Der neue Cyber-Resilience-Act

 25. Oktober 2024
Ein Bild eines PSIRT-Teams in Aktion, das auf Bildschirme mit Sicherheitslücken blickt.

EU packt den Cyber-Hammer aus: Ab 2026 drohen Mega-Strafen!

(TL). Der Cyber Resilience Act (CRA) der EU ist endlich verabschiedet und markiert einen Wendepunkt für Unternehmen in ganz Europa. Ab dem 10. Oktober 2024 müssen sich Unternehmen darauf einstellen, ab November 2027 neue Sicherheitsanforderungen für vernetzte Geräte und Software zu erfüllen. Besonders hart trifft es die Hersteller, die verpflichtet sind, ihre Produkte in allen Phasen des Lebenszyklus sicher zu gestalten und Schwachstellen zu melden – mit ersten Pflichten schon ab August 2026.

Damit Unternehmen sich rechtzeitig auf diese komplexen Anforderungen vorbereiten können, gibt das Fraunhofer IEM im Rahmen des Secure Engineering Lab in Paderborn klare Empfehlungen. Hier die drei wichtigsten Sofortmaßnahmen, die sofort ergriffen werden sollten:

1. Schnelleinsatzteam für Schwachstellen etablieren

Sicherheitslücken in vernetzten Produkten müssen zügig gemeldet und behandelt werden. Hersteller müssen eine erste Warnung innerhalb von 24 Stunden und umfassendere Details innerhalb von 72 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) übermitteln. Ein Product Security Incident Response Team (PSIRT) ist unverzichtbar, um diese Anforderungen zu erfüllen. Bereits ab Juni 2026 gelten diese Meldepflichten für sämtliche Produkte, auch für solche, die vor Inkrafttreten des CRA auf den Markt kamen.

2. Bedrohungs- und Risikoanalysen fest in den Entwicklungsprozess integrieren

Hersteller müssen regelmäßige Risikoanalysen für ihre Produkte durchführen und spezifische Sicherheitsmaßnahmen umsetzen. Diese Analysen sind essenziell, um die Sicherheitsrisiken zu identifizieren und gezielt Maßnahmen abzuleiten. Ziel ist es, die Sicherheit kontinuierlich zu verbessern und unnötige Kosten für fehlerhafte Schutzmaßnahmen zu vermeiden.

3. Ist-Stands-Analyse: Der Weg zur Compliance

Eine Ist-Stands-Analyse der Produkte und Prozesse im Hinblick auf den CRA ist der erste Schritt zur Compliance. Obwohl es noch keine harmonisierten Normen für den CRA gibt, bietet die IEC 62443 eine gute Orientierung. Unternehmen sollten nicht abwarten, sondern schon jetzt die Analyse durchführen und notwendige Maßnahmen ergreifen, um Zeit und Ressourcen zu sparen.

Fazit: Sofort handeln oder Millionenstrafen riskieren

Der CRA fordert rasches Handeln. Aufschieben ist keine Option, denn die Strafzahlungen bei Verstößen können in die Millionen gehen. Durch die drei genannten Sofortmaßnahmen können Unternehmen den Weg zur CRA-konformen Produktentwicklung rechtzeitig beginnen. Zusammenarbeit mit Experten wie dem Fraunhofer IEM und die frühzeitige Umsetzung der Maßnahmen sichern den Erfolg.