So erfüllen Sie die neuen EU-Vorschriften zur Cyber-Resilienz

Die britische Regulierung ist der EU selten einen Schritt voraus. Doch genau das geschah im April 2024, als die Produktsicherheit und Telekommunikationsinfrastruktur in Großbritannien (PSTI) Act, der vernetzte Geräte regelt, wurde Gesetz. Was dem PSTI jedoch an Geschwindigkeit gelang, ging an Umfang verloren. Die EU-Version, der Cyber ​​Resilience Act (CRA), ist weitaus umfassender und detaillierter und wird die Messlatte für die Einhaltung der Vorschriften sehr hoch legen – und einen strengen Ansatz für das Cyber-Risikomanagement erfordern.

Auf hohem Niveau soll das CRA die Sicherheit und Zuverlässigkeit vernetzter Technologien verbessern und es Käufern dank eines Gütesiegelsystems erleichtern, qualitativ hochwertige Produkte zu erkennen. Bei Strafen von bis zu 15 Millionen Euro oder 2.5 Prozent des Jahresumsatzes ist Nichteinhaltung keine Option und für britische Unternehmen, die den riesigen EU-Markt erschließen möchten, ein Muss. Glücklicherweise wird die Einhaltung bewährter Sicherheitsstandards wie ISO 27001 einen Großteil der Arbeit erleichtern.

Was wird abgedeckt?

Das CRA gilt für:

• Produkte mit digitalen Elementen (PDEs) – also Software oder Hardware, die eine Verbindung zu einem Gerät oder Netzwerk herstellen kann
• Lösungen einer PDE zur „Remote-Datenverarbeitung“
• Die Software- oder Hardwarekomponenten einer PDE, die separat vermarktet werden

In der Praxis bedeutet dies eine breite Produktpalette, darunter intelligente Geräte wie Smartphones, Tablets, PCs, Fernseher und Kühlschränke, Wearables und sogar Kinderspielzeug. Einige Produktkategorien wie medizinische Geräte und Fahrzeuge, die bereits reguliert sind, werden vom CRA bisher nicht abgedeckt.

Was müssen Sie tun?

Die Gesetzgebung gilt für Hersteller, ihre autorisierten Vertreter, Importeure, Händler und Einzelhändler. Der größte Teil der Compliance-Last wird auf die Hersteller fallen, die:

• Bewerten Sie die Cybersicherheitsrisiken von PDE und stellen Sie sicher, dass Produkte in Übereinstimmung mit den grundlegenden Cybersicherheitsanforderungen (ECRs) der CRA entwickelt und hergestellt werden.
• Stellen Sie sicher, dass extern bezogene Komponenten die Sicherheit der PDE nicht beeinträchtigen.
• Schwachstellen zeitnah dokumentieren und patchen
• Bereitstellung von Sicherheitssupport für fünf Jahre oder die gesamte Lebensdauer des Produkts (je nachdem, welcher Zeitraum kürzer ist).
• Benachrichtigen Sie die EU-Sicherheitsagentur ENISA innerhalb von 24 Stunden nach Bekanntwerden einer aktiven Ausnutzung einer Sicherheitslücke oder eines anderen Sicherheitsvorfalls und teilen Sie ihr die erforderlichen Korrekturmaßnahmen mit.
• Geben Sie detaillierte Informationen zur Installation von Produktupdates, zur Meldung von Schwachstellen und zu anderen Herstellerdetails an.
• Etablierung eines Konformitätsbewertungsprozesses zur Überprüfung der CRA-Konformität

Importeure müssen sich der oben genannten Punkte bewusst sein, um ihren Verpflichtungen nachzukommen und sicherzustellen, dass in der EU nur konforme PDEs verkauft werden. Die CRA verfügt über eine umfangreiche Liste von ECRs aufgeführt in Anhang I der Gesetzgebung, die offen und nicht detailorientiert gestaltet sind, um sie auch bei technologischer Weiterentwicklung relevant zu halten. Sie enthalten Anforderungen an PDEs, die:

• Hergestellt ohne bekannte ausnutzbare Schwachstellen und mit einer sicheren Standardkonfiguration
• Entwickelt und hergestellt mit einem „angemessenen“ Maß an Cybersicherheit und auf eine Weise, die die Auswirkungen von Sicherheitsvorfällen verringert
• Bietet Schutz vor unbefugtem Zugriff durch starke Authentifizierung
• Kann die Vertraulichkeit gespeicherter, übertragener oder verarbeiteter Informationen schützen, beispielsweise durch Verschlüsselung
• Entspricht den Grundsätzen der Datenminimierung
• Entwickelt und hergestellt mit einer begrenzten Angriffsfläche
• Entwickelt, um sicherzustellen, dass Schwachstellen über Produktupdates behoben werden können, wenn möglich automatisch
• Produziert im Rahmen einer Richtlinie zur Offenlegung von Sicherheitslücken

Zeit zum Planen

John Moor, Leiter der IoT Security Foundation (IoTSF), erklärt, dass zwar noch kein Grund zur Panik bestehe, die Hersteller jedoch mit der Zusammenarbeit innerhalb ihrer Lieferketten beginnen müssten, um zu ermitteln, inwieweit neue Produkte dem CRA entsprechen.

„Produkte auf dem Markt sind derzeit nicht in den Geltungsbereich einbezogen, benötigen aber möglicherweise einen End-of-Life-Plan“, sagt er gegenüber ISMS.online. „Obwohl der Zeitrahmen ungefähr 36 Monate beträgt, werden einige Bestimmungen früher in Kraft treten. Die Produkthersteller müssen zu diesem Datum konform sein, und da jeder in der Lieferkette Verantwortung übernehmen muss, deutet dies auf eine vorausschauende Planung hin.“

Neben der Zusammenarbeit mit diesen Lieferkettenpartnern sollten Hersteller auch prüfen, ob ihre internen Prozesse aus der Perspektive des Risiko- und Schwachstellenmanagements für ihren Zweck geeignet sind, argumentiert Moor.

„Dann kommen wir zum Produkt selbst. Hier kommen Sicherheits- und Privacy-by-Design-Praktiken ins Spiel. Viele Hersteller sind mit diesen Elementen bereits vertraut, die über die traditionellen Aspekte von Funktionalität, Leistung und Stromverbrauch hinausgehen“, sagt er. „Wo können sie Hilfe bekommen? Berater, Testlabore und Organisationen wie das IoTSF. Wir wurden 2015 gegründet und konnten sehen, in welche Richtung sich die Welt bewegte. Daher haben wir vorausgesehen, was kommen würde, und Ratschläge, Prozesse und Methoden in unsere Leitfäden und Tools integriert.“

Wie ISO 27001 helfen kann

Angesichts der langen und anspruchsvollen Compliance-Anforderungen des CRA können Organisationen auch davon profitieren, bereits etablierte Best-Practice-Standards zu befolgen, die für das Gesetz relevant sind. Moor sagt, dass die Produktentwicklungsstandards ISO/SAE 21434 für die Automobilindustrie und IEC/ISA 62443 für industrielle Steuerungssysteme wahrscheinlich am relevantesten sind. Andere Experten sagen jedoch auch, dass es einige Überschneidungen mit ISO 27001 gibt.

Adam Brown, leitender Sicherheitsberater bei Schwarze Ente, sagt gegenüber ISMS.online, dass dies eine „gute Grundlage“ für britische Technologieunternehmen sein könnte, die ein Auge auf den CRA werfen.

„Der systematische Ansatz von ISO 27001 zu Risikomanagement, sicherer Entwicklung, Lieferkettensicherheit, Vorfallreaktion und Lebenszyklusmanagement deckt viele der gleichen Bereiche ab, auf die auch die CRA Wert legt. Allerdings zielt ISO 27001 auf die organisatorische Sicherheit ab, während die CRA auf einzelne Produkte abzielt“, fügt er hinzu.

„Organisationen, die eine ISO-Akkreditierung durchlaufen haben, kennen sich mit Risikobewertung aus; die CRA schreibt auch eine gründliche Risikobewertung pro Produkt vor. Sicherheit durch Design und Vorgabe: Anhang 1(h) der CRA verlangt, dass Produkte so konzipiert, entwickelt und produziert werden, dass Angriffsflächen, einschließlich externer Schnittstellen, begrenzt werden. Ebenso befasst sich Anhang A.27001 der ISO 14 mit der sicheren Entwicklung und Unterstützung von Informationssystemen, einschließlich der Integration von Sicherheit in den gesamten Lebenszyklus der Softwareentwicklung.“

Die gute Nachricht ist, dass die Ausrichtung auf ISO 27001 Herstellern nicht nur die Voraussetzungen für eine erfolgreiche Einhaltung der CRA-Vorschriften bietet. Sie kann auch dazu beitragen, eine sichere Grundlage für eine Reihe anderer Branchenvorschriften und -anforderungen zu schaffen, von NIS 2 bis zur DSGVO. Vielleicht ist es an der Zeit, einen Blick darauf zu werfen.