CRA-Compliance für ICS-Produkte mit der IEC 62443
Immer mehr Produkte werden heute mit digitalen Komponenten ausgestattet, um die ständig steigenden Anforderungen an Konnektivität und Funktionalität zu erfüllen. Allerdings ist das Cybersicherheitsniveau vieler Produkte immer noch unzureichend und Anwender sind oft nicht in der Lage festzustellen, welche Produkte cybersicher sind.
Das EU-Gesetz über Cyberresilienz, der Cyber Resilience Act (CRA), zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Das Gesetz verlangt von Herstellern, Integratoren und Betreibern digitaler Produkte umfangreiche Cybersicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg.
Der CRA gilt für Produkte, Software und Hardware, mit digitalen Elementen und damit ist auch die Industrie angesichts von vernetzter Fertigung im Industrial Internet of Things (IIOT) im Fokus. Hersteller Industrieller Steuerungsgeräte (ICS) sind gefordert, einen sicheren Produkt- und Entwicklungs-Lebenszyklus, die Erfüllung von Cybersicherheitsanforderungen sowie ein kontinuierliches Schwachstellenmanagement zu gewährleisten.
Der Cyber Resilience Act (CRA) wurde im März 2024 vom Europäischen Parlament in erster Lesung angenommen. Nach der Verabschiedung durch den Europäischen Rat am 10. Oktober 2024 wird dieser voraussichtlich noch in diesem Jahr in Kraft treten. Dann haben Hersteller 36 Monate Zeit, die Vorgaben umzusetzen.
Die IEC 62443, eine internationale Normenreihe zur Cybersicherheit von industriellen Automatisierungssystemen, bietet umfassende Leitlinien und Anforderungen, die bereits viele Aspekte der Cybersicherheit abdecken, die auch im CRA adressiert werden.
Durch die Umsetzung der IEC 62443 erfüllen Sie daher sowohl die Anforderungen aus der Industrie als auch gleichzeitig die des CRA!
achelos unterstützt Sie professionell und effizient bei der CRA-Compliance Ihrer ICS-Produkte unter Berücksichtigung industrieller Sicherheitsstandards gemäß IEC 62443. Unsere Security Engineers begleiten Sie während der Entwicklung Ihrer Produkte und sorgen für integrierte Cybersicherheit von Anfang an.
Einführung in das EU-Gesetz über Cyberresilienz (CRA) – Workshop
- Cybersicherheits-Risiken für Hersteller
- Das Gesetz zur Cyberresilienz verstehen
- Daraus resultierende Anforderungen an die Cybersicherheit von Unternehmen und ihren Prozessen
- Daraus resultierende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen
Bestandsaufnahme und CRA-Gap-Analyse
- Analyse ausgewählter Produkte des Kundenportfolios
- Vertraut machen mit dem zu analysierenden Produkt und Identifizierung der relevanten Anforderungen des Gesetzes über Cyberresilienz
- Analyse des Ist-Zustandes mit Bezug auf den CRA
- Identifizierung von Lücken zum CRA
- Erstellung eines Aktionsplans
Bedrohungsanalyse und Risikobewertung (TARA) – Workshops
- Analyse ausgewählter Produkte des Kundenportfolios
- Workshop zur Produktkonsolidierung und Identifizierung von Produkt-Assets
- Bedrohungsanalyse und Risikobewertung (TARA) durch erfahrene Security Consultants
- Workshop zur Risikominderung
- Ausführlicher TARA-Bericht
Weitere Leistungen im Secure Development Lifecycle (SDL):
- Sicherheitskonzeption und Sicherheitsarchitektur
- Sichere Entwicklung eingebetteter Systeme
- Härtung sicherer eingebetteter Systeme
- Beratung zu Security Engineering Werkzeugen
- Testen der Sicherheitsfunktionen
- Schwachstellen- und Pentesting
- Unterstützung bei der Baumuster-Prüfung
Security Engineering by achelos
- Zertifiziertes Fachwissen
- Eigene Security Development Prozesse, zertifiziert nach ISO27001 und Common Criteria (BSI-DSZ)
- Eigene Security Development Prozesse, zertifiziert nach ISO27001 und Common Criteria (BSI-DSZ)
- Umfassende IT-Sicherheitserfahrung
- Gewonnen aus vielen Kundenprojekten und Märkten mit verschiedensten Sicherheitsanforderungen
- Gewonnen aus vielen Kundenprojekten und Märkten mit verschiedensten Sicherheitsanforderungen
- Flexibilität & Verfügbarkeit
- Nahtlose Integration von Ressourcen und Maßnahmen in die verschiedenen Phasen Ihres Entwicklungszyklus
- Nahtlose Integration von Ressourcen und Maßnahmen in die verschiedenen Phasen Ihres Entwicklungszyklus
- Security by Design
- Schrittweises Heranführen an die Integration von Sicherheitsaspekten in Ihrer eigenen Entwicklung
- Schrittweises Heranführen an die Integration von Sicherheitsaspekten in Ihrer eigenen Entwicklung
Sie haben Fragen? Ihr Ansprechpartner in diesem Bereich ist: