Cyber Resilience Act – und jetzt?!
„Was bedeutet das neue EU-Gesetz für mein Unternehmen und was muss ich jetzt tun?“ Diese Frage stellen sich viele Führungskräfte angesichts des Cyber Resilience Acts (CRA). Wir haben mit Michael Brunner, Head of Security Engineering bei Certainity, gesprochen. Der Experte für Cybersecurity teilt mit uns seine To-do-Liste für Unternehmen. Sein Rat: „Proaktiv sein.“ Denn das Gesetz ist bereits in Kraft und die Berichtspflichten müssen bis September 2026 umgesetzt werden, der vollständige Act bis Ende 2027. Die Ziele: Mindestsicherheitsstandards für Produkte schaffen und eine effiziente Behandlung von Schwachstellen ermöglichen.
#1 Betroffenheit klären
„Der CRA ist die erste EU-weite Gesetzgebung, die die Cybersicherheit von Produkten horizontal regelt, und zwar mit enormer Reichweite.“ Was der Experte damit meint? „Die Definition ist breit gefasst: Jedes Produkt mit digitalen Elementen, das eine direkte oder indirekte Datenverbindung hat, fällt darunter: von meinem Handy bis zum Bluetooth-Teddybär eines Kindes – und auch einfach Softwareprodukte.“ Unternehmen müssen daher die Cybersecurityrisiken ihrer Produkte verstehen und von Anfang an in der Produktentwicklung bis hin zum laufenden Betrieb berücksichtigen.
#2 Lücken identifizieren
„Es macht wenig Sinn, einfach irgendwo anzufangen. Stattdessen sollte man strukturiert vorgehen und eine Gap-Analyse in drei Dimensionen durchführen.“ Drei Bereiche seien entscheidend: die Produkte selbst, der Entwicklungsprozess und der Prozess zur Schwachstellenbehandlung. „Bei kleinen und mittelständischen Unternehmen sehe ich den größten Nachholbedarf beim Umgang mit Letzterem, da viele hierfür noch keine Strukturen geschaffen haben.“
#3 Entwicklungsprozesse optimieren ist keine Raketenwissenschaft
„Streng genommen wird nichts gefordert, was nicht längst Stand der Technik sein sollte.“ Brunner betont, dass es sich um Mindeststandards handelt. „Das zentrale Element ist das verpflichtende Cyber-Risk-Assessment für jedes Produkt. Unternehmen müssen sich konkret mit den Bedrohungen auseinandersetzen und diese in der Entwicklung bedenken. Nicht erst, wenn es jemandem auffällt.“
#4 Schwachstellenmanagement etablieren
„Eine große Challenge ist die 24-Stunden-Frist für die Meldung aktiv ausgenutzter Schwachstellen an die ENISA und das CSIRT, also Behörden des jeweiligen EU-Landes.“ Das erfordere klare Strukturen: „Es braucht einen Disclosure-Prozess, damit Kunden oder Forscher Schwachstellen melden können, die Befähigung zur Analyse und Ressourcen zur Behebung – idealerweise mit automatisierten Securityupdates.“
#5 Konformität nachweisen & langfristig denken
„Für die meisten Produkte reicht ein Self-Assessment, aber dieses muss sorgfältig dokumentiert sein.“ Brunner warnt davor, dies auf die leichte Schulter zu nehmen: „Man sollte nicht warten, bis jemand anklopft.“ Zudem müsse man das Geschäftsmodell anpassen: „Der Act verpflichtet unter anderem auch zur kostenfreien Bereitstellung von Securityupdates für mindestens fünf Jahre. Das muss in den Business Case eingerechnet werden.“_
Redaktion
- David Bauer
Fotos
PicturePeople Innsbruck
