Vorbereitung auf den Cyber ​​Resilience Act: Maßnahmen und Konsequenzen

Meldepflicht von Sicherheitslücken
Drei Sofortmaßnahmen zum Cyber ​​Resilience Law

14.10.2024

Quelle: Pressemitteilung

2 minutes Lesedauer

The Übergangsfrist bis der Cyber ​​Resilience Act will be erfüllt sein muss, ist kurz und bei Nichteinhaltung des CRA drohen Strafzahlungen in Millionenhöhe. These Maßnahmen sollten Unternehmen deshalb jetzt ergreifen.

Lange ist er angekündigt worden, jetzt ist er official: On October 10, the European Union’s Cyber ​​Resilience Act (CRA) was passed. It was released in November 2027 for EU management and software, linked to Mindestanforderungen in the Security point.

„Die Übergangsfrist, bis der CRA 2027 voll erfüllt werden muss, ist kurz. Unternehmen müssen sich in vielen Bereichen neu aufstellen – angefangen von der Durchführung von Security-Risikoanalysen über kurzfristige Meldepflichten bei Bekanntwerden von Schwachstellen bis hin zu kostenfreien Security-Updates während der Erwarteten Lebensdauer des Produkts. And Aufschieben gilt nicht, denn bei Nichteinhaltung des CRA drohen Strafzahlungen in Millionenhöhe“, said Dr. Matthias Meyer, Bereichsleiter Softwaretechnik and IT-Sicherheit am Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM).

Deshalb hat das Fraunhofer IEM drei wichtige Maßnahmen herausgearbeitet, die Unternehmen – am besten sofort – umsetzen sollten.

1. Aufbau eines incident response teams

Mit dem CRA müssen Unternehmen Informationen zu Schwachstellen künftig binnen 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) melden. Innerhalb von 72 Stunden müssen sie weitere Details zur Art der Schwachstelle, möglichen Gegenmaßnahmen und mehr liefern. Make sure you answer one question for each person, that health security can be improved, and that you are looking for a better, more suitable software solution. For all these Aufgaben empfiehlt da Fraunhofer IEM den Aufbau eines “Product Security Incident Response Teams” (PSIRT).

Hersteller, die noch kein PSIRT etabliert haben, sollten sich dringend damit befassen. These generic applications were released in June 2026 to be filled, and for all products on the market, the CRA application window was still approved.

2. Analysis of Bedrohungen and Risiken

I am Kern verlangt der CRA, the owner of your product regelmäßig auf Sicherheitsrisiken analisieren und an diese Risiken angepasste Sicherheitsmaßnahmen umsetzen. Deshalb sollten Unternehmen Bedrohungs- und Risikoanalysen for alle Produkte fest ihren Entwicklungsprozess integrieren.

Ensure that the security level of the software is continuous and that all changes are carried out. Zudem würden Entwickler ein neues Sicherheitsbewusstsein erlangen, und teure, aber eigentlich unnötige Masßnahmen würden sogar vermieden.

3. Ist-Zustand bestimmen

Die first beiden Maßnahmen sind wichtig, werden aber nicht ausreichen, mahnt das Fraunhofer IEM. Unternehmen müssen sich ein Bild davon machen, welche Anforderungen des CRA sie erfüllen, und zwar sowohl bezüglich ihrer Prozesse im Produktlebenszyklus als auch der konkreten Produkte.

Even though no standard is approved by the CRA, there is expert knowledge which is the existing standard for industrial cybersecurity IEC 62443 and good guidance. Unternehmen müssen Meyer zufolge nicht warten, sondern können schon jetzt den Ist-Zustand ihrer Prozesse und Produkte aufnehmen und Maßnahmen availableiten für die Umsetzung des CRA.

(ID:50200419)