Der Cloud Resilience Act stellt neue Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen, die Hersteller, Importeure und Händler betreffen. Durch frühzeitige Vorbereitung und Implementierung der geforderten Maßnahmen können Unternehmen nicht nur die Einhaltung der Verordnung sicherstellen, sondern auch ihre allgemeine Cybersicherheitsresilienz stärken.
Wir stellen vor: CRA
Der Cloud Resilience Act (CRA) ist eine neue EU-Verordnung, die darauf abzielt, die Cybersicherheit von Produkten mit digitalen Komponenten zu verbessern. Diese Verordnung tritt 2024 in Kraft und betrifft alle Hersteller, Importeure und Händler von Produkten, die digitale Elemente enthalten, sowie Unternehmen, die Cloud-Dienste anbieten. Das Ziel ist es, die Sicherheit dieser Produkte und Dienstleistungen zu erhöhen und sicherzustellen, dass sie während ihres gesamten Lebenszyklus geschützt sind.
Was wird konkret gefordert?
Der CRA stellt spezifische Anforderungen an die Cybersicherheit von Produkten mit digitalen Komponenten:
- Risikobewertung: Vor dem Inverkehrbringen müssen Produkte einer umfassenden Risikobewertung unterzogen werden.
- Schwachstellenmanagement: Hersteller müssen regelmäßig Schwachstellen identifizieren, dokumentieren und beheben.
- Sicherheitsupdates: Es müssen regelmäßige Sicherheitsupdates für die Produkte bereitgestellt werden, mindestens für einen Zeitraum von fünf Jahren.
- Konformitätsbewertung: Produkte werden je nach Kritikalität entweder durch eine Selbsteinschätzung oder durch eine unabhängige Drittbewertung überprüft.
- Vorfallberichterstattung: Sicherheitsvorfälle und ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden gemeldet werden.
Was sollten wir tun, um uns bestmöglich auf CRA vorzubereiten?
Um die Anforderungen des CRA zu erfüllen und die Cybersicherheit zu gewährleisten, sollten Unternehmen folgende Schritte unternehmen:
- Automatisierung und Risikomanagement: Implementierung automatisierter Systeme zur kontinuierlichen Überwachung und Behebung von Schwachstellen. Nutzen Sie beispielsweise Plattformen, die das Risiko- und Schwachstellenmanagement zentralisieren.
- Schulungen und Richtlinien: Entwicklung von umfassenden Richtlinien und Schulungsmaterialien für Ihre Mitarbeiter, um sie über die neuen Anforderungen und bewährte Cybersicherheitspraktiken zu informieren.
- Produkt-Sicherheitsmanager: Ernennung eines dedizierten Managers, der für die Einhaltung der CRA-Anforderungen und die Koordination der Sicherheitsmaßnahmen verantwortlich ist. Diese Aufgabe kann auch von bereits etablierten Rollen übernommen werden, die sich im Unternehmen um das Risikomanagement kümmern.
- Dokumentation und Konformitätsberichte: Erstellung detaillierter Dokumentationen und Berichte zur Konformität, um die Einhaltung der CRA-Anforderungen nachweisen zu können. Risiko- und Schwachstellenmanagement-Systeme können als Input bzw. Nachweis genutzt werden.