Düsseldorf. Mit dem Cyber Resilience Act (CRA) der EU wird die Industrie mit einem strengen Regelwerke konfrontiert. Hersteller, Importeure und Händler von Produkten mit digitalen Elementen – alles, was einen Mikrochip enthält – sind potenziell betroffen.
„Der Cyber Resilience Act wird unter anderem eine Cyber-Risikobewertung vorschreiben, bevor ein Produkt auf den Markt gebracht wird. Alle Hersteller müssen jetzt beginnen die kommenden Anforderungen in die Produktentwicklung zu integrieren, da die Entwicklung neuer Produkte und Varianten oft viele Monate und Jahre benötigt“, so Jan Wendenburg, Geschäftsführer von Onekey.
Neben den Sicherheitsmaßnahmen gegen unbefugten Zugriff sind Unternehmen künftig auch zum Software-Schwachstellen- und Patch-Management verpflichtet – und zwar bevor Schäden durch von Hackern ausnutzbare Schwachstellen entstehen. „Während des gesamten Produktlebenszyklus müssen Hersteller die Schwachstellen ihrer Produkte effektiv managen, regelmäßige Tests durchführen und ein umfassendes Patch-Management vorweisen. Hinzu kommt die Pflicht, eine klare Dokumentation zu führen“, so Wendenburg.
Auflistung aller Softwareprodukte
Dazu gehört auch die Führung einer Software Stückliste „Software Bill of Materials“ (kurz SBOM), die alle in einem Gerät oder einer Anlage enthaltenen Softwareprodukte – auch versteckte – detailliert auflistet. Auch personelle Strukturen müssen geschaffen werden: Bestimmte Aufgaben und Pflichten des CRA müssen von einem Beauftragten im Namen der Organisation wahrgenommen werden. Dazu gehört beispielsweise die Rolle des Ansprechpartners für die Marktaufsichtsbehörden.
Neben den Dokumentationspflichten müssen Unternehmen regelmäßig den Datenbestand zu den Produkten aktualisieren und die Daten bis zu zehn Jahre nach dem Inverkehrbringen des Produkts aufbewahren. „Es wird deutlich, dass der Druck – auch wenn die EU-Kommission das Gesetz etwas verschiebt – hoch ist. Produkte und Komponenten, auch von Drittanbietern, müssen auf Schwachstellen untersucht werden, Hersteller und Importeure müssen dies dokumentieren und die notwendigen Kapazitäten für die Informationspflichten bereitstellen. Für die Industrie bedeutet dies ein Umdenken in den etablierten Entwicklungs- und Produktionsprozessen“, so Wendenburg.
