Was bedeutet der EU #Cyber #Resilience #Act für Hersteller, Importeure und den Vertrieb? Lange haben wir gewartet und nun ist er da, der neueste europäische Rechtsakt zur #Cybersicherheit! Die dahinterliegende Grundidee ist einfach: Es bedarf nicht nur sicherer Prozesse, sondern auch sicherer Produkte, um flächendeckend mehr Cybersecurity zu erreichen. Insoweit kann der CRA auch als bislang noch fehlendes „Puzzlestück“ in der europäischen Cybersicherheitslandschaft gesehen werden, das in diesen Zeiten dringender denn je benötigt wird. Dabei reicht die Geschichte der hinter dem CRA stehenden regulatorischen Intention noch weiter in die Vergangenheit zurück, denn in den letzten zehn Jahren hat die Vernetzung durch digitale Produkte sowohl im betrieblichen wie auch im privaten Umfeld massiv zugenommen – und damit zwangsläufig auch die Bedrohungslage, denn einerseits führt Vernetzung zu neuen Angriffsvektoren, andererseits haben die Hersteller digitaler Produkte mit Blick auf ihre digitale Sicherheit nicht immer das geleistet, was eigentlich nötig gewesen wäre.
Perspektivisch werden die mit dem CRA kommenden Änderungen in der produktbezogenen Cybersicherheitsarchitektur umfassend sein – ich gehe gar davon aus, dass die Auswirkungen deutlich größer sein werden als bei #NIS2, denn weil nicht primär nur Unternehmen in und aus der EU betroffen sind, werden sich vor allem auch Tausende ausländische Firmen weltweit mit den neuen Vorgaben zu „Security by Design“ über den gesamten Produktlebenszyklus hinweg befassen müssen, wenn sie ihre digitalen Produkte auf dem EU-Binnenmarkt auch in Zukunft anbieten wollen. Prognostisch wird der CRA aber wohl noch eine Weile ein „Cold Case“ bleiben: Das zum einen, weil NIS2 zumindest unter Compliance-Gesichtspunkten dringender in der Umsetzung ist, zum anderen aber auch, weil für den Cyber Resilience Act die Übergangsfristen grundsätzlich bis zum 11.12.2027 laufen. Nur zu hoffen jedoch bleibt, dass nicht erst am Tage des Wirksamwerdens des CRA hektische Betriebsamkeit ausbricht, um in wenigen Wochen die Zeit aufzuholen, die mit der dreijährigen Übergangsfrist durch die EU gegeben wurde – denn auch Security by Design lässt sich nicht von einem Tag zum anderen effektiv realisieren.
In der brandaktuellen iX habe ich für alle, die sich schon jetzt mit dem EU CRA befassen wollen, einen Beitrag geschrieben, der die Hintergründe und Anforderungen zusammenfasst und einschätzt: https://www.heise.de/hintergrund/Der-EU-Cyber-Resilience-Act-Was-man-darueber-wissen-muss-10016391.html
#denniskenjikipker #cybersecurity #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen