Wir. Unternehmen. Zukunft.

+49 9831 683940

Huettl Vierkorn Management Consulting Nuernberg Logo
Fernwartung
a
M

cyber resiliance ACT (CRA)
verstehen, umsetzen, sicherstellen

Verbessern Sie strukturiert und kontinuierlich die Resilienz ihrer digitalen Produkte und Systeme (u.a. Soft- und Hardware sowie industrielle IoT- und Steuerungssysteme) vor Cyberangriffen.

Die Hüttl & Vierkorn Management Consulting unterstützt Unternehmen dabei, sich optimal auf die Anforderungen des Cyber Resilience Act (CRA) der Europäischen Union vorzubereiten. Der CRA ist ein neuer EU-Rechtsakt, der Unternehmen dazu verpflichtet, ihre digitalen Produkte und Systeme durchgängig sicher zu gestalten und Cybersicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg umzusetzen. Unsere Experten helfen Ihnen dabei, den CRA zu verstehen, umzusetzen und sicherzustellen, dass Ihr Unternehmen die notwendigen Sicherheitsvorkehrungen trifft, um den Anforderungen gerecht zu werden.

1. Was ist der Cyber Resilience Act (CRA)?

2. Wer muss den CRA erfüllen?

3. Welche Ziele verfolgt der CRA?

4. Wie ist der Stand der Umsetzung und wann ist der CRA in Kraft getreten?

5. Wurde der EU-Rechtsakt zur Cyber-Resilienz verabschiedet?

6. Was sind die 5 Säulen der Cyber-Resilienz?

7. Wie weise ich nach, dass ich den CRA erfülle?

8. Ist eine Zertifizierung des CRA vorgesehen?

9. Was ist der Unterschied und welche Überschneidungen gibt es zwischen der IEC 62443 und dem Cyber Resilience Act (CRA)?

10. Welche Auswirkungen haben den CRA und die IEC 62443 auf Softwarehersteller?

11. Vorteile der Zertifizierung nach IEC 62443 und der Umsetzung des CRA

12. Wie kann die Hüttl & Vierkorn Management Consulting bei der Einführung des Cyber Resilience Acts (CRA) unterstützen?

13. Fazit

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) ist ein EU-Gesetz, das die Cybersicherheit von Produkten mit digitalen Elementen, wie Software, Hardware und industriellen Steuerungssystemen, regelt. Ziel des CRA ist es, die Resilienz dieser Produkte gegenüber Cyberangriffen zu stärken und sicherzustellen, dass sie den höchsten Sicherheitsstandards entsprechen. Der CRA verpflichtet Hersteller und Betreiber von digitalen Produkten, ihre Produkte durchgängig sicher zu entwickeln, zu testen und während ihrer gesamten Lebensdauer kontinuierlich zu aktualisieren.

ANGEBOTSANFRAGE EXTERNER DATENSCHUTZBEAUFTRAGTER

Ihr Ansprechpartner Christoph Ernst

Gerne erstellen wir ihnen ein Angebot zur Gestellung eines externen Datenschutzbeauftragten oder eines externen Informationssicherheitsmanagementbeauftragten für ihre Organisation. 

Ihre Anfrage

Wer muss den Cyber Resilience Act (CRA) erfüllen?

Der Cyber Resilience Act betrifft alle Hersteller und Anbieter von Produkten mit digitalen Elementen, die in der EU verkauft oder betrieben werden. Dazu gehören nicht nur klassische IT-Produkte wie Software und Hardware, sondern auch IoT-Geräte, industrielle Steuerungssysteme und Geräte, die in der Produktion oder in kritischen Infrastrukturen eingesetzt werden. Insbesondere Unternehmen, die kritische Infrastrukturen betreiben oder in der Industrieautomatisierung tätig sind, müssen die Anforderungen des CRA erfüllen.

Welche Ziele verfolgt der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act verfolgt mehrere Ziele:

^
1. Erhöhung der Cybersicherheit
Produkte mit digitalen Elementen sollen von Anfang an sicher entwickelt werden, um die Wahrscheinlichkeit von Sicherheitslücken zu minimieren.
^
2. Sicherung des gesamten Lebenszyklus
Der CRA verlangt, dass Hersteller Cybersicherheitsvorkehrungen über den gesamten Lebenszyklus ihrer Produkte hinweg sicherstellen – von der Entwicklung über die Nutzung bis hin zur Entsorgung.
^
3. Verpflichtung zu regelmäßigen Sicherheitsaktualisierungen
Hersteller müssen Schwachstellen kontinuierlich überwachen, melden und für ihre Produkte Updates bereitstellen, um die Sicherheit aufrechtzuerhalten.

 

^
4. Meldung von Sicherheitsvorfällen
Unternehmen sind verpflichtet, Schwachstellen und Vorfälle zu melden, die Auswirkungen auf die Cybersicherheit haben könnten.

 

^
5. Erhöhung des Vertrauens
Der CRA soll dazu beitragen, das Vertrauen in digitale Produkte und die Vernetzung von Systemen zu erhöhen, indem klare Sicherheitsanforderungen definiert werden.

Wie ist der Stand der Umsetzung und wann ist der Cyber Resilience Act in Kraft getreten?

Der Cyber Resilience Act wurde am 24. Juli 2023 vom Europäischen Parlament verabschiedet und ist seitdem rechtsverbindlich. Unternehmen haben nun eine Frist von 36 Monaten, um die Anforderungen umzusetzen. Das bedeutet, dass bis spätestens 2026 alle betroffenen Produkte und Systeme die neuen Sicherheitsstandards erfüllen müssen.

ALLES, WAS SIE ÜBER NIS 2 WISSEN MÜSSEN

Mit dem NIS 2 Umsetzungsgesetz („The Network and Information Security (NIS) Directive“) erhöhen Deutschland und die EU die Anforderungen an die Informations- und IT Sicherheit von Unternehmen, Organisationen und Betreibern kritischer Infrastrukturen deutlich.

In diesem Whitepaper geben unsere Experten einen Überblick über die Ziele des deutschen und europäischen Gesetzgebers, ein Prüfungsschema, ob ihre Organisation von den Anforderungen betroffen ist, welche Fristen sie treffen, welche Strafen drohen und was sie tun können, um ihre Organisation auf die Anforderungen optimal vorzubereiten.

Sollte ihre Organisation von den neuen gesetzlichen Anforderungen betroffen sein, bietet sich die Einführung eines Informationssicherheitsmanagementsystem (z.B. ISO 27001 oder TISAX) als strukturierter und planbarer Lösungsweg an. 

Whitepaper erhalten
Whitepaper Cover NIS2

Wurde der EU-Rechtsakt zur Cyber-Resilienz verabschiedet?

Ja, der Cyber Resilience Act wurde vom Europäischen Parlament verabschiedet und ist Teil des umfassenden Gesetzesrahmens der EU zur Verbesserung der Cybersicherheit in der gesamten Union. Der CRA ist ein wesentlicher Bestandteil der europäischen Cybersicherheitsstrategie und wird Unternehmen zur Verantwortung ziehen, um die Risiken von Cyberangriffen zu minimieren.

Was sind die 5 Säulen der Cyber-Resilienz?

Der CRA basiert auf fünf Säulen der Cyber-Resilienz, die den Kern der Cybersicherheitsstrategie bilden:

1. Sichere Produktentwicklung (Security by Design)

Produkte müssen von Anfang an so konzipiert werden, dass Sicherheitslücken verhindert werden.

2. Schwachstellenmanagement

Hersteller müssen Schwachstellen identifizieren, melden und kontinuierlich beheben.

3. Sicheres Update-Management

Nach dem Verkauf müssen Hersteller sicherstellen, dass ihre Produkte weiterhin sicher bleiben, indem sie regelmäßige Updates und Sicherheits-Patches bereitstellen.

4. Dokumentation und Compliance

Eine vollständige und nachvollziehbare Sicherheitsdokumentation ist erforderlich, die die Sicherheitsprozesse und -maßnahmen für jedes Produkt beschreibt.

5. Risikomanagement und kontinuierliche Überwachung

Unternehmen müssen ein effektives Risikomanagement einführen und ihre Systeme kontinuierlich überwachen, um Schwachstellen frühzeitig zu erkennen.

Wie weise ich nach, dass ich den CRA erfülle?

Um nachzuweisen, dass Ihr Unternehmen die Anforderungen des Cyber Resilience Act (CRA) erfüllt, müssen Sie eine Reihe von Maßnahmen umsetzen, die die Sicherheit Ihrer Produkte und Systemegarantieren. Dies beinhaltet unter anderem:

^
1. Dokumentation und Nachweis der Cybersicherheitsvorkehrungen
Sie müssen die Implementierung von Security by Design und die kontinuierliche Sicherheitsüberwachung und -aktualisierung Ihrer Produkte dokumentieren.
^
2. Schwachstellenmanagement und kontinuierliche Sicherheitsupdates
Sie müssen nachweisen, dass Sie ein System zur Erkennung, Meldung und Behebung von Sicherheitslücken in Ihren Produkten haben. Ein sicheres Update-Management und regelmäßige Sicherheits-Patches sind ebenfalls erforderlich.
^
3. Meldung von Vorfällen
Es muss ein Verfahren vorhanden sein, um Sicherheitsvorfälle zu melden und darauf zu reagieren, um die resiliente Funktion Ihrer Produkte zu gewährleisten.

 

^
4. Sicherheitsbewertung und -dokumentation
Sie müssen sicherstellen, dass Sicherheitsrisiken durch eine umfassende Risikobewertung identifiziert und adressiert werden, und dass diese Bewertungen regelmäßig überprüft und aktualisiert werden.

 

Ist eine Zertifizierung des CRA vorgesehen?

Die Verordnung (EU) 2019/881, bekannt als EU Cybersecurity Act, legt einen Rahmen für die Cybersicherheitszertifizierung von Informations- und Kommunikationstechnologie (IKT) fest. Dieser Rechtsakt stärkt die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) und etabliert ein EU-weites Zertifizierungssystem für die Cybersicherheit von Produkten, Dienstleistungen und Prozessen.

Zertifizierungsstellen und Zuständigkeiten:

Gemäß dem EU Cybersecurity Act sind nationale Zertifizierungsstellen (National Certification Authorities, NCAs) in den einzelnen Mitgliedstaaten für die Durchführung von Cybersicherheitszertifizierungen zuständig. Diese NCAs arbeiten eng mit der ENISA zusammen, um einheitliche Standards und Verfahren sicherzustellen. Die spezifischen Zuständigkeiten und Verfahren können jedoch je nach Mitgliedstaat variieren. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige nationale Koordinierungsstelle für Cybersicherheitsfragen. Allerdings sind noch keine nationalen Zertifizierungsstellen (NCAs) benannt, die die Einhaltung des CRA legitimieren könnten.

Da es Überschneidungen zu anderen Zertifizierungen gibt und es für viele Kunden wünschenswert auch eine verwertbare Zertifizierung im Außenverhältnis zu generieren empfiehlt die Hüttl & Vierkorn Management Consulting vorbereitend neben einer Zertifizierung nach ISO 27001 (Informationssicherheit) eine IEC 62443 für Industrial Cyber Security anzustreben. Dies hat den zusätzlichen Vorteil, dass der IEC 62443 Industrial Cyber Security Standard ein international gültiger Standard ist und damit über die Einflusszone der EU hinaus Wirkung entfalten kann.

Was ist der Unterschied und welche Überschneidungen gibt es zwischen der IEC 62443 und dem Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) und der IEC 62443 Standard haben beide das Ziel, die Cybersicherheit von vernetzten Systemen und Geräten zu gewährleisten, jedoch gibt es einige Unterschiede:

^

CRA:

Der Cyber Resilience Act ist eine gesetzliche Verpflichtung für Hersteller von Produkten mit digitalen Elementen und verpflichtet diese zur Umsetzung von Cybersicherheitsmaßnahmen während des gesamten Lebenszyklus eines Produkts.

^

IEC 62443:

Dieser Standard ist speziell für industrielle Steuerungs- und Automatisierungssysteme (IACS) entwickelt und fokussiert auf die Absicherung industrieller Anlagen und kritischer Infrastrukturen. Auch Softwarelösungen (u.a. Leitsysteme, Energiemanagenemtsoftware, usw.) können nach IEC 62443 zertifiziert werden. Die IEC 62443 ist insbesondere für Hersteller, Integratoren und Betreiber von industriellen Systemen relevant.

Überschneidungen: Beide Standards legen großen Wert auf Security by Design, Schwachstellenmanagement und sicheres Update-Management. Sie verlangen, dass Unternehmen kontinuierlich an der Sicherheit ihrer Produkte und Systeme arbeiten, Schwachstellen beheben und regelmäßige Sicherheits-Updates bereitstellen.

Ein Schlüsselmechanismus zur Erfüllung der Anforderungen beider Standards ist die Public Key Infrastruktur (PKI). Diese stellt sicher, dass Geräte und Softwareprodukte authentifiziert werden und die Kommunikation sicher bleibt. Digitale Zertifikate ermöglichen die sichere Kommunikation und gewährleisten, dass Software-Updates nicht manipuliert werden.
Auch der „Defense in Depth“ Ansatz und das Konzept der „Zones und Conduits“ spielen eine wesentliche Rolle im Rahmen des Cyber Resilience Acts (CRA) sowie der IEC 62443, da sie grundlegende Sicherheitsstrategien darstellen, die Unternehmen dabei helfen, die Anforderungen beider Normen zu erfüllen.
Ein weiterer zentraler Prozess ist der Secure Development Lifecycle (SDL). Softwarehersteller müssen den SDL in ihre Entwicklungsprozesse integrieren, um sicherzustellen, dass alle Produkte den Sicherheitsanforderungen entsprechen. Dazu gehört auch die Bedrohungsanalyse und die Risikobewertung im Entwicklungsprozess sowie die sichere Integration von Softwarekomponenten.

Sie wollten regelmäßige Informationen zu diesen Themen?

Wir versenden regelmäßige Newsletter in denen Sie über die neusten gesetzlichen Änderungen informiert werden. Außerdem erhalten Sie Tipps und Tricks zu Förderungen und wie Sie bei der Modernisierung Ihres Unternehmens Geld sparen können.

Welche Auswirkungen haben den CRA und die IEC 62443 auf Softwarehersteller?

Die Auswirkungen der IEC 62443 und des Cyber Resilience Acts (CRA) auf Softwarehersteller sind weitreichend. Diese müssen sich an mehrere spezifische Vorgaben halten, um die Anforderungen beider Normen zu erfüllen:

    ^

    Implementierung von Sicherheitsfunktionen

    Softwarehersteller müssen ihre Lösungen mit Sicherheitsmechanismen ausstatten, die den Richtlinien des CRA und der IEC 62443 entsprechen.

    ^

    Sicherer Entwicklungslebenszyklus

    Ein sicherer Entwicklungsprozess (Secure Development Lifecycle, SDL) ist erforderlich, der regelmäßige Sicherheitsanalysen und Schwachstellenprüfungen beinhaltet.
    ^

    Sichere Software-Updates

    Um die Integrität der Software zu gewährleisten, müssen regelmäßige Updates unter Verwendung digitaler Zertifikate und einer Public Key Infrastruktur (PKI) bereitgestellt werden.

    Vorteile der Zertifizierung nach IEC 62443 und der Umsetzung des CRA
    Für Softwarehersteller bieten die Einhaltung der IEC 62443 und die Erfüllung des Cyber Resilience Acts zahlreiche Vorteile:

    ^

    Höhere Produktsicherheit:

    Die Implementierung dieser Standards stellt sicher, dass Softwareprodukte gegen Cyberbedrohungen geschützt sind.

    ^

    Vertrauensgewinn und Compliance

    Durch die Erfüllung dieser Anforderungen gewinnen Unternehmen das Vertrauen ihrer Kunden und Partner und gewährleisten die Einhaltung internationaler Sicherheitsvorgaben.
    ^

    Wettbewerbsvorteil

    Eine Zertifizierung nach IEC 62443 und die Konformität mit dem CRA verschaffen Unternehmen einen Wettbewerbsvorteil, da sie beweisen, dass ihre Produkte höchste Sicherheitsstandards erfüllen.

    Vorteile der Zertifizierung nach IEC 62443 und der Umsetzung des CRA

    Für Softwarehersteller bieten die Einhaltung der IEC 62443 und die Erfüllung des Cyber Resilience Acts zahlreiche Vorteile:
    Höhere Produktsicherheit

    Die Implementierung dieser Standards stellt sicher, dass Softwareprodukte gegen Cyberbedrohungen geschützt sind.

    Vertrauensgewinn und Compliance
    Durch die Erfüllung dieser Anforderungen gewinnen Unternehmen das Vertrauen ihrer Kunden und Partner und gewährleisten die Einhaltung internationaler Sicherheitsvorgaben
    Wettbewerbsvorteil
    Eine Zertifizierung nach IEC 62443 und die Konformität mit dem CRA verschaffen Unternehmen einen Wettbewerbsvorteil, da sie beweisen, dass ihre Produkte höchste Sicherheitsstandards erfüllen.

    Wie kann die Hüttl & Vierkorn Management Consulting bei der Einführung des Cyber Resilience Acts (CRA) unterstützen?

    Die Hüttl & Vierkorn Management Consulting bietet Unternehmen maßgeschneiderte Unterstützung bei der Einführung und Umsetzung des Cyber Resilience Acts (CRA) der Europäischen Union. Der CRA verpflichtet Unternehmen, die digitale Produkte und Systeme herstellen oder betreiben, zu umfassenden Cybersicherheitsvorkehrungen über den gesamten Lebenszyklus hinweg. Mit unserer Expertise helfen wir Ihnen, die komplexen Anforderungen des CRA zu verstehen, zu erfüllen und langfristig umzusetzen. Hier sind die wichtigsten Bereiche, in denen wir unterstützen können:

    1. Verständnis und Umsetzung der CRA-Anforderungen

    Der CRA fordert Unternehmen auf, sicherzustellen, dass ihre Produkte mit digitalen Elementen – einschließlich Software, Hardware und industriellen Steuerungssystemen – über den gesamten Lebenszyklus hinweg sicher sind. Wir unterstützen Sie dabei:

    • Beratung und Aufklärung: Wir vermitteln ein umfassendes Verständnis des CRA, insbesondere der fünf Säulen der Cyber-Resilienz: Security by Design, Schwachstellenmanagement, sicheres Update-Management, Dokumentation und Compliance sowie Risikomanagement und kontinuierliche Überwachung.
    • Prozessentwicklung: Wir helfen Ihnen, alle erforderlichen Prozesse zu entwickeln und zu implementieren, um den Anforderungen des CRA gerecht zu werden, angefangen bei der sicheren Produktentwicklung bis hin zum sicheren Entsorgungsprozess.
    2. Gap-Analyse und Sicherheitsbewertung

    Ein wichtiger erster Schritt bei der Umsetzung des CRA ist die Durchführung einer detaillierten Gap-Analyse:

    • Bestandsaufnahme der Sicherheitslage: Wir ermitteln, in welchen Bereichen Ihre Produkte und Systeme den Anforderungen des CRA noch nicht entsprechen. Auf Grundlage dieser Analyse entwickeln wir einen Maßnahmenplan, um diese Lücken zu schließen.
    • Risikomanagement: Unsere Experten unterstützen Sie bei der Durchführung von Risikoanalysen und der Entwicklung eines effektiven Risikomanagementkonzepts. Dazu gehört auch die Identifikation, Bewertung und kontinuierliche Überwachung von Sicherheitslücken und Bedrohungen.
    3. Implementierung von Sicherheitsmaßnahmen und Prozessen

    Basierend auf der Gap-Analyse begleiten wir Sie bei der praktischen Umsetzung der erforderlichen Sicherheitsvorkehrungen:

    • Security by Design: Wir helfen Ihnen, Sicherheitsmaßnahmen bereits in der Designphase Ihrer Produkte und Systeme zu integrieren.
    • Schwachstellenmanagement: Wir unterstützen Sie bei der Einführung eines effektiven Schwachstellenmanagements, bei dem Schwachstellen kontinuierlich identifiziert, gemeldet und behoben werden.
    • Sicheres Update-Management: Wir beraten Sie bei der Implementierung eines sicheren Update-Managements, das regelmäßige Sicherheits-Updates und -Patches umfasst, um die Sicherheit Ihrer Produkte kontinuierlich zu gewährleisten.
    4. Meldung von Sicherheitsvorfällen und Dokumentation

    Der CRA verlangt die Einrichtung eines Systems zur Meldung von Sicherheitsvorfällen. Wir unterstützen Sie dabei:

    • Incident Response: Wir entwickeln mit Ihnen ein Verfahren zur Identifikation und Meldung von Sicherheitsvorfällen.
    • Compliance-Dokumentation: Wir helfen Ihnen bei der Erstellung und Pflege einer vollständigen Sicherheitsdokumentation, die den CRA-Anforderungen entspricht und nachweist, dass alle Sicherheitsmaßnahmen implementiert wurden.
    5. Schulung und Sensibilisierung

    Die Einführung des CRA erfordert eine kontinuierliche Sensibilisierung und Schulung aller Mitarbeiter:

    • Schulungen und Workshops: Wir bieten umfassende Schulungen an, um sicherzustellen, dass Ihre Mitarbeiter die neuen Prozesse und Sicherheitsvorkehrungen verstehen und umsetzen können. Dies umfasst sowohl technische Schulungen für IT-Teams als auch Schulungen für das Management und andere relevante Abteilungen.
    6. Zertifizierungsbegleitung

    Obwohl der CRA derzeit keine formelle Zertifizierung vorschreibt, empfiehlt es sich, zusätzlich eine Zertifizierung nach anerkannten Standards anzustreben, um die Compliance nachzuweisen. Wir bieten Ihnen Unterstützung bei:

    • Vorbereitung auf ISO 27001-Zertifizierung: Da der CRA Anforderungen an die Informationssicherheit stellt, empfehlen wir eine Zertifizierung nach ISO 27001 als ergänzende Maßnahme, um die Cybersicherheitsstandards zu dokumentieren und zu validieren.
    • IEC 62443 für Industrial Cyber Security: Besonders für Unternehmen im Bereich der industriellen Automatisierung und kritischen Infrastruktur empfehlen wir eine zusätzliche Zertifizierung nach IEC 62443. Diese hat den Vorteil, international anerkannt zu sein und bietet eine umfassende Grundlage für die Cybersicherheit von industriellen Steuerungssystemen.
    7. Integration des CRA mit IEC 62443

    Für Unternehmen, die auch kritische Infrastruktur betreiben oder in der Industrieautomatisierung tätig sind, bieten wir eine integrierte Beratung an:

    • Wir helfen Ihnen dabei, die Überschneidungen und Unterschiede zwischen dem CRA und IEC 62443 zu verstehen und bieten eine ganzheitliche Lösung, die beiden Anforderungen gerecht wird. Dies ermöglicht es, die Cybersicherheit auf einem globalen Standardniveau zu gewährleisten, sowohl im Hinblick auf den CRA als auch die internationalen Anforderungen durch IEC 62443.
    • Beide Standards legen großen Wert auf die Prinzipien des Security by Design,Schwachstellenmanagements und sicheren Update-Managements, die als Kernanforderungen des CRA und der IEC 62443 dienen.

    Fazit

    Die Hüttl & Vierkorn Management Consulting bietet Ihnen eine umfassende Unterstützung bei der Umsetzung des Cyber Resilience Acts und der Integration mit internationalen Standards wie IEC 62443und ISO 27001. Wir helfen Ihnen nicht nur dabei, die Anforderungen des CRA zu erfüllen, sondern sorgen auch dafür, dass Ihre Cybersicherheitsstrategie nachhaltig und zukunftssicher ist. Unsere Expertise in den Bereichen Cybersicherheit und industrielle Automatisierung stellt sicher, dass Ihr Unternehmen auf dem höchsten Sicherheitsniveau agiert und den Anforderungen des CRA, der IEC 62443 und anderer relevanter Standards gerecht wird.