Worum geht es?
Der Cyber Resilience Act (CRA) ist eine bedeutende Verordnung der Europäischen Union zur Verbesserung der Cybersicherheit von Software und Hardware-Produkten in ihrem gesamten Lebenszyklus. Er fördert das Prinzip "Security-by-Design": Zu den Designkriterien zählen dabei die Minimierung der Angriffsfläche, der Einsatz von Verschlüsselung und Authentifizierung sowie die Isolation sicherheitsrelevanter Bereiche.
Der Cyber Resilience Act soll einen einheitlichen Cybersicherheitsrahmen in der gesamten EU schaffen und somit die Cyberresilienz in Europa erhöhen. Die folgende Seite bietet einen Überblick über den EU Cyber Resilience Act und seine Anforderungen für betroffene Unternehmen. Bei Bedarf ist unser Team gern für Sie da.
Was ist das Ziel des Cyber Resilience Act?
Der CRA zielt darauf ab, die Cybersicherheit von Produkten mit digitalem Element zu verbessern, indem einheitliche Standards für Hersteller, Importeure, Anbieter digitaler Produkte und Dienstleister geschaffen werden. Diese Verordnung verfolgt folgende Hauptziele:
- Verbesserung der Cybersicherheit von Produkten mit digitalen Komponenten innerhalb des europäischen Marktes durch die Reduzierung von Schwachstellen.
- Sicherstellung, dass Hersteller während des gesamten Produktlebenszyklus für die Cybersicherheit verantwortlich bleiben.
- Schaffung eines kohärenten Cybersicherheitsrahmens innerhalb der EU, der die Einhaltung für Hardware- und Softwarehersteller erleichtert.
- Verbesserung der Transparenz in Bezug auf die Sicherheitseigenschaften von Hardware- und Softwareprodukten.
- Gewährleistung eines besseren Schutzes für Nutzer und Verbraucher.
Der CRA ergänzt die NIS2-Gesetzgebung und soll dafür sorgen, dass bestimmte Sicherheitsanforderungen entlang der Lieferkette und Meldepflichten bei Sicherheitsvorfällen eingehalten werden. Dadurch soll die Widerstandsfähigkeit der erbrachten Dienste gestärkt werden. Außerdem schafft der CRA Rahmenbedingungen, die es den Nutzern erleichtern, bei der Auswahl und Nutzung von digitalen Produkten auf Cybersicherheit zu achten.
- Der CRA der Europäischen Union trat 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU am 20. November 2024 in Kraft. Obwohl der CRA direkt in allen EU-Mitgliedstaaten anwendbar ist, sind mehrere Übergangsfristen vorgesehen, um den Unternehmen Zeit zur Anpassung zu geben.
- Konformitätsbewertung: Ab dem 11. Juni 2026 sind die Konformitätsbewertungsstellen (KBS) ermächtigt, die Konformität von Produkten mit den CRA-Anforderungen zu bewerten.
- Meldepflicht von Schwachstellen: Ab dem 11. September 2026 sind Unternehmen verpflichtet, Schwachstellen innerhalb von 24 Stunden zu melden und Sicherheitsupdates bereitzustellen.
Die Verordnung sieht zudem eine zentrale Meldeplattform vor, um den Datenaustausch zwischen den europäischen Computer Security Incident Response Teams (CSIRTs) und der ENISA zu erleichtern.
- Vollständige Umsetzung: Bis Dezember 2027 müssen alle CRA-Anforderungen umgesetzt sein. Dies umfasst die Anpassung von Produkten und Prozessen an die neuen Cybersicherheitsstandards, einschließlich der Durchführung von Risikobewertungen, der Entwicklung von Sicherheitskonzepten und der Erstellung technischer Dokumentationen.
- Sicherheitsupdates müssen für mindestens fünf Jahre bereitgestellt werden.
„Wir sind entschlossen, Europa zu einem sicheren Ort für unsere Bürger und Unternehmen zu machen. Diese neue Verordnung ist ein großer Schritt nach vorne, um sicherzustellen, dass digitale Produkte in der EU keine Cyberrisiken für EU-Verbraucher darstellen.“
Wen betrifft der Cyber Resilience Act?
Die Verordnung betrifft Unternehmen, die im europäischen Raum digitale Produkte herstellen, importieren, vertreiben oder entsprechende Dienstleistungen bereitstellen. Betroffen sind Produkte mit digitalen Elementen, die eine Datenverbindung mit einem Gerät oder Netz erfordern. Dazu zählen sowohl Software- als auch Hardwareprodukte sowie deren Datenfernverarbeitungslösungen, einschließlich einzelner Komponenten.
Der Act gilt für neue sowie bereits auf dem Markt befindliche Produkte. Ausnahmen gibt es für öffentliche Behörden, bestimmte regulierte Produkte und Open-Source-Software.
Klassifizierung bei der Umsetzung
Der CRA legt je nach Klassifizierung der Produkte unterschiedliche Anforderungen und Cybersecurity-Maßnahmen fest. Diese Einstufung dient dazu, die entsprechenden Sicherheitsanforderungen und Konformitätsbewertungsverfahren festzulegen.
Die Verordnung zur Klassifizierung von Produkten mit digitalen Elementen zielt darauf ab, die Cybersicherheitsanforderungen zu standardisieren und sicherzustellen, dass sowohl Verbraucher als auch Unternehmen vor potenziellen Risiken geschützt sind. Die Produkte werden in drei Hauptkategorien eingeteilt:
- Standardkategorie
- Wichtige Produkte Klasse I und II
- Kritische Produkte laut Anhang IV
Diese Klassifizierung basiert auf der potenziellen Auswirkung von Cybersicherheitslücken und der Bedeutung der Funktionen, die diese Produkte erfüllen. Diese Anforderungen sind unabhängig von Preis, Zielgruppe oder Nutzungskontext der Produkte. Die Einstufung dient dazu, die entsprechenden Sicherheitsanforderungen und Konformitätsbewertungsverfahren festzulegen.
Webcasts: Deep Dives mit unseren Expert:innen
- 12.03.2025: Der Cyber Resilience Act -- eine Reise in die Zukunft der digitalen (Produkt-) Sicherheit
- 26.03.2025: Die Auswirkungen auf die Lieferkette
- 09.04.2025: Sichere Entwicklung von Software und Hardware
- 23.04.2025: Anforderungen und praktische Umsetzung im Produkt-Testing
- 07.05.2025: Sicherheit für OT- und Industrielle Systeme
Wie ist der Cyber Resilience Act umzusetzen?
Leitfaden zur Erfüllung der Anforderungen des Cyber Resilience Act: Notwendige Schritte im Klassifizierungsprozess.
Profitieren Sie von PwCs umfassender Expertise
- Compliance
- Risiko- und Maßnahmen-Management
- Software Development
- OT & Industrial Entwicklung
- Supply Chain Management
Compliance
Informationssicherheits-Managementsystem/Compliance: CRA FIT GAP-Assessments
PwC führt FIT GAP-Assessments durch, um den aktuellen Stand der Cybersicherheitsmaßnahmen Ihrer Produkte zu bewerten und Verbesserungsbedarfe bzw. Umsetzungslücken im Vergleich zu den Anforderungen des CRA zu identifizieren. Basierend auf diesen Assessments entwickelt PwC maßgeschneiderte Empfehlungen und Aktionspläne zur Schließung der identifizierten Lücken.
Risiko- und Maßnahmen-Management
PwC bietet umfassende Unterstützung im Risiko- und Maßnahmen-Management zur Erfüllung der CRA-Anforderungen. Wir führen Risikobewertungen durch, entwickeln Sicherheitskonzepte und implementieren Maßnahmen zur Risikominderung. Dies sichert Ihre Organisation gegen potenzielle Bedrohungen ab und gewährleistet die Einhaltung der CRA-Standards. Zusätzlich unterstützen wir mit agilem Projektmanagement, indem wir agile Methoden zur flexiblen Anpassung an veränderte Sicherheitsanforderungen integrieren, einschließlich der Schulung von SCRUM Mastern und der Betreuung agiler Teams.
Software Development
PwC unterstützt Unternehmen bei der Implementierung von Best Practices im Software Development Life Cycle (SDLC) durch Workshops und Schulungen, um die Sicherheit und Konformität ihrer Softwareprodukte zu gewährleisten. Zusätzlich hilft PwC bei der Erstellung einer Software Bill of Materials (SBOM), die alle Komponenten und Abhängigkeiten eines Softwareprodukts detailliert auflistet. Die SBOM ist entscheidend für die Cybersicherheitsanforderungen des CRA und fördert Transparenz und Nachverfolgbarkeit von Sicherheitslücken. PwC stellt auch sicher, dass alle notwendigen SBOM-Informationen aus der Lieferkette integriert werden.
OT & Industrial Entwicklung
PwC unterstützt bei der sicheren Softwareentwicklung, Produktentwicklung und Absicherung industrieller Systeme, einschließlich Industrial Security, Threat Risk Management und Vulnerability Management. Im OT-Bereich hilft Ihnen PwC bei der Implementierung der Norm IEC 62443-4-1, welche sichere Entwicklungsprozesse und Cybersicherheitsaspekte bereits in der Designphase berücksichtigt (Security-by-Design). Bei industriellen Automatisierungs- und Kontrollsystemen sorgt PwC für die Einhaltung der Norm IEC 62443-4-2, die Sicherheitsanforderungen für IACS-Komponenten festlegt. Ergänzend bietet PwC die Analyse von Bedrohungsrisiken und Management von Schwachstellen an.
Supply Chain Management
PwC unterstützt Ihr Unternehmen bei der Sicherstellung der Anforderungen der CRA für Ihre Lieferkette. Wir überprüfen Ihre Supply Chain auf Cybersicherheitsanforderungen und stellen mit Ihnen sicher, dass alle zugekauften Komponenten den Cybersicherheitsstandards entsprechen. Dies umfasst die Prüfung und Dokumentation der Konformität von Komponenten sowie die Implementierung von Prozessen zur kontinuierlichen Überwachung und Verwaltung von Risiken innerhalb der Lieferkette. Zusätzlich wird die sichere Produktentwicklung bei Ihren Lieferanten (SDLC) und die dazu relevante SBOM auf die Konformität nach CRA überprüft.
Reifegrad-Evaluierung und Assessments
Wir analysieren den Reifegrad Ihrer Prozesse und das Sicherheitsniveau Ihrer Produkte anhand relevanter Standards. Unsere Leistungen umfassen:
- Reifegrad- und Fit-Gap-Evaluierungen: Umfassende Bewertungen helfen Ihnen, einen klaren Implementierungsfahrplan zu erstellen. Dies beinhaltet eine vollständige CRA-Fit-Gap-Evaluierung, die sich auf neue CRA-Anforderungen im Vergleich zu bestehenden Regelungen konzentriert.
- Prozessüberprüfungen: Bottom-Up-Prozessüberprüfungen basieren auf angeleiteten Interviews und dokumentenbasierter Analyse.
- Strategische Resilienzplanung: Wir unterstützen Sie bei der top-down Planung zur Erhöhung der Resilienz und helfen bei der klaren Priorisierung möglicher Schritte, um die geforderte Dokumentationsqualität und Sicherheitsanforderungen zu gewährleisten.
Durch diese Maßnahmen können wir angemessene Schritte ableiten, um den Reifegrad und das Sicherheitsniveau Ihrer Produkte gezielt zu erhöhen.
Workshops
Wir halten spezialisierte Workshops ab, die auf den Prozessreifegrad Ihrer Organisation abgestimmt sind:
- CRA-Einführungsworkshops für das Management: Diese Workshops konzentrieren sich auf die strategischen Anforderungen für die Compliance und bieten einen initialen Überblick über die essenziellen Sicherheitsanforderungen und Schwachstellenbehandlung.
- Aufbau von Kompetenzen im Bereich Product Security: Durch gezielte Schulungen und Begleitung Ihrer Mitarbeitenden unterstützen wir den Entwicklungsprozess.
- Vertiefende technische Workshops zu den CRA-Leitlinien: Diese Workshops fördern die Akzeptanz und Umsetzung der CRA-Vorgaben auf allen Organisationsebenen.
Diese Maßnahmen gewährleisten, dass Ihre Organisation optimal auf die Anforderungen des CRA vorbereitet ist.
Fahrplan für die Implementierung für den CRA
Im Rahmen des CRA helfen wir Ihnen, eine Prozesslandkarte für den gesamten Produktlebenszyklus zu erstellen, von der Entwicklung bis zur Außerbetriebnahme. Unsere Leistung umfasst:
- Implementierungsfahrplan für CRA-Anforderungen: Erstellung eines detaillierten Fahrplans zur Erfüllung der CRA-Anforderungen, der die Priorisierung von Lücken und Empfehlungen sowie deren Aufwand und Zusammenhänge umfasst.
- Optimierung und Rationalisierung von Prozessen: Wir unterstützen Sie bei der Optimierung und Rationalisierung von Produkt- und Softwareentwicklungsprozessen.
- Umsetzung und Unterstützung: Begleitung der Maßnahmenumsetzung, einschließlich Workshops zur Awarenessbildung sowie Entwicklung einer Roadmap.
Durch diese umfassenden Maßnahmen unterstützen wir Sie dabei, die CRA-Anforderungen zu erfüllen und das Haftungsrisiko zu reduzieren.
CRA Kompetenz im europäischen Netzwerk
PwC hat ein umfassendes, länderübergreifendes Kompetenz-Netzwerk zum Cyber Resilience Act aufgebaut. Dieses vereint Expert:innen aus den Bereichen Cyber Security, Risikomanagement, Produktentwicklung, Produkttesting, Governance, Compliance und Recht. Unsere Expert:innen unterstützen Unternehmen weltweit bei der Umsetzung der CRA-Verordnung.
Wir unterstützen Sie dabei, die Auswirkungen des Cyber Resilience Act auf Ihre Produkte und Organisation zu ermitteln, Ihre Fähigkeiten zur Erfüllung der Anforderungen zu bewerten oder bestehende Lücken zu identifizieren. Zudem helfen wir Ihnen, die regulatorischen Vorgaben auf nationaler und EU-Ebene angemessen und kosteneffizient umzusetzen.
Kontakt
