Sind Sie CRA Ready?

Ab dem 11. Dezember 2027 gilt es ernst - alle Produkte mit digitalen Elementen, die ab dann in der EU verkauft werden, müssen Anforderung an die Cybersicherheit erfüllen.

Dies verlangt der Cyber Resilience Act (CRA), die erste europäische Verordnung, die ein Mindestmass an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.

Ziele und Anwendungsbereich

Ziel des CRA ist es, die Cybersicherheit innerhalb der Europäischen Union zu erhöhen. Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt.

Alle Produkte, die in der EU verkauft werden und «digitale Elemente» enthalten, müssen den Anforderungen des CRA entsprechen. «Produkte mit digitalen Elementen» werden im CRA als Produkte definiert, die direkt oder indirekt mit einem Gerät oder einem Netzwerk verbunden werden können. Damit gilt der CRA sowohl für vernetzte Geräte als auch für reine Softwareprodukte (z.B. Buchhaltungssoftware, Webapplikationen, mobile Apps).

Was gilt für Open-Source-Software?

Nicht-kommerzielle Open-Source-Softwareprodukte (OSS) sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.

Aber Achtung – werden OSS Komponenten in eigenen Lösungen integriert, so ist der Integrator für die Sicherheit der Gesamtlösung verantwortlich, also auch für die OSS Komponenten.

Prozesse sind zentral

Der CRA soll primär dafür sorgen, dass auf dem Markt erhältliche Produkte ein gewisses Mass an Widerstandsfähigkeit gegen Cyberangriffe aufweisen und dass bekannte Schwachstellen schnell behoben werden. Er setzt nicht nur darauf, dass ausgelieferte Produkte sicher sind, sondern gibt auch vor, welche Prozesse es dazu braucht. Die wichtigsten:

Sicherer Softwareentwicklungsprozess

CRA konforme Produkte müssen mit einem sicheren Entwicklungsprozess entwickelt werden. Das bedeutet:

• Security by Design – Sicherheit muss schon in der Designphase berücksichtigt werden
• Secure by Default – die Grundeinstellungen müssen so sicher wie möglich sein
• Security Reviews – sicherheitsrelevante Themen müssen durch einen Spezialisten überprüft werden

Verwaltung der Cybersicherheits-Risiken

CRA Konformität verlangt, dass der Hersteller die Risiken beim Betrieb seiner Produkte kennt und kompensierend Massnahmen ergreift.

• Risikomanagement – Cyber-Sicherheits-Risiken müssen erkannt und periodisch bewertet werden; wo immer möglich, müssen risikomindernde Massnahmen getroffen werden
• Bedrohungsanalyse – Cyber Bedrohungen ändern sich laufend

Behandlung der Cybersicherheits-Problemen

Tritt ein Problem in diesem Bereich auf, zum Beispiel wird eine relevant Schwachstelle gefunden, muss ein Prozess definiert sein, um mit diesem Problem umzugehen – im Beispiel müsste ein Sicherheitsupdate erstellt und verteilt werden.

Lieferkette

Die Hersteller müssen wissen, welche Komponenten von Dritten in ihren Produkten verwendet werden.

• Software Stückliste – Software Bill of Material (SBOM) aus welchen Softwarekomponenten besteht das Produkt
• Schwachstellenmonitoring – gibt es bekannte Schwachstellen in verwendeten Komponenten, die die Sicherheit des Produktes gefährden? Die SBOM ist die Basis dafür.

Lebenszyklus

Der CRA deckt den gesamten Lebenszyklus eines Produktes ab, von der Entwicklung, über die Produktion und die Nutzung bis zur sicheren Ausserbetriebnahme.

Fazit

Damit Produkte mit digitalen Elementen nach dem 11. Dezember 2027 weiterhin in der EU verkauft werden können, müssen sie CRA konform sein. Nebst technischen Massnahmen, wie sicheren Updates, korrekt umgesetzte Kryptographie und sicherer Protokolle braucht es auch verschiedene Prozesse, die eine sichere Entwicklung und einen sicheren Betrieb gewährleisten.