Zwischen CRA-Konformität und NIS-2-Anforderungen:: Die Herausforderungen einer harmonisierten sicheren Produktentwicklung

Advertorial

Genau an diesem Punkt setzt der europäische Cyber Resilience Act (CRA) an. Er formuliert erstmals verbindliche und überprüfbare Sicherheitsanforderungen an Produkte mit digitalen Elementen sowie deren Herstellungs- und Entwicklungsprozesse. Ergänzend adressiert das deutsche NIS-2-Umsetzungsgesetz schwerpunktmäßig die organisatorischen Rahmenbedingungen der Informationssicherheit auf Unternehmensebene.

Sie eint die Forderung einer Umsetzung geeigneter Maßnahmen zur Gewährleistung der Informationssicherheit bei der Entwicklung von IT-Systemen und Produkten mit digitalen Elementen ein. Aus diesem Grund sind betroffene Unternehmen dazu angehalten, beide Gesetze gemeinsam zu denken und einen integrierten Ansatz zu schaffen. secunet unterstützt Sie dabei, die richtigen Maßnahmen zu definieren und umzusetzen.

Der CRA rückt die Produktentwicklung in den Fokus

Während das deutsche NIS-2-Umsetzungsgesetz bewusst technologieneutral bleibt und auf einem hohen Abstraktionsniveau Anforderungen an Governance, Risikomanagement und Nachweisfähigkeit formuliert, geht der CRA deutlich weiter. Er konkretisiert Anforderungen an die sichere Entwicklung von Produkten mit digitalen Elementen und macht diese überprüfbar.

Im Mittelpunkt stehen dabei nicht nur technische Sicherheitsprinzipien. Auch eine nachvollziehbare Cybersecurity-Risikobewertung sowie Anforderungen an Prozesse und Nachweise über den gesamten Produktlebenszyklus werden adressiert. Das rückt auch einzelne Prozessschritte in der Entwicklung, saubere Dokumentation, Schwachstellenmanagement, koordinierte Offenlegung und die Update-Fähigkeit verbindlich in den Fokus. Damit rückt die Produktentwicklung selbst – und nicht allein die Organisation – in den Mittelpunkt der Regulierung.

secunet hilft, Synergiepotenziale zu erkennen und zu nutzen

Beide Regelwerke verlangen ein strukturiertes Risikomanagement, geeignete Sicherheitsmaßnahmen und die Fähigkeit, deren Umsetzung nachzuweisen. Während NIS-2 dabei schwerpunktmäßig die organisatorische Grundlage für Cybersicherheit schafft, führt der CRA diese mit seiner produktbezogenen Konkretisierung fort. Gerade diese Differenz eröffnet Synergien.

Ein harmonisierter Ansatz verbindet Governance, Rollen und Entscheidungswege mit einem belastbaren Secure-Development-Lifecycle für Produkte. So entsteht ein integriertes Sicherheitskonzept, das regulatorische Anforderungen erfüllt und zugleich praxistauglich bleibt.

Ausgangspunkt einer solchen kombinierten Umsetzung ist eine einheitliche Risikomanagement-Methodik, die sowohl unternehmensbezogene Risiken als auch produktbezogene Cybersecurity-Risiken erfasst. Gängige Standards wie der ISO/IEC 27001 und der IEC 62443 bieten hierfür einen stabilen Rahmen, ohne die notwendige Flexibilität einzuschränken.

Auf dieser Basis lassen sich dann CRA- und NIS-2-relevante Anforderungen, Best Practices und Lösungen im Bereich sichere Softwareentwicklung systematisch zusammenführen. Dazu gehören unter anderem:

• übergreifende Organisation inkl. Verantwortlichkeiten,
• zielgerichtetes Risikomanagement,
• sichere Entwicklungsprinzipien wie „Security by Design“ und „Security by Default“,
• verbindliche Verantwortlichkeiten, Schulungen und Awareness für Engineering und Betrieb,
• eine eindeutige Gestaltung des Entwicklungsprozesses,
• die Durchführung und Dokumentation von Code-Reviews,
• Sicherheitstests und Release- bzw. Update-Freigaben,
• Vulnerability Handling und eine koordinierte Schwachstellenbehandlung,
• das Management von Komponenten und Abhängigkeiten, etwa durch transparente Stücklisten für Software,
• Dokumentation in Form von Sicherheitskonzepten.

Ein standardisierter Anforderungskatalog basierend auf CRA und NIS-2, wie ihn secunet verwendet, hilft, diese Themengebiete zu strukturieren und in umsetzbare Schritte zu übersetzen. Entscheidend ist dabei, bestehende Prozesse nicht einfach neu zu erfinden, sondern gezielt weiterzuentwickeln.

Gap-Analyse, Risikoanalysen, Quality Gates und Umsetzung

Im nächsten Schritt zeigt eine Gap-Analyse, wo bestehende Prozesse bereits CRA- und NIS-2-konform sind und an welchen Stellen konkreter Handlungsbedarf besteht. Dabei geht es nicht nur um formale Abweichungen, sondern um die Frage, wie wirksam die bestehenden Sicherheitsmaßnahmen tatsächlich sind.

Entsprechend lassen sich individuelle Risikoanalysen ableiten, die gezielt die unterschiedlichen Entwicklungs- und Betriebsphasen betrachten. Bewertet wird, ob sowohl die organisatorischen Strukturen im Sinne von NIS-2 als auch die produktbezogenen Entwicklungs- und Betriebsprozesse im Sinne des CRA ein angemessenes Sicherheitsniveau gewährleisten oder ob zusätzliche, kontextspezifische Risiken wie Lieferketten, Legacy-Komponenten oder die OT-Anbindung adressiert werden müssen.

In der Praxis bewährt sich hierfür eine phasenweise Umsetzung, etwa über definierte „Quality Gates“, die die Ergebnisse der Risikobewertung systematisch berücksichtigen, von der Konzeption über Entwicklung und Test bis hin zu Betrieb, Wartung und Update-Management.

Die gewonnenen Erkenntnisse münden schließlich in eine priorisierte Maßnahmenplanung, die kurzfristig realisierbare Verbesserungen und strukturelle Anpassungen zusammenfasst und deren Umsetzung gezielt steuert. All das erfordert regulatorisches Verständnis, technisches Knowhow und Erfahrung aus der Praxis.

secunet begleitet seit vielen Jahren Organisationen bei der Umsetzung regulatorischer Anforderungen und der sicheren Gestaltung von IT- und Produktentwicklungsprozessen. Dieses Wissen fließt in strukturierte Vorgehensmodelle, praxiserprobte Methoden und umsetzungsnahe Maßnahmenkataloge ein.

Ein integriertes Sicherheitskonzept statt isolierter Compliance

Das Ergebnis dieses Vorgehens ist ein ganzheitliches Sicherheitskonzept für die Herstellung, Entwicklung und den Betrieb digitaler Produkte. Es bündelt die CRA-relevante Anforderungen, dokumentiert relevante Nachweise und Abhängigkeiten und beschreibt, wie die konkrete Umsetzung im Unternehmen im Einklang mit geltenden Prozessbeschreibungen, Richtlinien oder Arbeitsanweisungen gelingen soll. Governance-Strukturen, Risikomanagementanforderungen und produktbezogene Sicherheitsmaßnahmen sowie Nachweispflichten greifen dabei ineinander.

Der Mehrwert liegt auf der Hand: Prozesse und Rollen müssen nur einmal angepasst werden, anstatt dieselben Fragestellungen mehrfach zu bearbeiten. Unternehmen gewinnen Klarheit, Effizienz und vor allem belastbare Resilienz, über reine Compliance hinaus. So wird aus regulatorischem Druck eine Chance: für sichere Produkte, robuste Prozesse und eine Informationssicherheit, die nicht nur auf dem Papier besteht, sondern im Alltag wirkt.

Mehr dazu hier.