Mehr Klarheit bei grundlegenden Anforderungen an Cybersecurity sowie zu den Normen, die sich im Rahmen des Cyber Resilience Act anwenden lassen – dazu trägt eine neue Veröffentlichung der Agentur der Europäischen Union für Cybersicherheit (ENISA) bei. „Das neue Paper gibt erstmals Einblicke in den Normungsprozess im Rahmen des Cyber Resilience Act. So liefert die ENISA einen hilfreichen Überblick über die vorgeschlagenen Anforderungen und deren Umsetzung in harmonisierte Normen“, erklärt Felix Brombach, Cybersecurity-Experte bei TÜV Rheinland.
„Security by Design“ gefordert
Hintergrund ist der Cyber Resilience Act (CRA), den das EU-Parlament im März 2024 verabschiedet hat. Das Ziel des CRA: Die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, zu verbessern. Das betrifft sowohl Produkte für Endverbraucher als auch Produkte, die Unternehmen beispielsweise in ihrer Produktion einsetzen. Das CRA nimmt erstmals den Grundsatz des „Security by Design“ in das europäische Technikrecht auf. Künftig genügt es nicht mehr, die CRA-Konformität für ein Produkt mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es ist eine fortlaufende Bewertung des Risikos nötig.
Relevant ist der Cyber Resilience Act für alle Unternehmen, die solche Produkte herstellen oder in ihrer Produktion einsetzen. Bislang fehlten Unternehmen allerdings viele Informationen zu den grundlegenden Anforderungen des CRA, um sich schon heute darauf vorzubereiten. „Das Paper und die darin geschilderten ‚Leitplanken‘ ermöglichen es nun zu analysieren, ob die eigenen digital vernetzten Produkte voraussichtlich bereits die vom CRA geforderten Normen erfüllen. Auch erste mögliche Anpassungen an den eigenen Produktions- und Entwicklungsprozessen werden nun konkret fassbar“, sagt Cybersecurity-Experte Brombach.
Lücken rechtzeitig erkennen
Nach Einschätzung der Cybersecurity-Fachleute von TÜV Rheinland sollten Unternehmen sich möglichst bald mit den im Paper festgelegten international anerkannten Normen beschäftigen und ihre Produkte entsprechend absichern. „Unternehmen können schon heute ein Sicherheitsniveau erreichen, das dem CRA entspricht – oder rechtzeitig Lücken erkennen“, so Brombach weiter. In Kraft treten soll der CRA innerhalb von 24 Monaten nach Verabschiedung durch den Europäischen Rat. Da der CRA eine Verordnung ist, gilt er unmittelbar in allen europäischen Mitgliedstaaten, ein nationaler Umsetzungsrechtsakt ist nicht erforderlich.
Das Paper der ENISA findet sich unter: Cyber Resilience Act Requirements Standards Mapping — ENISA.
„Security by Design“ gefordert
Hintergrund ist der Cyber Resilience Act (CRA), den das EU-Parlament im März 2024 verabschiedet hat. Das Ziel des CRA: Die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, zu verbessern. Das betrifft sowohl Produkte für Endverbraucher als auch Produkte, die Unternehmen beispielsweise in ihrer Produktion einsetzen. Das CRA nimmt erstmals den Grundsatz des „Security by Design“ in das europäische Technikrecht auf. Künftig genügt es nicht mehr, die CRA-Konformität für ein Produkt mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es ist eine fortlaufende Bewertung des Risikos nötig.
Relevant ist der Cyber Resilience Act für alle Unternehmen, die solche Produkte herstellen oder in ihrer Produktion einsetzen. Bislang fehlten Unternehmen allerdings viele Informationen zu den grundlegenden Anforderungen des CRA, um sich schon heute darauf vorzubereiten. „Das Paper und die darin geschilderten ‚Leitplanken‘ ermöglichen es nun zu analysieren, ob die eigenen digital vernetzten Produkte voraussichtlich bereits die vom CRA geforderten Normen erfüllen. Auch erste mögliche Anpassungen an den eigenen Produktions- und Entwicklungsprozessen werden nun konkret fassbar“, sagt Cybersecurity-Experte Brombach.
Lücken rechtzeitig erkennen
Nach Einschätzung der Cybersecurity-Fachleute von TÜV Rheinland sollten Unternehmen sich möglichst bald mit den im Paper festgelegten international anerkannten Normen beschäftigen und ihre Produkte entsprechend absichern. „Unternehmen können schon heute ein Sicherheitsniveau erreichen, das dem CRA entspricht – oder rechtzeitig Lücken erkennen“, so Brombach weiter. In Kraft treten soll der CRA innerhalb von 24 Monaten nach Verabschiedung durch den Europäischen Rat. Da der CRA eine Verordnung ist, gilt er unmittelbar in allen europäischen Mitgliedstaaten, ein nationaler Umsetzungsrechtsakt ist nicht erforderlich.
Das Paper der ENISA findet sich unter: Cyber Resilience Act Requirements Standards Mapping — ENISA.
