Home » News » Security Management » Cyber Resilience Act: Drei Maßnahmen, die Unternehmen sofort ergreifen sollten

Cyber Resilience Act: Drei Maßnahmen, die Unternehmen sofort ergreifen sollten

Der Cyber Resilience Act (CRA) wurde am 10. Oktober 2024 verabschiedet und tritt ab November 2027 in Kraft. Dann gelten EU-weite Mindestanforderungen für die Sicherheit vernetzter Geräte und deren Software; Schwachstellenmeldepflichten starten bereits im August 2026. Hersteller müssen sicherstellen, dass ihre Produkte die Sicherheitskriterien erfüllen. Das Fraunhofer IEM unterstützt Unternehmen wie adesso mobile solutions, Connext, Phoenix Contact und Kraft Maschinenbau bei der Vorbereitung auf den CRA.

·

Redaktion IT-SICHERHEIT (cs)

3 Min. Lesezeit
Cybersicherheitsmaßnahmen im Team
Foto: ©AdobeStock/Maryono

Unternehmen müssen sich auf den Cyber Resilience Act vorbereiten. „Die Übergangsfrist bis zur vollständigen Umsetzung des Cyber Resilience Act (CRA) im Jahr 2027 ist kurz. Unternehmen müssen sich in vielen Bereichen neu aufstellen – von Security-Risikoanalysen über kurzfristige Meldepflichten bei Schwachstellen bis hin zu kostenfreien Security-Updates während der Lebensdauer der Produkte. Aufschieben gilt nicht, denn bei Nichteinhaltung des CRA drohen Strafzahlungen in Millionenhöhe“, erklärt Dr. Matthias Meyer, Bereichsleiter Softwaretechnik und IT-Sicherheit am Fraunhofer IEM.

Das Forschungsinstitut empfiehlt Unternehmen, jetzt drei Maßnahmen zu ergreifen, um den Weg zur CRA-konformen Produktentwicklung einzuleiten. „Eine schnelle Reaktion auf Schwachstellen und systematische Risikoanalysen sind essenziell, um die CRA-Anforderungen zu erfüllen. Unternehmen, die diese Schritte jetzt angehen, sind bereits auf einem guten Weg. Eine Ist-Stands-Analyse der Produkte und Prozesse schafft zudem Klarheit für das weitere Vorgehen“, betont Dr. Meyer.

1. Aufbau eines Schnelleinsatzteams für den Ernstfall

Hersteller müssen künftig, wenn Schwachstellen in ihren Produkten bekannt werden, die Agentur der Europäischen Union für Cybersicherheit (ENISA) umgehend informieren: Innerhalb von 24 Stunden ist eine erste Warnung erforderlich, gefolgt von detaillierten Informationen innerhalb von 72 Stunden. Ein Product Security Incident Response Team (PSIRT) muss eingerichtet werden, um diese Aufgaben zu bewältigen. Unternehmen, die noch kein PSIRT etabliert haben, sollten dies dringend in Angriff nehmen, denn diese Pflichten gelten bereits ab Juni 2026 für alle Produkte auf dem Markt, selbst für solche, die vor dem Inkrafttreten des CRA auf den Markt kamen.

2. Bedrohungs- und Risikoanalysen als zentrales Instrument

Der CRA verlangt, dass Hersteller ihre Produkte regelmäßig auf Sicherheitsrisiken analysieren und angepasste Sicherheitsmaßnahmen integrieren. Unternehmen sollten Bedrohungs- und Risikoanalysen fest im Entwicklungsprozess verankern, um systematisch Bedrohungen zu identifizieren, das Sicherheitsrisiko zu bewerten und gezielte Schutzmaßnahmen abzuleiten. Dies ermöglicht eine kontinuierliche Erhöhung des Sicherheitsniveaus der Software und hilft, teure, aber vermeidbare Maßnahmen zu umgehen.

3. Überblick durch Ist-Stand-Analyse

Die ersten beiden Maßnahmen sind wichtig, aber nicht ausreichend. Unternehmen müssen feststellen, welche Anforderungen des CRA sie bereits erfüllen, sowohl in Bezug auf ihre Prozesse im Produktlebenszyklus als auch hinsichtlich konkreter Produkte. Obwohl harmonisierte Normen zum CRA noch nicht vorliegen, empfehlen Experten, den bereits existierenden Standard für industrielle Cybersicherheit, IEC 62443, als Orientierung zu nutzen. Unternehmen sollten nicht warten, sondern sofort Ist-Stands-Analysen durchführen und Maßnahmen ableiten, um wertvolle Zeit bei der Umsetzung des CRA zu gewinnen.

Zusammenarbeit mit Phoenix Contact, Miele und weiteren Unternehmen

Die Expertise des Fraunhofer IEM basiert auf langjähriger Projekterfahrung mit verschiedenen Unternehmen:

  • Phoenix Contact: Bereits 2018 unterstützten die Wissenschaftler Phoenix Contact dabei, sich als eines der ersten Unternehmen nach der Cybersicherheitsnorm IEC 62443-4-1 zertifizieren zu lassen. Dazu entwickelten sie eine maßgeschneiderte Methode zur Bedrohungs- und Risikoanalyse.
  • Kraft Maschinenbau: Das Fraunhofer IEM hat die Methode seitdem kontinuierlich weiterentwickelt und in zahlreichen Bedrohungsanalyse-Workshops und Schulungen angewendet. Geschäftsführer Jörg Timmermann berichtet: „Wir profitieren nicht nur von einer Risikobewertung für unsere Produkte, sondern unsere Mitarbeiter erlernten im Workshop auch ein systematisches Vorgehen für künftige Bedrohungsanalysen und steigerten ihr Sicherheitsbewusstsein.“
  • Miele: Um die Sicherheit seiner langlebigen Produkte auch nach der Markteinführung zu gewährleisten, gründete Miele 2021 in Zusammenarbeit mit dem Fraunhofer IEM ein eigenes Product Security Incident Response Team (PSIRT). Durch Stakeholder-Interviews wurde auf bestehenden Unternehmensprozessen aufgebaut und klare Prozess-Schnittstellen geschaffen.
  • KEB: In Vorbereitung auf die Norm für industrielle Cybersicherheit, IEC 62443, ermittelte KEB den Ist-Stand seiner Entwicklungsprozesse. Das Fraunhofer IEM führte dazu Interviews mit Führungskräften und Safety-Expert durch und half KEB, notwendige Schritte zur Umsetzung der Norm zu planen und deren Aufwand abzuschätzen.
  • adesso mobile solutions und Connext: Um sicherzustellen, dass alle an der Softwareentwicklung beteiligten Mitarbeiter gut informiert sind und ihre Fähigkeiten kontinuierlich verbessern, arbeitet das Fraunhofer IEM auch im Bereich der Weiterbildung mit diesen Unternehmen zusammen. Beide setzen seit vielen Jahren Security Champions als Multiplikatoren für das Thema Cybersecurity in ihrer Softwareentwicklung ein.

In seinem Secure Engineering Lab in Paderborn unterstützt das Fraunhofer IEM Unternehmen dabei, ihre Prozesse und Produkte den neuen EU-Richtlinien anzupassen.

Cyber Resilience Act_Angebote des Fraunhofer IEM
Foto: Fraunhofer IEM

Weitere Artikel zum Thema: 

BSI begrüßt CRA-Verabschiedung als wichtige Stütze der Cybersicherheit

Sicherheit für Produkte: Cyber Resilience Act der EU

Safe AI – Absicherung künstlicher Intelligenz

Andere interessante News

Eine Person hält ein schwebendes digitales Schildsymbol mit einem Häkchen, das Sicherheit symbolisiert. Der Hintergrund zeigt verschiedene digitale Symbole und Grafiken, die auf Technologie und Schutzthemen hinweisen.

Europäische Cybersicherheitszertifizierung: BSI übernimmt zentrale Rolle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde von der Europäischen Kommission als einzige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 ...

Security Management
Nahaufnahme von miteinander verbundenen Zahnrädern mit leuchtend orangefarbenen Schaltkreisen auf einer dunkelblauen Oberfläche, die an ein Hightech-Motherboard erinnert. Die Beleuchtung hebt die komplexen Muster und metallischen Texturen hervor und erzeugt so ein futuristisches und industrielles Flair.

Cyberangriffe auf die Lieferkette: Das unterschätzte Einfallstor für Hacker

Die Lieferkette ist ein komplexes Netzwerk aus verschiedenen Akteuren – und genau das macht sie zu einem bevorzugten Angriffsziel für Cyberkriminelle. Neue Technologien und gesells...

Security Management
Eine digitale Netzwerkvisualisierung mit rot leuchtenden Knoten, die durch Linien auf dunklem Hintergrund verbunden sind. Symbole und schaltungsartige Muster vermitteln ein hochtechnologisches, vernetztes System.

Report: Wie deutsche Unternehmen unter Cyberbedrohungen leiden

Ein neuer Report mit über 100 dokumentierten IT-Sicherheitsvorfällen aus dem zweiten Halbjahr 2024 deckt auf, wo deutsche Unternehmen am verwundbarsten sind – und welche Fehler Cyb...

Cybersecurity