Verstöße gegen den Cyber Resilience Act können Unternehmen die CE-Kennzeichnung kosten
Düsseldorf (ots) - Der CRA tritt bald in Kraft - Hersteller, Importeure und
Händler sollten bereits jetzt Prozesse schaffen und automatisieren
Im März 2024 hat das Europäische Parlament den Cyber Resilience Act
verabschiedet. Die finale Version wird in den nächsten Wochen veröffentlicht und
gibt den Startschuss für die Übergangsfrist. "Unternehmen sollten zeitnah
prüfen, inwieweit die Anforderungen des CRA die eigenen Produkte betreffen und
wie schnellstmöglich eine umfassende Konformität sichergestellt werden kann.
Dazu sind Anpassungen in den eigenen Produktions- und Entwicklungsprozessen
notwendig, die auf Basis der neuesten Iterationen nun besser greifbar sind",
sagt Cybersecurity-Experte Jan Wendenburg, Geschäftsführer von ONEKEY. Das
Düsseldorfer Unternehmen hat eine Lösung zum Patent angemeldet, die Herstellern,
Importeuren und Verkäufern von Technologieprodukten mit digitalen Elementen
wesentliche Schritte erleichtert: den Compliance Wizard, der eine umfassende
Cybersicherheitsbewertung von Produkten ermöglicht. Durch die Kombination von
automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem
ganzheitlichen, interaktiven Compliance-Fragebogen werden Aufwand und Kosten von
Cybersicherheits-Compliance-Prozessen deutlich reduziert. Die von der EU
angedrohten Sanktionen bei Sicherheitslücken sind empfindlich - und umfassen
neben Bußgeldern für Unternehmen auch Geldstrafen für Geschäftsführer.
Herstellern, Händlern und Importeuren kann auch die CE-Kennzeichnung entzogen
werden: Das bedeutet einen Verkaufsstopp auf dem gesamten EU-Markt.
CRA Readiness Assessment
Mit dem CRA wird das Prinzip "Security by Design" Gesetz: Künftig reicht es
nicht mehr aus, die Konformität eines Produkts mit digitalen Elementen erst zum
Zeitpunkt des Inverkehrbringens sicherzustellen. Vielmehr ist eine
kontinuierliche Risikobewertung erforderlich - und die sofortige Behebung von
Sicherheitslücken. Beim Zukauf von Komponenten von Drittanbietern und
Open-Source-Komponenten müssen Hersteller eine Due Diligence durchführen, um das
Endprodukt durch den Einbau dieser Bestandteile nicht zu gefährden. Bislang
fehlten den Unternehmen jedoch viele Informationen über die grundlegenden
Anforderungen des CRA sowie einheitliche Standards. Auch das soll sich nun
ändern: "Die EU-Kommission hat bereits horizontale Standards für zentrale
Tätigkeiten und Sicherheitsanforderungen sowie vertikale Standards für wichtige
und kritische Produkte - insgesamt 42 - angekündigt. Damit - und mit den
entsprechenden Tools wie unserem Compliance Wizard - können Unternehmen
schneller analysieren, was umgesetzt werden muss, um Compliance mit dem CRA zu
Händler sollten bereits jetzt Prozesse schaffen und automatisieren
Im März 2024 hat das Europäische Parlament den Cyber Resilience Act
verabschiedet. Die finale Version wird in den nächsten Wochen veröffentlicht und
gibt den Startschuss für die Übergangsfrist. "Unternehmen sollten zeitnah
prüfen, inwieweit die Anforderungen des CRA die eigenen Produkte betreffen und
wie schnellstmöglich eine umfassende Konformität sichergestellt werden kann.
Dazu sind Anpassungen in den eigenen Produktions- und Entwicklungsprozessen
notwendig, die auf Basis der neuesten Iterationen nun besser greifbar sind",
sagt Cybersecurity-Experte Jan Wendenburg, Geschäftsführer von ONEKEY. Das
Düsseldorfer Unternehmen hat eine Lösung zum Patent angemeldet, die Herstellern,
Importeuren und Verkäufern von Technologieprodukten mit digitalen Elementen
wesentliche Schritte erleichtert: den Compliance Wizard, der eine umfassende
Cybersicherheitsbewertung von Produkten ermöglicht. Durch die Kombination von
automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem
ganzheitlichen, interaktiven Compliance-Fragebogen werden Aufwand und Kosten von
Cybersicherheits-Compliance-Prozessen deutlich reduziert. Die von der EU
angedrohten Sanktionen bei Sicherheitslücken sind empfindlich - und umfassen
neben Bußgeldern für Unternehmen auch Geldstrafen für Geschäftsführer.
Herstellern, Händlern und Importeuren kann auch die CE-Kennzeichnung entzogen
werden: Das bedeutet einen Verkaufsstopp auf dem gesamten EU-Markt.
CRA Readiness Assessment
Mit dem CRA wird das Prinzip "Security by Design" Gesetz: Künftig reicht es
nicht mehr aus, die Konformität eines Produkts mit digitalen Elementen erst zum
Zeitpunkt des Inverkehrbringens sicherzustellen. Vielmehr ist eine
kontinuierliche Risikobewertung erforderlich - und die sofortige Behebung von
Sicherheitslücken. Beim Zukauf von Komponenten von Drittanbietern und
Open-Source-Komponenten müssen Hersteller eine Due Diligence durchführen, um das
Endprodukt durch den Einbau dieser Bestandteile nicht zu gefährden. Bislang
fehlten den Unternehmen jedoch viele Informationen über die grundlegenden
Anforderungen des CRA sowie einheitliche Standards. Auch das soll sich nun
ändern: "Die EU-Kommission hat bereits horizontale Standards für zentrale
Tätigkeiten und Sicherheitsanforderungen sowie vertikale Standards für wichtige
und kritische Produkte - insgesamt 42 - angekündigt. Damit - und mit den
entsprechenden Tools wie unserem Compliance Wizard - können Unternehmen
schneller analysieren, was umgesetzt werden muss, um Compliance mit dem CRA zu