|
Düsseldorf (ots) - Der Cyber Resilience Act tritt in diesem Jahr in die
operative Phase mit Meldepflichten - Hersteller müssen zügig handeln
Der Cyber Resilience Act (CRA) hat ab 2026 erstmals unmittelbare Auswirkungen,
auf die sich die Hersteller digitaler Geräte, Maschinen und Anlagen mit
Internetverbindung einstellen müssen. Darauf weist das Düsseldorfer
Cybersicherheitsunternehmen ONEKEY (https://www.onekey.com/de) hin, das eine
Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel
und CRA-Compliance betreibt.
Meldepflicht für Hersteller ab 11. September 2026
Der am 10. Dezember 2024 offiziell in Kraft getretene Cyber Resilience Act sieht
für das laufende Jahr einen für Firmen besonders wichtigen Zeitpunkt vor. Ab 11.
September 2026 greifen die "Verpflichtungen zur Meldung von aktiv ausgenutzten
Schwachstellen und schweren Sicherheitsvorfällen": Hersteller müssen
Sicherheitslücken und sicherheitsrelevante Vorfälle melden, sobald sie davon
Kenntnis erlangen - und zwar innerhalb kurzer Fristen. Hierzu baut die EU Agency
for Cybersecurity (ENISA) zurzeit eine einheitliche zentrale Meldeplattform -
CRA Single Reporting Platform (SRP) - auf, über die künftig alle Meldungen
abgegeben werden müssen.
Die umfassenden Anforderungen des CRA wie Security-by-Design,
Lifecycle-Management oder CE-Kennzeichnung unter CRA-Konformitätsnachweis gelten
vollständig ab 11. Dezember 2027. "2026 beginnt die operative Phase des Cyber
Resilience Act", sagt ONEKEY-Geschäftsführer Jan Wendenburg.
In wenigen Monaten, ab 11. Juni 2026 werden die ersten
Konformitätsbewertungsstellen (CABs) ihre Tätigkeit aufnehmen und die
Konformität von Produkten vorab prüfen. Es handelt sich dabei um zugelassene,
unabhängige Prüfstellen. Dadurch können Hersteller einen externen
CRA-Konformitätsnachweis erhalten. Warum Eile geboten ist, erklärt ONEKEY-CEO
Jan Wendenburg: "Die betroffenen Hersteller müssen bis spätestens dahin ihre
internen Prozesse, Dokumentationen, technischen Nachweise und
Sicherheitsanforderungen so vorbereitet haben, dass eine CAB überhaupt etwas
prüfen kann." Für Produkte mit hohem Sicherheitsrisiko (CRA-Klassen "critical"
und "highly critical") wie beispielsweise kritische Infrastruktur-Komponenten,
IoT-Geräte mit großem Schadenspotenzial, industrielle Steuerungssysteme ist die
externe Konformitätsbewertung Pflicht.
"Für rund 90 Prozent aller vernetzten Produkte genügt allerdings eine
Selbsterklärung", stellt Jan Wendenburg klar. Es handelt sich dabei um eine
Erklärung des Herstellers, dass ein digitales Produkt die Anforderungen des CRA
erfüllt und rechtskonform in Verkehr gebracht wird. Diese muss eine detaillierte
Konformitätsbewertung beinhalten, wie sie über die ONEKEY-Plattform erreicht
werden kann. Ohne eine solche Erklärung dürfen diese Produkte nach dem 11.
Dezember 2027 nicht mehr auf dem EU-Markt verkauft werden.
Höchste Zeit für die Hersteller
Jan Wendenburg erklärt: "Es wird höchste Zeit für die Hersteller, ihre
vernetzten Geräte, Maschinen und Anlagen einer CRA-Konformitätsbewertung zu
unterziehen." Aus Erfahrungen bei den entsprechenden Tests auf der
ONEKEY-Plattform weiß er: "In den meisten Fällen treten Lücken zutage, von denen
viele nicht leicht zu beheben sind. Die Hersteller sollten sich auf einen
entsprechenden Zeit-, Kosten- und Personalaufwand einstellen, um den
gesetzlichen Anforderungen zu genügen, die auf sie zukommen." Als Beispiele
nennt er: Schwachstellen in externen Programmen von Partnern außerhalb der EU
mit wenig Verständnis für CRA-Compliance, zugekaufte Komponenten mit
unvollständiger Dokumentation oder Open-Source-Software.
Der ONEKEY-Geschäftsführer führt aus: "Einer der ersten Schritte besteht darin,
für jedes vernetzte Produkt eine lückenlose Software-Stückliste zu erstellen,
eine sogenannte Software Bill of Materials, kurz SBOM. Und das erweist sich
häufig als schwierig." Ziel ist es, mögliche Software-Schwachstellen, die
Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah
beheben zu können. Der CRA verlangt daher eine detaillierte Auflistung aller
Programme, Bibliotheken, Frameworks und Abhängigkeiten mit genauen
Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen
Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten
Schwachstellen und Sicherheitslücken. Diese Anforderungen zu erfüllen fällt
vielen Herstellern schwer, und sei es nur, weil sie von ihren Vorlieferanten
nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhalten.
Jan Wendenburg stellt klar: "Viele SBOMS sind unvollständig, veraltet oder ohne
Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend
vorgeschriebene Nachweispflicht sind diese lückenhaften und teilweise überholten
Software-Stücklisten unbrauchbar."
Großteil des Aufwands lässt sich automatisieren
Indes gehen die CRA-Auflagen weit über die bloße Bereitstellung einer korrekten
SBOM hinaus. So werden die Hersteller verpflichtet, Sicherheitsvorgaben bereits
während der Konzeptions- und Entwicklungsphase ihrer Produkte umzusetzen. Dazu
gehören sichere Software- und Hardwaredesigns, klare Vorgaben zur
Schwachstellenbehandlung, die Einführung eines durchgängigen Risikomanagements
sowie verpflichtende Sicherheitsupdates über definierte Produktlebenszyklen
hinweg. "Alle diese Maßnahmen müssen nicht nur durchgeführt, sondern auch
bewertet, dokumentiert und nachgewiesen werden", umreißt Jan Wendenburg den
Aufwand.
Er resümiert: "Die bevorstehende erste Umsetzungsphase des Cyber Resilience Act
stellt zweifellos einen Meilenstein für die digitale Sicherheit in Europa dar,
aber sie führt auch für die Hersteller zu einem Aufwand erheblichen Ausmaßes."
ONEKEY (https://www.onekey.com/de) ist Europas führender Spezialist für Product
Cybersecurity & Compliance Management und Teil des Investmentportfolios von
PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der
automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit
Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse,
Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und
Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum
End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware
werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch
im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch
die integrierte Erstellung von "Software Bills of Materials (SBOMs)" können
Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins"
ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach
dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits
heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2,
ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte,
automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit
bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren
bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform
(OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: mailto:sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: mailto:team@euromarcom.de, Web: http://www.euromarcom.de
Weiteres Material: http://presseportal.de/pm/151206/6210974
OTS: ONEKEY GmbH
|
