Unternehmen Pilz informiert : EU Cyber Resilience Act: Wie Unternehmen den CRA jetzt vorbereiten können

Das Ziel des CRA ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen. Der CRA umfasst dafür eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte mit ein. 

Betroffen sind also Produkte sowohl aus dem B2C-Bereich, wie etwa Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme. Der CRA wurde kürzlich im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft.

Lesetipp: AI Act: KI-Anwendungen im EU-Recht

• Risikobewertung und -gewährleistung: Hersteller müssen Produkte so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Maß an Cybersicherheit gewährleistet ist.
   
• Schwachstellenmanagement: Bekannte Schwachstellen sollen von dem Hersteller durch kostenlose Sicherheitsaktualisierungen beseitigt werden, sofern zwischen dem Hersteller und dem gewerblichen Nutzer nichts anderes vereinbart wurde.
   
• Dokumentation: Hersteller müssen Schwachstellen und Komponenten ihrer Produkte identifizieren und dokumentieren.
   
• Meldepflichten: Innerhalb 24 Stunden nach Bekanntwerden hat der Hersteller eine ausgenutzte Schwachstelle über die Meldeplattform der ENISA (European Union Agency for Cybersecurity) zu melden.

Pilz empfiehlt allen Maschinenherstellern, sich zeitnah mit den Anforderungen des CRA zu befassen und gemeinsam mit den Komponentenherstellern und den Betreibern Konzepte zur Zusammenarbeit zu entwickeln. In welcher Netzwerkzone soll eine Maschine betrieben werden? Wie soll mit Softwareupdates umgegangen werden? Wenn solche Fragen vorab geklärt sind, kann jeder Wirtschaftsakteur seine neuen organisatorischen und technischen Pflichten erfüllen. 

Lesetipp: Siemens-Experte Krammer empfiehlt Fitnessprogramm gegen Cyberangriffe

Pilz unterstützt Maschinenbauer und Anwender bei der Sicherheit ihrer Maschinen und Anlagen – auch bei den neuen Anforderungen zum Thema Industrial Security. Denn ohne Security ist eine Maschine samt getroffener Safety Maßnahmen angreifbar und ungeschützt. Hier gilt es Vorsorgemaßnahmen zu treffen.

1. Stets auf dem Laufenden: Abonnements von Newslettern und RSS-Feeds auf eur-lex.europa.eu halten über Gesetzesänderungen auf EU-Ebene informiert.
    
2. Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, sogenannten Security Advisories.