Immer mehr Produkte werden heute mit digitalen Komponenten ausgestattet, um die ständig steigenden Anforderungen an Konnektivität und Funktionalität zu erfüllen. Allerdings ist das Cybersicherheitsniveau vieler Produkte immer noch unzureichend und Anwender sind oft nicht in der Lage festzustellen, welche Produkte cybersicher sind.

Das EU-Gesetz über Cyberresilienz, der Cyber Resilience Act (CRA), zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Das Gesetz verpflichtet Hersteller dazu, umfangreiche Cybersicherheitsmaßnahmen über den gesamten Produktlebenszyklus hinweg umzusetzen – von der Entwicklung über die Bereitstellung bis hin zu Updates und dem Umgang mit Schwachstellen.

Der CRA gilt für Produkte, Software und Hardware mit digitalen Elementen und betrifft damit zahlreiche Branchen – von vernetzten Geräten und Embedded-Systemen über Softwareprodukte und Cloud-Dienste bis hin zu branchenspezifischen Lösungen. Hersteller sind gefordert, einen sicheren Produkt- und Entwicklungslebenszyklus, die Erfüllung von Cybersicherheitsanforderungen sowie ein kontinuierliches Schwachstellenmanagement zu gewährleisten.

Der Cyber Resilience Act (CRA) wurde im März 2024 vom Europäischen Parlament in erster Lesung angenommen. Nach der Verabschiedung durch den Europäischen Rat am 10. Oktober 2024 wurde die Verordnung am 20. November 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 10. Dezember 2024 in Kraft. Die Umsetzung erfolgt in verschiedenen Etappen:

• 11. Juni 2026: Konformitätsbewertungsstellen (KBS) können die Konformität von Produkten mit den CRA-Anforderungen prüfen.
• 11. September 2026: Hersteller vernetzter Produkte müssen Sicherheitslücken und Vorfälle melden.
• 11. Dezember 2027: Alle CRA-Vorgaben treten in Kraft, einschließlich Cybersicherheitsanforderungen, Schwachstellenmanagement und Transparenzpflichten.

Bis Ende 2027 müssen alle CRA-Anforderungen bei neuen Produkten eingehalten werden.

Einführung in das EU-Gesetz über Cyberresilienz (CRA) – Workshop

• Cybersicherheits-Risiken für Hersteller
• Das Gesetz zur Cyberresilienz verstehen
• Daraus resultierende Anforderungen an die Cybersicherheit von Unternehmen und ihren Prozessen
• Daraus resultierende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen

Bestandsaufnahme und CRA-Gap-Analyse

• Analyse ausgewählter Produkte des Kundenportfolios
• Vertraut machen mit dem zu analysierenden Produkt und Identifizierung der relevanten Anforderungen des Gesetzes über Cyberresilienz
• Analyse des Ist-Zustandes mit Bezug auf den CRA
• Identifizierung von Lücken zum CRA
• Erstellung eines Aktionsplans

Bedrohungsanalyse und Risikobewertung (TARA) – Workshops

• Analyse ausgewählter Produkte des Kundenportfolios
• Workshop zur Produktkonsolidierung und Identifizierung von Produkt-Assets
• Bedrohungsanalyse und Risikobewertung (TARA) durch erfahrene Security Consultants
• Workshop zur Risikominderung
• Ausführlicher TARA-Bericht

Weitere Leistungen im Secure Development Lifecycle (SDL): 

• Sicherheitskonzeption und Sicherheitsarchitektur
• Sichere Produktentwicklung
• Härtung von Software- und Systemkomponenten
• Beratung zu Security Engineering Werkzeugen
• Testen der Sicherheitsfunktionen
• Schwachstellen- und Pentesting
• Unterstützung bei der Konformitätsbewertung

• Zertifiziertes Fachwissen
  Eigene Security-Development-Prozesse, zertifiziert nach ISO/IEC 27001 und Common Criteria (BSI-DSZ)
   
• Umfassende IT-Sicherheitserfahrung
  Gewonnen aus vielen Kundenprojekten und Märkten mit verschiedensten Sicherheitsanforderungen
   
• Flexibilität & Verfügbarkeit
  Nahtlose Integration von Ressourcen und Maßnahmen in die verschiedenen Phasen Ihres Entwicklungszyklus
   
• Security by Design
  Systematische und schrittweise Integration von Sicherheitsanforderungen in Ihre Entwicklungsprozesse