CRA-Bereitschaft - insbesondere für Unternehmen, die große Flotten von verbundenen Geräten verwalten. Um die Aufzeichnungen über alle Produktlinien hinweg auf dem neuesten Stand zu halten, Firmware-Änderungen zu verfolgen und die Rückverfolgbarkeit von Sicherheitsmaßnahmen zu gewährleisten, sind starke interne Prozesse und Dienstleistungen wie Digi ConnectCore Security Services erforderlich, die bei der Automatisierung der Compliance-Dokumentation helfen können.
Entgegen dem weit verbreiteten Irrglauben, die CRA sei eine weit entfernte Angelegenheit, rücken die wichtigsten Verpflichtungen rasch näher.
Wichtig ist, dass die CRA nicht nur für neue Designs, sondern auch für Produktauffrischungen gilt. Jede wesentliche Aktualisierung eines bestehenden Produkts nach Dezember 2027 wird wahrscheinlich zur Einhaltung der Vorschriften führen.
Hinzu kommt eine Ausnahme in Artikel 69, "Übergangsbestimmungen". Die in Artikel 14"Meldepflichten der Hersteller" festgelegten Pflichten gelten für alle Produkte, die in den Anwendungsbereich dieser Verordnung fallen und vor Dezember 2027 in Verkehr gebracht werden.
Angesichts der tiefgreifenden technischen und organisatorischen Veränderungen, die damit verbunden sind, sollten Hersteller, OEMs und Systemintegratoren jetzt mit den Vorbereitungen beginnen.
Sehen Sie sich unser Webinar an und erfahren Sie mehr darüber wie Sie die Fristen für die Einhaltung der CRA einhalten können.
Die Erfüllung der umfassenden Anforderungen der CRA erfordert eine Ganzheitlicher Ansatz für eingebettete Sicherheit. Digi ist bereit zu helfen, mit integrierten Digi ConnectCore Eingebettete Lösungen die die sichere Produktentwicklung, das Remote Lifecycle Management, die Meldung von Schwachstellen und die Dokumentation unterstützen.
Digi ist mehr als nur ein Lösungsanbieter und möchte ein langfristiger Partner für sichere Produktinnovationen auf dem EU-Markt sein. Wir haben die CRA seit den ersten Entwürfen verfolgt und sind bestrebt, unsere Kunden bei der Erfüllung der sich entwickelnden Compliance-Anforderungen zu unterstützen.
Wir arbeiten mit jedem Kunden zusammen, um ein maßgeschneidertes Dienstleistungspaket zu entwickeln, das auf seine spezifischen Ziele abgestimmt ist.
Eingebaute Sicherheit mit Digi TrustFence
Digi TrustFence® ist ein grundlegender Sicherheitsrahmen, der in die Hardware-Plattformen von Digi integriert ist. Es ermöglicht Herstellern die Anwendung von Secure-by-Design-Prinzipien und hilft ihnen, die CRA-Anforderungen vom ersten Tag an zu erfüllen. TrustFence umfasst Funktionen wie sicheres Booten, Identitätsmanagement, verschlüsselte Speicherung und sichere Firmware-Updates und schafft damit eine solide Grundlage für lebenslange Ausfallsicherheit.
Diese eingebauten Schutzmechanismen verringern das Risiko kostspieliger Umgestaltungen, die sich sonst aus der späten Entdeckung von Schwachstellen im Entwicklungsprozess ergeben könnten. Außerdem unterstützen sie die Einhaltung der CRA-Anforderungen, z. B. sichere Standardkonfigurationen, Datenvertraulichkeit und Reduzierung der Angriffsfläche .
Sicherheit im Lebenszyklus mit Digi ConnectCore Security Services und Digi ConnectCore Cloud Services
Digi ConnectCore Security Services helfen dabei, die Anforderungen der CRA nach der Markteinführung zu erfüllen, indem sie Geräte während ihres gesamten Lebenszyklus auf Schwachstellen überwachen. Dank der Digi ConnectCore Cloud Services können OEMs Firmware-Updates sicher bereitstellen und den Überblick über eine Produktflotte behalten. Funktionen wie die automatische Meldung von CVE-Schwachstellen (Common Vulnerabilities and Exposures), die in unseren Sicherheitsdiensten verfügbar sind, und die automatische Bereitstellung von Patches, die in unseren Cloud-Diensten verfügbar sind, unterstützen die kontinuierliche Einhaltung von Vorschriften und eine schnelle Reaktion auf Schwachstellen.
Vereinfachung der Dokumentation und Bereitschaft zur Einhaltung von Vorschriften
Die CRA verlangt eine umfassende technische Dokumentation, gut gepflegte Aufzeichnungen und eine Beschreibung der eingerichteten Prozesse zur Behandlung von Schwachstellen. Digi ConnectCore Security Services unterstützen diese Anforderungen, indem sie benutzerdefinierte SBOMs automatisch scannen, um CVEs einzuteilen, falsch-positive Ergebnisse zu entfernen und OEMs zu ermöglichen, sich auf die kritischsten zu konzentrieren. Darüber hinaus können OEMs unsere Meta-Digi-Sicherheitsschicht nutzen, die eine Sammlung von vorintegrierten Sicherheitspatches für Digi Embedded Yocto (DEY), Board Support Package (BSP), Linux-Kernel und Bootloader enthält. Diese Daten rationalisieren die Erstellung von technischen Dateien und unterstützen die CRA-Meldepflichten, einschließlich ENISA- und CSIRT-Meldungen und Konformitätsbewertungen.
Durch die Zentralisierung der sicherheitsrelevanten Datenerfassung reduziert Digi den Dokumentationsaufwand für die Technik- und Compliance-Teams und erleichtert so die Aufrechterhaltung der Audit-Bereitschaft bei eingebetteten Implementierungen.
Die Uhr für die CRA tickt. Auch wenn die vollständige Umsetzung noch Monate auf sich warten lässt, sollten Sie sofort mit den Vorbereitungen beginnen, um Ihren Zugang zum EU-Markt zu schützen. Ergreifen Sie diese proaktiven Schritte, um einen reibungsloseren Übergang zu gewährleisten:
- Bewertung der Cybersicherheitslage aktueller und künftiger Produkte
- Überprüfen Sie Ihre Entwicklungs-, Überwachungs- und Dokumentationspraktiken
- Bewertung von Lieferanten und Partnern im Hinblick auf CRA-bezogene Fähigkeiten
- Erstellung oder Aktualisierung von Plänen für Schwachstellen und für die Reaktion auf Zwischenfälle
- Erstellen Sie einen Fahrplan für die Einhaltung der Vorschriften im gesamten Produktlebenszyklus
Warten Sie nicht bis zur letzten Stunde. Beginnen Sie jetzt, um die Einhaltung der CRA-Vorschriften in einen Wettbewerbsvorteil zu verwandeln.
Sehen Sie sich unseren ausführlichen Bericht über Cybersicherheitsanforderungen und Vorbereitung auf die CRA.
FAQ zum Gesetz über die Widerstandsfähigkeit im Internet
Warum wurde die CRA eingeführt?
Die Europäische Union will die wachsenden Risiken der Cybersicherheit in einer zunehmend vernetzten Welt angehen. Viele auf dem Markt befindliche Produkte weisen keine ausreichenden Sicherheitsmaßnahmen auf, was sie anfällig für Angriffe macht. Die CRA sorgt dafür, dass Verbraucher und Unternehmen darauf vertrauen können, dass Produkte Mindeststandards für die Cybersicherheit erfüllen.
Für wen gilt die CRA?
Die CRA gilt für:
-
Hersteller von Hardware- und Softwareprodukten, die auf dem EU-Markt in Verkehr gebracht werden
-
Importeure und Vertreiber solcher Produkte
-
Bestimmte Online-Marktplätze, die ihren Verkauf erleichtern
Welche Produkte werden von der CRA erfasst?
Die CRA gilt für alle Produkte mit digitalen Elementen (Hardware oder Software), die direkt oder indirekt an ein Netz angeschlossen werden können und in der EU verkauft werden sollen. Beispiele hierfür sind:
-
Intelligente GeräteIoT, Wearables, Haushaltsgeräte, medizinische Geräte)
-
Betriebssysteme und Anwendungen
-
Industrielle Kontrollsysteme
-
Sicherheitssoftware und Firewalls
-
und alle anderen Geräte, die eine Verbindung zum Internet herstellen können
Gibt es Produkte, die von den Anforderungen der Ratingagenturen ausgenommen sind?
Ja. Produkte, die bereits durch sektorale EU-Vorschriften mit gleichwertigen Cybersicherheitsanforderungen geregelt sind (z. B. Medizinprodukte, Luftfahrt oder Autos), sind ausgenommen. Auch Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird, ist ausgenommen.
Was sind die wichtigsten Verpflichtungen der CRA für Hersteller?
Die Hersteller müssen Folgendes tun:
-
Entwurf und Entwicklung von Produkten unter Berücksichtigung der Cybersicherheit ("security by design")
-
Bereitstellung einer Konformitätserklärung und einer CE-Kennzeichnung
-
Sicherstellen, dass Produkte während ihrer erwarteten Lebensdauer oder mindestens fünf Jahre lang Sicherheitsupdates erhalten
-
Meldung aktiv ausgenutzter Schwachstellen und Vorfälle an ENISA (EU-Agentur für Cybersicherheit) innerhalb von 24 Stunden
Was sind die Verpflichtungen der CRA für Importeure und Händler?
Sie müssen sicherstellen, dass die Produkte den Anforderungen der CRA entsprechen, bevor sie auf den Markt gebracht werden. Dazu gehört die Überprüfung der CE-Kennzeichnung, der Konformitätserklärungen und der Einhaltung der Sicherheitsverpflichtungen der Hersteller.
Wie wird die Einhaltung der Ratingrichtlinien nachgewiesen?
Die Einhaltung der Vorschriften wird durch:
-
Selbsteinschätzung der Hersteller für Standard-Risikoprodukte
-
Konformitätsbewertungen durch Dritte für Produkte mit hohem Risiko (z. B. Identitätsmanagementsysteme, Passwortmanager oder sicherheitskritische Software)
Welche Sanktionen drohen bei Nichteinhaltung der Vorschriften der CRA?
Die Geldbußen können bis zu:
-
15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei schweren Verstößen
-
10 Millionen Euro oder 2 % des Umsatzes wegen Nichteinhaltung von Verpflichtungen
-
5 Mio. € oder 1 % des Umsatzes wegen unrichtiger, unvollständiger oder irreführender Angaben
Wann wird die Ratingagentur tätig?
-
Die CRA trat im Dezember 2024 in Kraft.
-
Die meisten Bestimmungen werden nach einer 36-monatigen Übergangsfrist im Jahr 2027 gelten.
-
Die Meldepflicht für Schwachstellen wird früher, nach 21 Monaten, in Kraft treten
Welchen Nutzen hat die CRA für die Verbraucher?
Die Verbraucher von vernetzten Produkten profitieren in mehrfacher Hinsicht, unter anderem:
-
Gesteigertes Vertrauen in digitale Produkte
-
Besserer Schutz vor Cyberangriffen
-
Längere Produktlebensdauer durch obligatorische Sicherheitsupdates
Welche Auswirkungen hat die CRA auf Unternehmen?
Unternehmen sind von der CRA in mehrfacher Hinsicht betroffen. Zum Beispiel:
-
Die CRA schafft gleiche Wettbewerbsbedingungen mit harmonisierten Regeln in der gesamten EU
-
Es reduziert die Kosten für die Einhaltung der zahlreichen nationalen Vorschriften
-
Sie erhöht die Verantwortlichkeit und Haftung für unsichere Produkte