33%u201eWas bedeutet das neue EU-Gesetz f%u00fcr mein Unternehmen und was muss ich jetzt tun?%u201c Diese Frage stellen sich viele F%u00fchrungskr%u00e4fte angesichts des Cyber Resilience Acts (CRA). Wir haben mit Michael Brunner, Head of Security Engineering bei CERTAINITY,gesprochen. Der Experte f%u00fcr Cybersecurity teilt mit uns seine To-do-Liste f%u00fcr Unternehmen. Sein Rat: %u201eProaktiv sein.%u201c Denn das Gesetz ist bereits in Kraft und die Berichtspflichten m%u00fcssen bis September 2026 umgesetzt werden, der vollst%u00e4ndige Act bis Ende 2027. Die Ziele: Mindestsicherheitsstandards f%u00fcr Produkte schaffen und eine effiziente Behandlung von Schwachstellen erm%u00f6glichen. #1 Betroffenheit kl%u00e4ren %u201eDer CRA ist die erste EU-weite Gesetzgebung, die die Cybersicherheit von Produkten horizontal regelt, und zwar mit enormer Reichweite.%u201c Was der Experte damit meint? %u201eDie Deff nition ist breit gefasst: Jedes Produkt mit digitalen Elementen, das eine direkte oder indirekte Datenverbindung hat, f%u00e4llt darunter: von meinem Handy bis zum Bluetooth-Teddyb%u00e4r eines Kindes %u2013 und auch einfach Softwareprodukte.%u201c Unternehmen m%u00fcssen daher die Cybersecurityrisiken ihrer Produkte verstehen und von Anfang an in der Produktentwicklung bis hin zum laufenden Betrieb ber%u00fccksichtigen. #2 L%u00fccken identifizieren %u201eEs macht wenig Sinn, einfach irgendwo anzufangen. Stattdessen sollte man strukturiert vorgehen und eine Gap-Analyse in drei Dimensionen durchf%u00fchren.%u201c Drei Bereiche seien entscheidend: die Produkte selbst, der Entwicklungsprozess und der Prozess zur Schwachstellenbehandlung. %u201eBei kleinen und mittelst%u00e4ndischen Unternehmen sehe ich den gr%u00f6%u00dften Nachholbedarf beim Umgang mit Letzterem, da viele hierf%u00fcr noch keine Strukturen geschaffi en haben.%u201c #3 Entwicklungsprozesse optimieren  ist keine Raketenwissenschaft %u201eStreng genommen wird nichts gefordert, was nicht l%u00e4ngst Stand der Technik sein sollte.%u201c Brunner betont, dass es sich um Mindeststandards handelt. %u201eDas zentrale Element ist das verpffl ichtende CyberRisk-Assessment f%u00fcr jedes Produkt. Unternehmen m%u00fcssen sich konkret mit den Bedrohungen auseinandersetzen und diese in der Entwicklung bedenken. Nicht erst, wenn es jemandem auffi %u00e4llt.%u201c #4 Schwachstellenmanagement  etablieren %u201eEine gro%u00dfe Challenge ist die 24-Stunden-Frist f%u00fcr die Meldung aktiv ausgenutzter Schwachstellen an die ENISA und das CSIRT, also Beh%u00f6rden des jeweiligen EU-Landes.%u201c Das erfordere klare Strukturen: %u201eEs braucht einen Disclosure-Prozess, damit Kunden oder Forscher Schwachstellen melden k%u00f6nnen, die Bef%u00e4higung zur Analyse und Ressourcen zur Behebung %u2013 idealerweise mit automatisierten Securityupdates.%u201c #5 Konformit%u00e4t nachweisen &  langfristig denken %u201eF%u00fcr die meisten Produkte reicht ein Self-Assessment, aber dieses muss sorgf%u00e4ltig dokumentiert sein.%u201c Brunner warnt davor, dies auf die leichte Schulter zu nehmen: %u201eMan sollte nicht warten, bis jemand anklopft.%u201c Zudem m%u00fcsse man das Gesch%u00e4ftsmodell anpassen: %u201eDer Act verpffl ichtet unter anderem auch zur kostenfreien Bereitstellung von Securityupdates f%u00fcr mindestens f%u00fcnf Jahre. Das muss in den Business Case eingerechnet werden.%u201c_ Text David Bauer Foto PicturePeople InnsbruckCyber Resilience Act %u2013 und jetzt?!Das Niveau f%u00fcr die Cybersicherheit vernetzter Produkte war in der EU lange zu niedrig.Michael BrunnerHead of Security Engineering, CERTAINITY