Seitenpfad:

CRA Requirements

Was sind die Anforderungen des Cyber Resilience Acts an die Cybersicherheit von Produkten?

 

Damit der Cyber Resilience Act sein Ziel erreicht, ein Mindestmaß an Cybersicherheit für Produkte mit digitalen Elementen zu schaffen, braucht es gewisse Kriterien. Deshalb stellt sich die Frage: Welche Anforderungen müssen Produkte erfüllen, um CRA-konform zu sein und damit dieses Niveau an Sicherheit zu erreichen?

Der CRA formuliert einige Anforderungen an die Cybersicherheit von Produkten. Das sind die CRA-Requirements, die Hersteller laut den Regularien einhalten müssen. 

Funktionen, Eigenschaften und Security-by-Design

Der formuliert Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen, die Hersteller einhalten müssen. Zum einen sind das technische Anforderungen, wie beispielsweise automatische Sicherheitsupdates, Identitätsmanagement, Zugriffskontrollen und verschlüsselte Datenspeicherung.

Auf der anderen Seite sollen Nutzerinnen und Nutzer aber auch in die Lage versetzt werden, Produkte wieder auf sichere Werkseinstellungen zurücksetzen und ihre Daten und Einstellungen zuverlässig von Geräten entfernen zu können. Auch sollten Hersteller den Zustand ihrer Produkte überwachen – aber trotzdem nur Daten erfassen, die zum Erhalt der Sicherheit notwendig sind.

Aus der Perspektive der Embedded Security ist eine Anforderung besonders wichtig. Bereits bei der Produktentwicklung sollen Hersteller darauf achten, die Angriffsfläche und mögliche damit verbundene Schwachstellen zu reduzieren. Im Idealfall implementieren sie also nur Features, die für die Funktionalität des Produkts notwendig und gleichzeitig sicher sind. Security-by-Design gehört mit dem CRA nun zumindest teils zur Gesetzgebung.

 

Klicken Sie sich hier durch den originalen LinkedIn-Post. Nutzen Sie die Pfeile links und rechts zur Navigation. Mit einem Klick auf jedes Bild können Sie es vergrößern. 

Für die aktuellen Posts folgen Sie Dominik Merli, Leiter des Instituts für innovative Sicherheit an der Technischen Hochschule Augsburg, auf LinkedIn. Oder folgen Sie dem Hashtag #CRAmitINNOS suchen. 

Sprechen Sie mit uns über den CRA

Prof. Merli freut sich auf Ihre Fragen, Kommentare und Meinungen zum Cyber Resilience Act. Oder, falls Sie LinkedIn nicht nutzen, alternativ über [Bitte aktivieren Sie Javascript]. Hier können Sie im Betreff ebenfalls den Hashtag #CRAmitINNOS nutzen. 

 
 

Was sind die Anforderungen des Cyber Resilience Acts (CRA)?

 

Im Annex I formuliert der Cyber Resilience Act die Anforderungen an Produkte mit digitalen Elementen. Hier finden Sie die CRA Requirements in Kurzform. 

 

  1. Produkte mit digitalen Elementen müssen auf der Grundlage von Risikobewertungen ein angemessenes Maß an Cybersicherheit gewährleisten.

  2. Produkte mit digitalen Elementen sollten mit sicheren Standardkonfigurationen auf den Markt kommen. Und es sollte möglich sein, diese Werkseinstellungen wieder herzustellen. 

  3. Hersteller sollten Schwachstellen mit Sicherheitsupdates adressieren. Dies sollte nach Möglichkeit über automatische Updates als Standardeinstellung geschehen.

  4. Die Produkte müssen durch Authentifizierung, Identitätsmanagement und Zugriffskontrolle vor unberechtigtem Zugriff geschützt sein.

  5. Verschlüsselung und andere technische Mittel sollen die  Vertraulichkeit und Integrität der vom Produkt mit digitalen Elementen gespeicherten Daten gewährleisten.

  6. Die Produkte sollten die Datenerfassung minimieren und auf das Notwendige beschränken.

  7. Resilienz- und Schutzmaßnahmen sollten sicherstellen, dass wesentliche Funktionen des Produkts geschützt sind und auch nach Sicherheitsvorfällen verfügbar bleiben.

  8. Security-by-Design umsetzen. Das Design des Produkts sollte Angriffsflächen und die Auswirkungen von Angriffen reduzieren.

  9. Sicherheitsrelevante Informationen und Aktivitäten sollten aufgezeichnet werden, um den Zustand des Produkts zu überwachen.

  10. Die Benutzer sollten in der Lage sein, alle Daten und Einstellungen einfach und sicher von den Produkten zu entfernen.

Manche Anforderungen sind sehr konkret, andere wiederum sehr weich formuliert. Hersteller sollten allerdings alle in die sichere Entwicklung ihrer Produkte mit einbeziehen. 

 
Dominik Merli, Leiter THA_innos
Dominik Merli, Leiter THA_innos

Fragen zum Cyber Resilience Act

 

Was ist der Cyber Resilience Act?

Hier erfahren Sie mehr zu den Hintergründen des Cyber Resilience Acts, seiner Ziele und über die Herausforderungen, die er innerhalb der Europäischen Union adressieren soll. 

Was sind die Ziele des Cyber Resilience Acts?

Was möchte die Europäische Union überhaupt verändern und wo möchte sie in Sachen Cybersicherheit hin? Erfahren Sie mehr über die übergeordneten Ziele des CRA. 

Was sind die Vorteile des Cyber Resilience Acts?

Erfahren Sie mehr zu den prognostizierten Vorteilen des CRA für Hersteller und Nutzer in der Europäischen Union. Und warum KMUs vom CRA profitieren könnten.

Timeline des CRA - wann kommt der Cyber Resilience Act?

Das Europäischen Parlament hat den CRA zwar bereits verabschiedet. Allerdings muss der Europäische Rat ihn noch verabschieden. Ab diesem Tag läuft die Übergangsfrist. Aber wie lang geht diese und was passiert währenddessen?

Was sind Produkte mit digitalen Elementen?

Der CRA verweist immer wieder auf diesen Begriff. Hier erfahren Sie, was er bedeutet. Und welche Produkte der CRA  betrifft oder nicht betrifft.

Was sind die CRA Requirements?

Welche Anforderungen stellt der Cyber Resilience Act an die Cybersicherheit von Produkten in der Europäischen Union?

Wie CRA-konform mit Schwachstellen umgehen?

Schwachstellen sind unvermeidlich. Deshalb gibt der CRA auch vor, wie Hersteller bei der Entdeckung von Schwachstellen handeln sollten. 

Welche Produktkategorien kennt der CRA?

Wie Hersteller die Konformität ihrer Produkte mit den Anforderungen des CRA sicherstellen, hängt auch davon ab, in welche Kategorie sie fallen.

Was ist ein Conformity Assessment und wie führt man es durch?

Es gibt verschiedene Verfahren, wie Hersteller die Konformität ihrer Produkte bestätigen können. Das hängt auch von der Produktkategorie ab.

Wie reguliert der CRA Free und Open Source Software?

FOSS fällt unter den CRA, wenn sie in einem wichtigen Produkt integriert ist und kommerziell genutzt wird. 

Wie reguliert der CRA Fremdkomponenten?

 Kein Hersteller baut alles selbst. So geht der Cyber Resilience Act mit Komponenten von Drittanbietern um.