Skip to main content

Digitale Produktsicherheit: Keine Option mehr, sondern ein Muss für Softwarehersteller und Hardwareproduzenten

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union weitgehende Pflichten für Hersteller von Soft- und Hardware erlassen, die ab dem 11. Dezember 2027 gelten. Schon ab 11. September 2026 müssen die Hersteller der Aufsichtsbehörde identifizierte Schwachstellen melden und die Nutzer des digitalen Produkts darüber informieren.

Wer ein Produkt kauft oder least erwartet zu Recht, dass es einwandfrei funktioniert und den Zweck erfüllt, zu dem es eingesetzt wird. Bei digitalen Produkten wie Software und Hardware erwartet der Nutzer aber noch mehr: es muss Informationen sicher verarbeiten und resilient gegen böswillige Angriffe sein. Genau hier setzt der Cyber Resilience Act (CRA) der EU an. Er verlangt, dass alle digitalen Produkte, die in der EU auf den Markt gebracht werden, sicher konzipiert sind, über ein angemessenes Schwachstellenmanagement verfügen und während ihres gesamten Lebenszyklus die notwendigen Sicherheitsupdates erhalten. Diese Pflichten betreffen nicht nur die Hersteller, sondern auch Importeure und Händler von Soft- und Hardwareprodukten. Ausgenommen sind lediglich Produkte im Kontext der nationalen Sicherheit, der zivilen Luftfahrt und der Medizin sowie Fahrzeuge und In-vitro-Diagnostika.

Was zunächst wie Bürokratie erscheint, ist letztlich ein klarer Wettbewerbsvorteil für diejenigen, die den CRA zum Nutzen ihrer Kunden konsequent umsetzen:

  • Der Nutzer weiß bereits bei der Anschaffung, dass das Produkt so designt wurde, dass es die Anforderungen der betreffenden Kritikalitätsklasse erfüllt.
  • Während der Verwendungszeit kann sich der Nutzer sicher sein, dass der Hersteller Schwachstellen des Produkts zeitnah identifiziert und behebt und so die Sicherheit und Widerstandsfähigkeit seines Produkts gewährleistet.

Und damit sind auch die zwei großen Herausforderungen für Hersteller, Importeure und Händler digitaler Produkte beschrieben: Die sichere Produktentwicklung und die Gewährleistung der Produktsicherheit während seines gesamten Lebenszyklus.

Als Beratungsgesellschaft unterstützen wir Unternehmen genau an dieser Schnittstelle zwischen Technologie, Governance und Compliance mit

  • einer CRA-Betroffenheitsanalyse,
  • einem CRA Maturity Assessment auf Basis des ENISA-Modells für KMUs,
  • der Definition von Rollen, Verantwortlichkeiten und Eskalationswegen innerhalb des Unternehmens,
  • dem Aufbau von Vulnerability-Management-Prozessen und Product Security Incident Response Teams (PSIRT),
  • der Entwicklung von Melde- und Kommunikationsprozessen für identifizierte Schwachstellen und
  • der Begleitung des Unternehmens zur Audit- und Compliance-Readiness.

Bereits ab 11. September 2026 sind aktiv ausgenutzte Schwachstellen sowie schwerwiegende Sicherheitsvorfälle in Verbindung mit dem Produkt über die Single Reporting Platform (SRP) an die ENISA zu melden. Die Meldefristen sind mit 24 Stunden für die Erstmeldung, 72 Stunden für vertiefende Informationen sowie die Beschreibung ergriffener Korrektur- und Risikominderungsmaßnahmen und 14 Tagen für den Abschlussbericht sehr kurz bemessen. Außerdem müssen die Nutzer der digitalen Produkte über die Schwachstelle informiert werden und konkrete Hinweise zu Korrektur- und Abhilfemaßnahmen erhalten, die sie selbst ergreifen können.

Da der Cyber Resilience Act ab 11. Dezember 2027 in seinem vollen Umfang anzuwenden ist, sollten Unternehmen die Zeit bis dahin gut nutzen, um die Prozesse für das Produktdesign und den Support so anzupassen, dass alle Anforderungen erfüllt werden können.

Wir unterstützen Sie gerne bei der CRA-Betroffenheitsanalyse, der CRA-Reifegradbestimmung Ihres Unternehmens und bei der Umsetzung der Anforderungen des Cyber Resilience Act. Machen Sie die CRA-Compliance zu Ihrem Wettbewerbsvorteil!

Aus Gründen der besseren Lesbarkeit wird in den Texten auf die Verwendung geschlechtergerechter Sprachformen verzichtet und das generische Maskulinum verwendet.
Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

© Copyright 2024
evolving systems consulting GmbH