Der #EU Cyber Resilience Act (#CRA) kommt – und die Unternehmen nicht nur in der Europäischen Union, sondern in vielen anderen Staaten weltweit bereiten sich auf die neuen produktbezogenen #Cybersecurity-Anforderungen vor! Auf Einladung von Rolls-Royce Power Systems war ich zu Besuch in Friedrichshafen, um das Unternehmen in beratender Funktion bei der Umsetzung des CRA zu unterstützen.
Wichtige Themen, auf die sich die Firmen bis zum Ablauf der Umsetzungsfrist im Dezember 2027 schon jetzt fokussieren sollten, betreffen die Herstellung der Konformität mit den Anforderungen zur #Cybersicherheit nach Anhang I, die Bewertung von Cyberrisiken, die Bereitstellung von Sicherheitsupdates, die Meldepflichten bei Sicherheitslücken sowie die technische Dokumentation und das Nachweis- und Konformitätsbewertungsverfahren.
Und dabei wird schnell eines klar: Auch der CRA hat nicht immer alle Fälle vollständig durchdacht, viele Unternehmen fragen sich beispielsweise, ab wann ein Produkt als „in Verkehr gebracht gilt“. Das ist nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) dann der Fall, wenn es den vom Hersteller eingerichteten Prozess der Herstellung verlassen hat und in einen Prozess der Vermarktung eingetreten ist, in dem es in verbrauchs- oder gebrauchsfertigem Zustand der Öffentlichkeit angeboten wird. Damit wird zugleich auch deutlich, dass es nicht immer nur das Endprodukt ist, das künftig verpflichtend „Security by #Design“ gewährleisten muss.
#cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen #denniskenjikipker