05. Mai 2025
12 MIN.
In diesem Beitrag
Welche Anforderungen stellt der
Cyber Resilience Act an die
Produktsicherheit?
- 1. Secure by Design
- 2. Schwachstellenmanagement
und Sicherheitsupdates - 3. Sichere Konfiguration und
Zugriffskontrolle - 4. Monitoring und Incident Response
- 5. Lebenszyklusmanagement
Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter Produkte
Während die NIS-2 das Thema Cybersicherheit in der europäischen Wirtschaft auf organisatorischer und prozessualer Ebene angeht, nimmt der kürzlich in Kraft getretene Cyber Resilience Act (CRA) die Endprodukte in den Fokus. Mit den neuen Regulierungen macht die EU beim Thema Cybersicherheit Ernst – Anforderungen sind jetzt klarer strukturiert, auf mehr Bereiche ausgeweitet und Sanktionen verschärft. So soll der Binnenmarkt insgesamt resilienter werden und zukünftig handlungsfähig bleiben.
Der CRA gilt für alle verkauften Produkte mit digitalen Komponenten, die an ein Netzwerk angeschlossen oder mit anderen Geräten verbunden werden können.
Darunter fallen:
- Hardware wie Laptops, Smartphones, IoT-Geräte, Mikroprozessoren usw.
- Softwareprodukte wie mobile Apps, Buchhaltungssoftware, Computerspiele
- Software-as-a-Service (SaaS) Anwendungen, die direkt mit einem Endgerät verbunden sind (z.B. Fitness-Software)
Unabhängig von ihrem Preis sind sowohl Produkte für den Endverbraucher als auch B2B-Lösungen betroffen. Damit hat der CRA weitreichende Konsequenzen für produzierende Unternehmen weltweit, die auf dem EU-Markt verkaufen wollen.
Bei Verstößen drohen
empfindliche Strafen mit Bußgeldern bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes.
Produkte, deren Sicherheitsmängel nicht behoben werden können, müssen zurückgerufen und vom Markt genommen werden.
Verletzt die Geschäftsführung ihre Sorgfaltspflichten, kann sie auch persönlich haftbar gemacht werden.
Doch in den neuen Anforderungen stecken auch Chancen für Hersteller, die von Anfang an das adäquate Niveau an Sicherheit in die Produktentwicklung integrieren und sich so auf dem neu regulierten Markt von der Konkurrenz abheben können. Lernen Sie im Folgenden die wichtigsten Vorgaben des Cyber Resilience Acts kennen, bevor wir aufzeigen, wie Sie die größten Herausforderungen für Ihr Unternehmen mit individuell für Ihre Produkte entwickelter Software meistern können.
Welche Anforderungen stellt der Cyber Resilience Act an die Produktsicherheit?
Der CRA hat zum Ziel, die Cyberresilienz im gesamten Produktlebenszyklus zu stärken. Dementsprechend vielfältig sind die Vorgaben, die sich nicht nur auf das fertige Produkt auswirken, sondern auch die Entwicklung, Konfiguration und den Support nach Verkauf mitbeachten. Im Zusammenspiel mit NIS-2 und weiteren Regulierungen sind in den EU-Vorschriften jetzt alle Aspekte der Informationssicherheit abgedeckt. Mit Cybersicherheit muss sich zukünftig also jedes Unternehmen auseinandersetzen.
Sehen wir uns die wichtigsten Inhalte des CRA genauer an:
1. Secure by Design
1. Secure by DesignDas Secure by Design-Prinzip kommt aus der Softwareentwicklung und bedeutet, dass bereits ab der Konzeptionsphase eines neuen Produktes Aspekte der Cybersicherheit den Entwicklungsprozess anleiten. Nach gängigen Best Practices werden angemessene Sicherheitsverfahren ausgewählt und während der Entwicklung und Produktion angewandt.
Dabei empfiehlt es sich für Industrieunternehmen, auf international anerkannten Standards aufzubauen, die Orientierung in verschiedenen Bereichen bieten, darunter:
- Die EN 18031 Norm, die sich mit der Cybersicherheit von Funkanlagen beschäftigt und im Rahmen der RED (Radio Equipment Directive) entwickelt wurde
- Die EN 50742 für den Schutz von Maschinen vor Korrumpierung (befindet sich aktuell in Planung)
- Die Common Criteria der ISO/IEC 15408 zur Evaluierung und Zertifizierung der Sicherheit von IT-Produkten
Im Rahmen der verpflichtenden CE-Kennzeichnung für alle Produkte, die unter den CRA fallen, gilt es, die relevanten Industrienormen zu erfüllen. So können Unternehmen nachweisen, dass die geforderten Maßnahmen des Cyber Resilience Act angemessen implementiert sind. Diese müssen vollständig dokumentiert und zur Zulassung des Produktes eingereicht werden.
2. Schwachstellenmanagement und Sicherheitsupdates
2. Schwachstellenmanagement und SicherheitsupdatesZum Marktstart dürfen nach den Bedingungen des CRA keine bekannten Schwachstellen im Produkt vorliegen. Außerdem müssen Prozesse zur kontinuierlichen Identifizierung und Behebung entdeckter Schwachstellen nachgewiesen werden.
Wird eine neue Sicherheitslücke ausgemacht, ist das Unternehmen in der Pflicht, kostenlos Sicherheitsupdates nachzuliefern und diese auch automatisch auf den Geräten oder in der Software auszurollen. Diese automatischen Updates sind in der Grundeinstellung aktiviert. Nutzer sollen jedoch die Möglichkeit haben, Updates ablehnen oder verschieben zu können.
3. Sichere Konfiguration und Zugriffskontrolle
3. Sichere Konfiguration und ZugriffskontrolleDie Produzenten werden dazu aufgefordert, sichere Werkseinstellungen anzulegen und immer eine Möglichkeit zum Zurücksetzen anzubieten. Standardpasswörter wie “admin” oder “0000” dürfen im Auslieferungszustand nicht verwendet werden, oder sie müssen während der ersten Inbetriebnahme verpflichtend vom Nutzer geändert werden.
Außerdem muss der Zugriff auf sensible Daten ausreichend geschützt werden: Geeignete Maßnahmen gegen Brute-Force-Attacken wie Rate Limiting und Mindestlängen bei Passwörtern sind genauso zu implementieren wie verschlüsselte Authentifizierungsmethoden.
4. Monitoring und Incident Response
4. Monitoring und Incident ResponseAuch nach Rollout oder Verkauf des Produktes werden Hersteller zu einigen Maßnahmen verpflichtet. Dazu gehört ein kontinuierliches Monitoring aller sicherheitsrelevanten Aktivitäten, beispielsweise der Nutzer-Authentifizierungen oder des Netzwerkverkehrs, um Anomalien aufzuspüren.
Um das deutlich zu machen: Die Verantwortung für die Durchführung des Monitorings liegt direkt beim Hersteller. Es reicht nicht, nur dem Käufer oder Nutzer die Möglichkeit dazu einzuräumen. Jedoch muss den Nutzern Zugriff auf die geloggten Daten gewährt werden und das Monitoring deaktiviert werden können.
Schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeldet werden – auch an Wochenenden und Feiertagen. Während der Vorfall behandelt wird, muss zudem sichergestellt sein, dass die Kernfunktionen des Produkts weiter funktionieren.
5. Lebenszyklusmanagement
5. LebenszyklusmanagementWie bereits aus den erläuterten Anforderungen herauszulesen ist, verantworten die Produzenten in Zukunft den gesamten Lebenszyklus ihrer digitalen Produkte in der EU. Dafür muss auch ein angemessener Zeitrahmen für den technischen Support definiert werden.
Erreicht das Produkt seinen End of Life (EOL)-Status, müssen Mechanismen vorliegen, die es den Nutzern erlauben, sämtliche Daten zu löschen oder gegebenenfalls in eigene Systeme zu transferieren.
Herausforderungen für die Industrie
Produzierenden Unternehmen wird mit den neuen Cybersicherheits-Richtlinien der EU viel abverlangt. Immer mehr Geräte und Produkte müssen digitale Komponenten enthalten, um auf dynamischen Märkten bestehen zu können. Diese Entwicklung erfordert ohnehin den langwierigen Aufbau von Kompetenzen, die in herkömmlichen Industrien lange eine untergeordnete Rolle gespielt haben. Fachkräfte müssen gefunden und geschult werden, Produktionslinien nachgerüstet und Organisationsstrukturen angepasst werden. Strenge und detaillierte Vorgaben bezüglich der Cybersicherheit erhöhen den Druck jetzt zusätzlich.
Doch in den veränderten Marktbedingungen liegen auch Chancen für Industrieunternehmen, die den Wandel mitgehen und die richtigen Investitionen tätigen. Eine stärkere Cyberresilienz sichert nicht nur Ihren langfristigen Geschäftserfolg ab – wenn Sie Ihre Produkte früher als die Konkurrenz den neuen Anforderungen anpassen und an den Kunden bringen können, erobern Sie zusätzliche Marktanteile.
Chancen des CRA ergreifen – mit individuellen Lösungen
Für den Übergang in eine digitale Zukunft stehen Softwarepartner wie TRIOVEGA bereit, die sich mit den spezifischen Bedürfnissen der Industrie auskennen. Mit Custom Software Solutions entwickeln wir genau die Softwarelösungen, die Sie in Ihren Produkten benötigen. Kaufen Sie sich ganze Projekte oder Teilkomponenten ohne Vendor Lock-In ein oder verstärken Sie Ihre Teams zielgerichtet durch zusätzliche Fachkräfte und unsere Erfahrung.
In einem ersten Schritt analysieren unsere Requirement Engineers gemeinsam mit Ihnen die Ausgangslage für Ihre Softwareanwendung. Dabei werden die Sicherheitsanforderungen von Anfang an mitgedacht und in die Projektplanung integriert – Secure by Design, wie es der Cyber Resilience Act erfordert. Lassen Sie uns über Ihr Projektvorhaben sprechen:
Vereinbaren Sie jetzt einen unverbindlichen Termin.
Die meisten Sicherheitsmaßnahmen, die im CRA dargelegt werden, setzen eine Selbsteinschätzung des produzierenden Unternehmens voraus. Wenn die innerbetriebliche Vorerfahrung mit digitalen Produkten begrenzt ist, kann das zur Herausforderung werden. Partner mit Expertise in der Cybersicherheit für industrielle Umgebungen können Ihnen dabei helfen, das passende Sicherheitsniveau auszuwählen, um kosteneffizient und präzise alle regulatorischen Anforderungen zu erfüllen.
Mit zielgerichteten Investitionen können Sie die Chancen nutzen, die sichere individuelle Softwareentwicklung bei der Umsetzung des CRA bietet.
Autor: René Janz
René Janz ist als Wirtschaftsingenieur mit tiefem Wissen über den Shopfloor seit 2023 bei TRIOVEGA GmbH tätig und verantwortet dort in seiner Rolle als Director Business Development den strategischen Ausbau von OT Sicherheit und Digitalisierung in der Industrie.
Sie wollen mehr über unsere Produkte
und Lösungen erfahren?
edge.SHIELDOR
Ganzheitliche OT Sicherheit für Industrieanlagen, die Datenkonnektivität
ermöglicht und nachhaltig Kosten senkt
service.factory.INSIGHTS
Potenziale entdecken und Produktionsprozesse nachhaltig optimieren
mit unserer Data Science-Expertise
Das könnte Sie auch interessieren:
- Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter ProdukteFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
- CIA-Triade in der Industrie 4.0: So sichern Sie den ShopfloorFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
- NIS-2-Richtlinie: Welche Maßnahmen die Industrie jetzt umsetzen mussWelche Maßnahmen fordert die NIS-2-Richtlinie von Industrieunternehmen? Entdecken Sie die wichtigsten Anforderungen und Pflichten für eine erfolgreiche Umsetzung.
