Veröffentlicht von:
Cyber Resiliance Act - Risk Assessment erforderlich
- 1 Minuten Lesezeit
Das Europäische Parlament hat im März 2024 die künftige Verordnung über horizontale Cybersicherheits-anforderungen für Produkte mit digitalen Elementen" (CRA) angenommen.
Das Gesetz muss noch den Rat passieren, um in Kraft treten zu können.
Es soll die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, verbessern will.
Betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen herstellen, aber auch Händler und Importeure.
In den Phasen Desgin, Entwicklung und Produktion und des Inverkehrsbringens sollen IT-Sicherungsmaßnahmen etabliert werden.
Unterschieden wird zwischen
- nicht kritischen Produkte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
- kritischen Produkte mit digitalen Elementen Klasse I (zum Beispiel Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
- hochkritischen Produkte mit digitalen Elementen (unter diese Kategorie fallen zunächst noch keine Produkte).
Sicherheitslücken müssen über den gesamten Produktlebenszyklus geschlossen werden. maximal jedoch über fünf Jahre. Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden. Hersteller müssen darüber hinaus Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden der europäischen Agentur für Cybersicherheit (ENISA) melden.
Für jedes Produkt muss ein Cybersecurity Risk Assessments durchgeführt werden (Art. 10 CRA-E). Cybersecurity Risiken müssen schon bei der Planung, dem Design, der Entwicklung, in der Produktion und der Wartung solcher Produkte angemessenen berücksichtigt werden.
Grundsätzlich muss der Hersteller für alle Produkte selbst Bewertungen durchführen, in denen er prüft, ob die Sicherheitsanforderungen des CRA eingehalten werden (Art 24 CRA-E). Daneben muss er Konformitätsbescheinigungen vorhalten. Für Produkte, die die EU Kommission als „kritisch“ einstuft, müssen die Bewertungen von unabhängigen Dritten oder nach einem Standard
durchgeführt werden.
Gerne unterstützen wir Sie bei der Umsetzung der neuen Anforderungen. Wir verfügen nicht nur über umfangreiche Erfahrung und IT-Rechts-Kenntnisse, sondern auch über Programmierkenntnisse und können daher die Umsetzung kompetent begleiten.
Artikel teilen: