Cyber Resilience Act ist rechtsverbindlich

Pilz informiert und gibt Tipps zur Umsetzung - Rechtsverbindlich: Wie Unternehmen jetzt den Cyber Resilience Act vorbereiten können

Der Cyber Resilience Act (CRA) wurde kürzlich im Amtsblatt der EU veröffentlicht. Die Verordnung enthält Vorgaben an die Cybersicherheit von Produkten mit digitalen Elementen. 36 Monate haben betroffene Unternehmen nun Zeit, die im CRA enthaltenen Anforderungen umzusetzen. Bestimmte Meldepflichten sind bereits in den nächsten 21 Monaten zu erfüllen. Wer genau steht in der Pflicht? Und was wird im CRA gefordert?

EU-Rechtsakt zur Cyberresilienz: Das Ziel des CRA ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen. Der CRA umfasst dafür eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte mit ein. Betroffen sind also Produkte sowohl aus dem B2C-Bereich, wie etwa Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme. Der CRA wurde am xx.xx.xxxx im Amtsblatt der Europäischen Union veröffentlicht. Als Verordnung ist dieses Gesetz unmittelbar in den EU-Mitgliedstaaten gültig. Unternehmen haben jedoch 36 Monate Zeit, die Vorgaben zu erfüllen.

Die wichtigsten Anforderungen für Maschinenhersteller

• Risikobewertung und -gewährleistung: Hersteller müssen Produkte so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Maß an Cybersicherheit gewährleistet ist.
• Schwachstellenmanagement: Bekannte Schwachstellen sollen von dem Hersteller durch kostenlose Sicherheitsaktualisierungen beseitigt werden, sofern zwischen dem Hersteller und dem gewerblichen Nutzer nichts anderes vereinbart wurde.
• Dokumentation: Hersteller müssen Schwachstellen und Komponenten ihrer Produkte identifizieren und dokumentieren.
• Meldepflichten: Innerhalb 24 Stunden nach Bekanntwerden hat der Hersteller eine ausgenutzte Schwachstelle über die Meldeplattform der ENISA (European Union Agency for Cybersecurity) zu melden.

Was Maschinenhersteller jetzt tun können

Als Experte für sichere Automatisierung empfiehlt Pilz allen Maschinenherstellern sich zeitnah mit den Anforderungen des CRA zu befassen und gemeinsam mit den Komponentenherstellern und den Betreibern Konzepte zur Zusammenarbeit zu entwickeln. In welcher Netzwerkzone soll eine Maschine betrieben werden? Wie soll mit Softwareupdates umgegangen werden? Wenn solche Fragen vorab geklärt sind, kann jeder Wirtschaftsakteur seine neuen organisatorischen und technischen Pflichten erfüllen. Pilz unterstützt seit Jahrzehnten Maschinenbauer und Anwender bei der Sicherheit ihrer Maschinen und Anlagen - auch bei den neuen Anforderungen zum Thema Industrial Security. Denn ohne Security ist eine Maschine samt getroffener Safety Maßnahmen angreifbar und ungeschützt. Hier gilt es Vorsorgemaßnahmen zu treffen.

2 Praxistipps zur Umsetzung der CRA-Vorgaben

1. Stets auf dem Laufenden: Abonnements von Newslettern und RSS-Feeds auf eur-lex.europa.eu halten über Gesetzesänderungen auf EU-Ebene informiert.
2. Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, sogenannten Security Advisories.

• Weitere Informationen zum Thema Industrial Security finden Sie hier

• Facebook
• Twitter
• YouTube
• LinkedIn