Immer mehr Produkte werden heute mit digitalen Komponenten ausgestattet, um die ständig steigenden Anforderungen an Konnektivität und Funktionalität zu erfüllen. Allerdings ist das Cybersicherheitsniveau vieler Produkte immer noch unzureichend und Anwender sind oft nicht in der Lage festzustellen, welche Produkte cybersicher sind.

Das EU-Gesetz über Cyberresilienz, der Cyber Resilience Act (CRA), zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Das Gesetz verlangt von Herstellern, Integratoren und Betreibern digitaler Produkte umfangreiche Cybersicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg. 

Der CRA gilt für Produkte, Software und Hardware, mit digitalen Elementen und damit ist auch die Industrie angesichts von vernetzter Fertigung im Industrial Internet of Things (IIOT) im Fokus. Hersteller Industrieller Steuerungsgeräte (ICS) sind gefordert, einen sicheren Produkt- und Entwicklungs-Lebenszyklus, die Erfüllung von Cybersicherheitsanforderungen sowie ein kontinuierliches Schwachstellenmanagement zu gewährleisten.

Der Cyber Resilience Act (CRA) wurde im März 2024 vom Europäischen Parlament in erster Lesung angenommen. Nach der Verabschiedung durch den Europäischen Rat am 23. Oktober 2024 trat dieser am 11. Dezember 2024 in Kraft. Die Umsetzung erfolgt in verschiedenen Etappen:

• 11. Juni 2026: Konformitätsbewertungsstellen (KBS) dürfen die Konformität von Produkten mit den CRA-Anforderungen prüfen.
• 11. September 2026: Hersteller vernetzter Produkte müssen Sicherheitslücken und Vorfälle melden.
• 11. Dezember 2027: Alle CRA-Vorgaben treten in Kraft, einschließlich Cybersicherheitsanforderungen, Schwachstellenmanagement und Transparenzpflichten.

Bis Ende 2027 müssen alle CRA-Anforderungen bei neuen Produkten eingehalten werden.

Einführung in das EU-Gesetz über Cyberresilienz (CRA) – Workshop

• Cybersicherheits-Risiken für Hersteller
• Das Gesetz zur Cyberresilienz verstehen
• Daraus resultierende Anforderungen an die Cybersicherheit von Unternehmen und ihren Prozessen
• Daraus resultierende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen

Bestandsaufnahme und CRA-Gap-Analyse

• Analyse ausgewählter Produkte des Kundenportfolios
• Vertraut machen mit dem zu analysierenden Produkt und Identifizierung der relevanten Anforderungen des Gesetzes über Cyberresilienz
• Analyse des Ist-Zustandes mit Bezug auf den CRA
• Identifizierung von Lücken zum CRA
• Erstellung eines Aktionsplans

Bedrohungsanalyse und Risikobewertung (TARA) – Workshops

• Analyse ausgewählter Produkte des Kundenportfolios
• Workshop zur Produktkonsolidierung und Identifizierung von Produkt-Assets
• Bedrohungsanalyse und Risikobewertung (TARA) durch erfahrene Security Consultants 
• Workshop zur Risikominderung
• Ausführlicher TARA-Bericht

Weitere Leistungen im Secure Development Lifecycle (SDL): 

• Sicherheitskonzeption und Sicherheitsarchitektur
• Sichere Entwicklung eingebetteter Systeme
• Härtung sicherer eingebetteter Systeme
• Beratung zu Security Engineering Werkzeugen
• Testen der Sicherheitsfunktionen
• Schwachstellen- und Pentesting
• Unterstützung bei der Baumuster-Prüfung

• Zertifiziertes Fachwissen
  • Eigene Security Development Prozesse, zertifiziert nach ISO27001 und Common Criteria (BSI-DSZ)
     
• Umfassende IT-Sicherheitserfahrung
  • Gewonnen aus vielen Kundenprojekten und Märkten mit verschiedensten Sicherheitsanforderungen
     
• Flexibilität & Verfügbarkeit
  • Nahtlose Integration von Ressourcen und Maßnahmen in die verschiedenen Phasen Ihres Entwicklungszyklus
     
• Security by Design
  • Schrittweises Heranführen an die Integration von Sicherheitsaspekten in Ihrer eigenen Entwicklung