Schritt-für-Schritt-Anleitung zur Einhaltung des Cyber ​​Resilience Act (CRA)

Einführung

Der Cyber ​​Resilience Act (Verordnung (EU) 2024/2847) ist ein Gesetz der Europäischen Union, das Cybersicherheitsregeln für Produkte festlegt, die digitale Komponenten enthalten, die Hardware oder Software sein können.

Der Cyber ​​Resilience Act (CRA) basiert auf einem Grundsatz: Nur sichere Produkte sollten auf dem EU-Markt zugelassen werden.

Um dieses Prinzip umzusetzen, Artikel 6 Die Verordnung legt zwei zentrale Säulen der Einhaltung fest:

1. Produkte müssen durch Konstruktion und Verwendung sicher sein (Anhang I, Teil I))

Ein Produkt gilt nur dann als konform, wenn:

Es erfüllt die wesentlichen Cybersicherheitsanforderungen, die in der Anhang I, Teil I.

• Es wird vom Benutzer oder Betreiber ordnungsgemäß installiert, gewartet und aktualisiert.

Mit anderen Worten: Das Produkt muss grundsätzlich sicher sein und auch bei bestimmungsgemäßer Verwendung weiterhin sicher funktionieren.

Die CRA umfasst vier Produktkategorien:

• StandardkategorieDies umfasst die meisten Produkte, die nicht explizit in anderen Kategorien aufgeführt sind (rund 90 % aller Produkte mit digitalen Elementen). Beispiele hierfür sind Unterhaltungselektronik für den allgemeinen Gebrauch wie Smart Speaker, Festplatten und einfache Bildbearbeitungssoftware.
• Wichtige Produkte der Klasse IDiese Produkte erfüllen Funktionen, die für die Cybersicherheit von entscheidender Bedeutung sind, wie z. B. Identitätsmanagementsysteme, Webbrowser, Passwortmanager, VPN-Software und Smart-Home-Sicherheitsgeräte (z. B. intelligente Türschlösser, Kameras).
• Wichtige Produkte der Klasse IIDiese Klasse umfasst Produkte mit höherem Risiko als Klasse I, wie z. B. Firewalls, Intrusion-Detection-/Prevention-Systeme für den industriellen Einsatz, Hypervisoren und manipulationssichere Mikroprozessoren.
• Kritische ProdukteHierbei handelt es sich um Produkte mit dem höchsten Risiko, die als kritisch eingestuft werden, da wichtige Einrichtungen von ihnen abhängig sind und deren Kompromittierung weitreichende Störungen verursachen könnte. Beispiele hierfür sind Sicherheitselemente in Smartcards und Smart-Meter-Gateways.

2. Hersteller müssen sichere Entwicklungs- und Lebenszyklusprozesse einhalten (Anhang I, Teil II)

Konformität betrifft nicht nur das Endprodukt, sondern auch dessen Herstellung und Support. Anhang I, Teil IIHersteller müssen:

• Implementieren Sie einen Prozess zum Schwachstellenmanagement, der das Empfangen, Bewerten und Beheben von Sicherheitsproblemen umfasst.
• Befolgen Sie während des gesamten Produktlebenszyklus bewährte Entwicklungsmethoden.
• Aktualisieren Sie das Produkt und gewährleisten Sie dessen Sicherheit im Laufe der Zeit.

Die CRA geht über eine einmalige Produktprüfung vor der Markteinführung hinaus. Sie fordert kontinuierliche Sicherheit während des gesamten Produktlebenszyklus. Daher muss das Produkt sicher konstruiert sein, und der Hersteller muss es fortlaufend mit Sicherheitsupdates, Überwachung und Verbesserungen unterstützen.

Die Einhaltung der CRA-Vorschriften ist also keine einmalige Angelegenheit, sondern eine langfristige, strategische und taktische Initiative, um sicherzustellen, dass Sicherheit sowohl in das Produkt als auch in die dahinterliegenden Prozesse integriert wird.

Wer muss die Vorgaben der CRA einhalten?

Wenn es heißt „jeder Hersteller aus der EU oder einem Nicht-EU-Land, der Produkte mit digitalen Elementen in Europa verkauft“, bedeutet das Folgendes:

• EU-Hersteller

  Unternehmen mit Sitz in der EU, die Produkte mit Software/Firmware herstellen und diese in der EU verkaufen.

• Nicht-EU-Hersteller

  Unternehmen mit Sitz außerhalb der EU (z. B. in den USA, China usw.), die:

  • direkt auf dem EU-Markt verkaufen, oder
  • Vertrieb über EU-Distributoren/Importeure.

Wenn das Produkt auf dem EU-Markt angeboten wird, greift das EU-Handelsgesetz (CRA), unabhängig vom Firmensitz. Sie können das CRA also nicht umgehen, nur weil Ihr Hauptsitz außerhalb der EU liegt oder Sie über Online-Marktplätze verkaufen; wenn EU-Kunden das Produkt kaufen können, fallen Sie unter das Gesetz.

Abgedeckte Produktarten

Die CRA (Consumer Regulatory Authority) umfasst Software und Firmware, die auf vernetzten Geräten ausgeführt werden oder mit diesen geliefert werden. Dies beinhaltet Gerätebetriebssysteme, eingebettete Firmware, mobile Apps zur Steuerung von IoT-Produkten, Desktop-Verwaltungstools und Cloud-basierte Schnittstellen, die mit diesen Geräten interagieren. Wenn die Software Teil der Produktfunktionalität ist oder die Sicherheit des Produkts beeinträchtigt, unterliegt sie den Anforderungen der CRA.

Die CRA umfasst IoT- und eingebettete Geräte, also Produkte, die Software oder Firmware enthalten und typischerweise in Privathaushalten, im Gesundheitswesen und in industriellen Umgebungen eingesetzt werden.

Dies gilt auch für industrielle Steuerungs- und Automatisierungsanlagen, die in Fabriken und kritischen Infrastrukturen eine entscheidende Rolle spielen.

Eine weitere wichtige Kategorie ist die Unterhaltungselektronik, zu der alltägliche intelligente Geräte wie Wearables, intelligente Haushaltsgeräte, Heimkinosysteme und vernetzte Sicherheitslösungen gehören.

Die Zeit drängt für die Hersteller.

Da die Umsetzung des CRA-Gesetzes nach einem strikten Zeitplan erfolgt, müssen Hersteller und Händler sicherstellen, dass sie auf dem neuesten Stand sind. Nachfolgend finden Sie eine kurze Übersicht der wichtigsten Meilensteine.

Am 10. Dezember 2024 tritt der CRA in Kraft.

An diesem Tag trat der CRA offiziell in Kraft. kein Frontalunterricht. Dies bedeutet, dass alle Anforderungen sofort erfüllt werden müssen, markiert aber gleichzeitig den Beginn des Countdowns. Ab diesem Zeitpunkt wird von Herstellern, Importeuren und Händlern erwartet, dass sie ihre Prozesse, Dokumentationen und Systeme auf die Einhaltung der Vorschriften vorbereiten.

11. September 2026, Beginn der Meldepflichten für Sicherheitslücken

Knapp zwei Jahre später treten die ersten verpflichtenden Pflichten in Kraft:

• Die Hersteller müssen damit beginnen, aktiv ausgenutzte Sicherheitslücken und Vorfälle innerhalb der vorgeschriebenen Fristen den EU-Behörden zu melden.
• Sie müssen bereits über einen grundlegenden Prozess für das Management und die Offenlegung von Schwachstellen verfügen.
• Diese Phase konzentriert sich auf Transparenz und Frühwarnung, noch bevor die vollständige Produktkonformität erforderlich ist.

Dies ist im Wesentlichen der „sanfte Start“ des CRA, bei dem Organisationen nachweisen müssen, dass sie Sicherheitsprobleme angemessen bewältigen und kommunizieren können.

11. Dezember 2027, Vollständige Einhaltung erforderlich

Dies ist die entscheidende Frist. Bis zu diesem Datum müssen alle Produkte mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden, die Anforderungen der CRA vollständig erfüllen, einschließlich:

• Entwicklung von sicheren Systemen durch Design und sichere Standardeinstellungen
• SBOM-Erstellung und -Wartung
• Angemessene Schwachstellenmanagementprozesse
• Sicherheitsaktualisierungsmechanismen
• Dokumentation und CE-Kennzeichnung im Zusammenhang mit Cybersicherheit

Ab diesem Datum dürfen nicht konforme Produkte in der EU nicht mehr legal verkauft werden.

Produkte mit digitalen Elementen, die rechtmäßig auf dem EU-Markt in Verkehr gebracht wurden vor dem 11. Dezember 2027 Sie sind grundsätzlich von den Hauptanforderungen des CRA ausgenommen. Diese Ausnahme gilt nur, solange das Produkt nach dem 11. Dezember 2027 keiner „wesentlichen Änderung“ unterzogen wird. Wird ein Produkt nach diesem Datum wesentlich geändert, muss es den vollständigen CRA-Anforderungen entsprechen, und das Unternehmen, das die Änderung vornimmt, gilt im Sinne des CRA als Hersteller.

Eine wichtige Ausnahme von der allgemeinen Ausnahme besteht bei den Pflichten im Zusammenhang mit der Meldung von Schwachstellen und Vorfällen (Artikel 14). do Diese Meldepflichten gelten für alle Produkte, die unter die Verordnung fallen, einschließlich solcher, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden. Sie werden ab dem 11. September 2026 verpflichtend. 

Nun wollen wir die Anforderungen der CRA im Detail verstehen:

Erläuterung der CRA-Anforderungen

Die CRA definiert spezifische Sicherheitsanforderungen für Produkte mit digitalen Elementen. Diese sind unterteilt in: zwei Hauptteile:

Teil I – Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen

Anforderung	Anforderung erläutert	Wie man die Anforderung erfüllt
Teil I.1 – Sicherheit durch Design	Produkte müssen von Anfang an, beginnend mit der frühen Entwicklungsphase, so konzipiert und gebaut werden, dass die Sicherheit ihren Risiken angemessen ist.	Führen Sie Risikobewertungen durch, wenden Sie einen sicheren Entwicklungslebenszyklus (SDL) an, minimieren Sie die Angriffsfläche, nutzen Sie sichere Codierungspraktiken und integrieren Sie Hardware-/Software-Sicherheitskontrollen.
Teil I.2(a) – Keine bekannten ausnutzbaren Schwachstellen	Produkte dürfen nicht mit Sicherheitslücken auf den Markt gebracht werden, die bereits öffentlich oder intern bekannt sind.	Führen Sie Schwachstellenscans, Penetrationstests, statische/dynamische Codeanalysen und SBOM-Überprüfungen durch und beheben Sie Probleme vor der Veröffentlichung.
Teil I.2(b) – Sichere Standardkonfiguration	Die Produkte müssen mit standardmäßig aktivierten Sicherheitseinstellungen ausgeliefert werden und eine Rückkehr auf Werkseinstellungen ermöglichen.	Deaktivieren Sie unnötige Dienste, erzwingen Sie starke Standardanmeldeinformationen oder verzichten Sie ganz darauf, verwenden Sie sichere Protokolle, stellen Sie die Funktionsfähigkeit zum Zurücksetzen auf Werkseinstellungen sicher und härten Sie die Systemkonfigurationen ab.
Teil I.2(c) – Rechtzeitige Sicherheitsupdates	Die Produkte müssen Sicherheitsupdates unterstützen, idealerweise automatisch, mit Abmelde-, Benachrichtigungs- und Verschiebungsoptionen.	Implementieren Sie robuste Update-Mechanismen, sichere Update-Bereitstellung, Update-Signierung, Benutzerbenachrichtigungen und automatisierte Schwachstellenüberwachung.
Teil I.2(d) – Schutz vor unberechtigtem Zugriff	Die Geräte müssen unbefugten Zugriff verhindern und Zugriffsversuche erkennen und melden.	Setzen Sie auf starke Authentifizierung, Identitäts- und Zugriffsmanagement, rollenbasierte Zugriffskontrolle, Protokollierung und sichere Speicherung von Anmeldeinformationen.
Teil I.2(e) – Vertraulichkeit der Daten	Geräte müssen gespeicherte und übertragene Daten schützen, häufig mithilfe von Verschlüsselung.	Implementieren Sie Verschlüsselung für Daten während der Übertragung und für ruhende Daten, sichern Sie das Schlüsselmanagement und wenden Sie moderne kryptografische Standards an.
Teil I.2(f) – Integrität von Daten und Befehlen	Die Geräte müssen Daten, Befehle und Konfigurationen vor unautorisierten Änderungen schützen und Beschädigungen erkennen.	Arbeiten jederzeit weiterbearbeiten können. Jede Präsentation und jeder KI-Avatar, den Sie von Grund auf neu erstellen oder hochladen, digitale SignaturenPrüfsummen, signierte Aktualisierungen, authentifizierte Kommunikation und Überwachung der Datenintegrität.
Teil I.2(g) – Datenminimierung	Geräte dürfen nur die minimalen Daten erfassen, die für ihren vorgesehenen Zweck erforderlich sind.	Überprüfen Sie die Datenflüsse vom Eingangs- zum Ausgangspunkt, entfernen Sie Redundanzen und dokumentieren Sie die Zweckbeschränkungen.
Teil I.2(h) – Verfügbarkeit wesentlicher Funktionen	Kritische Funktionen müssen auch nach einem Vorfall funktionsfähig bleiben, einschließlich der Widerstandsfähigkeit gegen Denial-of-Service-Angriffe.	Implementieren Sie Redundanz, ausfallsichere Modi, Ratenbegrenzung, DoS-Schutz und definieren Sie Maßnahmen zur Wiederherstellung nach Vorfällen.
Teil I.2(i) – Minimierung negativer Auswirkungen auf Netzwerke	Die Geräte dürfen die Verfügbarkeit anderer vernetzter Systeme nicht beeinträchtigen oder schädigen.	Implementieren Sie Bandbreitenkontrollen, Ressourcenisolierung, Verhaltensüberwachung und sichere Kommunikationspraktiken.
Teil I.2(j) – Reduzierung der Angriffsfläche	Geräte müssen die Anzahl externer Schnittstellen minimieren, um mögliche Angriffspunkte für Angreifer zu reduzieren.	Nicht verwendete Ports/Dienste entfernen, modulares Design verwenden, APIs einschränken und sichere Standardkonfigurationen erzwingen.
Teil I.2(k) – Minderung der Auswirkungen von Vorfällen	Die Geräte müssen Maßnahmen beinhalten, die den durch Sicherheitsvorfälle verursachten Schaden begrenzen.	Folgenabschätzungen durchführen und Sofortmaßnahmen zur Reaktion auf Vorfälle einleiten.
Teil I.2(l) – Überwachung von Sicherheitsereignissen	Die Geräte müssen wichtige Sicherheitsereignisse aufzeichnen und die Überwachung ermöglichen, wobei dem Benutzer die Möglichkeit zum Deaktivieren eingeräumt werden muss.	Implementieren Sie Protokollierung, Prüfprotokolle, Ereignisberichte, sichere Protokollspeicherung und Überwachung.
Teil I.2(m) – Sichere Datenlöschung und -übertragung	Benutzer müssen Daten sicher und endgültig löschen können, und jede Datenübertragung muss sicher erfolgen.	Bieten Sie verschlüsselte Speicherlöschung, geschützte Datenexport-Workflows und klare Benutzerkontrollen.

Teil II – Anforderungen an den Umgang mit Schwachstellen

Anforderung	Anforderung erläutert	Wie man die Anforderung erfüllt
Teil II.1 – SBOM & Komponentenverfolgung	Die Hersteller müssen alle Softwarekomponenten und Schwachstellen ihrer Produkte identifizieren und dokumentieren, einschließlich der Erstellung einer Software-Stückliste (SBOM).	Führen Sie kryptografische Ermittlungen durch und pflegen Sie ein detailliertes Inventar, führen Sie Schwachstellenscans durch, halten Sie Komponenteninventare auf dem neuesten Stand und überwachen Sie Drittanbieterbibliotheken auf neue CVEs.
Teil II.2 – Schnelle Schwachstellenbehebung	Hersteller müssen Sicherheitslücken schnell beheben und zeitnah Sicherheitsupdates bereitstellen. Sicherheitskorrekturen sollten nach Möglichkeit von Funktionsupdates getrennt werden.	Ein Programm zur Schwachstellenanalyse einrichten, die Behebung nach Risiko priorisieren, schnell Sicherheitspatches veröffentlichen, nutzen CI / CD für eine schnelle Bereitstellung und die Trennung von Sicherheitsupdates und Funktionsupdates.
Teil II.3 – Regelmäßige Sicherheitstests	Die Hersteller müssen während des gesamten Produktlebenszyklus kontinuierliche Sicherheitstests und Sicherheitsüberprüfungen durchführen.	Führen Sie regelmäßig Penetrationstests, statische/dynamische Analysen, Fuzzing, Code-Reviews und kontinuierliche Sicherheitsbewertungen vor und nach der Produktveröffentlichung durch.
Teil II.4 – Offenlegung von Sicherheitslücken	Sobald ein Patch verfügbar ist, müssen die Hersteller klare Informationen über die behobenen Sicherheitslücken öffentlich bekannt geben, es sei denn, es gibt einen gerechtfertigten Sicherheitsgrund für eine Verzögerung der Veröffentlichung.	Für den Hersteller: Benachrichtigen Sie die Benutzer über Patches, geben Sie Schweregrade an, beschreiben Sie die Auswirkungen und dokumentieren Sie die Maßnahmen zur Behebung.
Teil II.5 – Richtlinie zur koordinierten Offenlegung von Sicherheitslücken (CVD)	Die Hersteller müssen eine formale Richtlinie festlegen und durchsetzen, die regelt, wie externe Forscher Sicherheitslücken melden können.	Für die Fertigung: Erstellen Sie eine öffentliche Richtlinie für Herz-Kreislauf-Erkrankungen, definieren Sie Aufnahmeverfahren, legen Sie Fristen für die Triage fest, bestätigen Sie Meldungen und koordinieren Sie die Kommunikation zwischen Forschern und internen Teams.
Teil II.6 – Informationen über potenzielle Sicherheitslücken austauschen	Die Hersteller müssen es einfach machen, Sicherheitslücken zu melden und Informationen über potenzielle Schwachstellen sowohl in ihrer eigenen Software als auch in Komponenten von Drittanbietern auszutauschen.	Für Hersteller: Stellen Sie einen dedizierten Sicherheitskontakt oder eine E-Mail-Adresse bereit, nutzen Sie Plattformen zur Erfassung von Schwachstellen, teilen Sie Warnhinweise mit Partnern, überwachen Sie Sicherheitskanäle von Drittanbietern und fördern Sie die verantwortungsvolle Offenlegung.
Teil II.7 – Sichere Updateverteilung	Die Hersteller müssen Updates auf sichere Weise verteilen, um sicherzustellen, dass Sicherheitslücken schnell und sicher behoben werden können. Dies schließt gegebenenfalls auch die Unterstützung automatischer Updates ein.	Für Hersteller: Nutzen Sie signierte Updates, verschlüsselte Übertragungskanäle, sichere OTA-Mechanismen (Over-the-Air), Integritätsprüfungen für Updates und automatisierte Bereitstellungspipelines.
Teil II.8 – Zeitnahe und kostenlose Sicherheitsupdates	Sicherheitsupdates müssen umgehend und kostenlos (mit Ausnahme von individuellen Geschäftsvereinbarungen) bereitgestellt werden. Die Updates müssen klare Warnhinweise enthalten.	Veröffentlichen Sie Updates zügig, benachrichtigen Sie die Benutzer umgehend, stellen Sie kostenlose Sicherheitskorrekturen bereit, fügen Sie eine Dokumentation bei, die die Auswirkungen erläutert und empfohlene Maßnahmen vorschlägt, und gewährleisten Sie eine einfache Installation.

Strafe bei Nichteinhaltung

Die Nichteinhaltung der CRA-Vorgaben hat schwerwiegende Folgen für Hersteller und alle, die Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringen. Nicht konforme Produkte können vom Markt genommen werden, Unternehmen müssen ihre Geräte unter Umständen nachbessern oder neue Designs entwickeln, und der Reputationsschaden kann erheblich sein. Da Cybersicherheitsvorfälle Einzelpersonen, Branchen und kritische Infrastrukturen gefährden können, misst die CRA der Einhaltung der Vorschriften höchste Priorität bei.

Neben dem Verlust des Marktzugangs drohen Unternehmen erhebliche finanzielle Strafen. Das Cybersecurity Act (CRA) beinhaltet ein strenges Durchsetzungssystem, das Unternehmen dazu anregen soll, Cybersicherheit, Produktsicherheit und Lebenszyklusmanagement höchste Priorität einzuräumen.

Artikel 64 des CRA räumt den Behörden sowohl Verwaltungsstrafen als auch Befugnisse zur Durchsetzung von Korrekturmaßnahmen ein. Marktüberwachungsbehörden können nicht nur Geldbußen verhängen, sondern auch:

• Anordnung zur Rücknahme von Produkten vom Markt,
• den Weiterverkauf einschränken oder verbieten, und
• Die Hersteller müssen verpflichtet werden, ein Produkt zu reparieren oder neu zu gestalten, bevor es wieder verkauft werden darf.

Diese Befugnisse kommen zum Tragen, wenn ein Produkt Sicherheitsrisiken birgt oder die grundlegenden Anforderungen der CRA nicht erfüllt.

Maximale Feinstaubwerte

Die CRA verwendet ein gestaffeltes Strafsystem, bei dem die Höhe der Geldstrafen von folgenden Faktoren abhängt:

• wer den Verstoß begangen hat (Hersteller, Importeur, Händler usw.), und
• wie schwerwiegend der Verstoß ist (sicherheitsrelevant vs. verwaltungsrelevant).

Nachfolgend sind die drei Hauptkategorien von Bußgeldern aufgeführt.

Bis zu 15 Millionen Euro oder 2.5 % des weltweiten Umsatzes

Dies ist die höchste Strafstufe und gilt hauptsächlich für Hersteller, die letztendlich für die Produktsicherheit verantwortlich sind. Ein Unternehmen kann mit dieser Geldstrafe belegt werden, wenn es eine der folgenden Bestimmungen nicht einhält:

• Wesentliche Cybersicherheitsanforderungen (Anforderungen gemäß Anhang I)
• Meldepflichten bei Vorfällen
• Meldepflichten für Schwachstellen
• Weitere Kernaufgaben sind im Rahmen des CRA definiert.

Da diese Fehler direkte Auswirkungen auf die Sicherheit der Nutzer und das Cybersicherheitsrisiko haben, werden sie mit den strengsten Sanktionen geahndet.

Bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) 

Diese Kategorie greift, wenn Unternehmen Verfahrens- oder Compliance-Vorgaben nicht erfüllen, selbst wenn das Produkt selbst nicht aktiv unsicher ist. Ein häufiger Grund für diese Strafe ist: 

• Fehlende oder unvollständige technische Dokumentation 

• Versäumnis, Konformitätsbewertungen durchzuführen oder zu dokumentieren 

• Fehlerhafte oder fehlende CE-Kennzeichnung 

• Die erforderliche Software-Stückliste (SBOM) wird nicht gepflegt. 

• Schwache interne Prozesse zur Überwachung der Einhaltung von Vorschriften 

Die EU stützt sich auf Dokumentation und Konformitätsnachweis Um Cybersicherheit in großem Umfang durchzusetzen. Wenn Prüfer die Einhaltung nicht überprüfen können, wird die Durchsetzung unmöglich. 

Bis zu 5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) 

Dies ist die niedrigste Strafstufe und sie kommt zum Tragen, wenn eine Organisation Folgendes tut: 

• Liefert falsche, irreführende oder unvollständige Informationen 

• Verweigert den Marktüberwachungsbehörden die angeforderten Daten. 

• Falsche Darstellung von Cybersicherheitskontrollen oder Testergebnissen 

Dies umfasst vorsätzliche Täuschung ODER fahrlässige Ungenauigkeiten. 

CRA-Compliance-Checkliste (Übersicht)

CRA Es geht nicht nur darum, dass „Sicherheitsmaßnahmen durchgeführt werden“. Vielmehr wird der Nachweis verlangt, dass Cybersicherheit verantwortet, gesteuert und detailliert umgesetzt wird – und nicht nur ad hoc. Wenn niemand klar verantwortlich ist, kann der Hersteller keine verlässliche Bewertung über den gesamten Lebenszyklus hinweg durchführen. Die folgende Checkliste ermöglicht eine schnelle Selbsteinschätzung, um den aktuellen Stand Ihrer Organisation zu ermitteln:

Risikobewertung

• Stellen Sie sicher, dass eine Datenschutzrisikobewertung durchgeführt wurde, einschließlich Risikoidentifizierung, -analyse und -priorisierung.
• Sicherstellen, dass ein formeller Risikomanagementprozess existiert, um Sicherheitsrisiken zu identifizieren, zu überwachen und zu steuern.
• Stellen Sie sicher, dass Risiken nach Eintrittswahrscheinlichkeit und Auswirkung priorisiert werden, wobei dokumentierte Risikoakzeptanzkriterien vorliegen.
• Stellen Sie sicher, dass eine RACI-Matrix für Risikoverantwortung, Eskalation und Entscheidungsfindung definiert ist.
• Stellen Sie sicher, dass die Richtlinien und Verfahren zum Management von Sicherheitsrisiken dokumentiert, aktuell und genehmigt sind.
• Stellen Sie sicher, dass die Richtlinien für kryptografische Verfahren mit den geltenden regulatorischen und branchenüblichen Best-Practice-Standards, wie z. B. NIST, übereinstimmen. FIPS, Datenschutz, usw.
• Stellen Sie sicher, dass für kritische IKT-Systeme und -Dienste kontinuierliche Überwachungsprozesse eingerichtet sind.

Vorfallreaktion

• Stellen Sie sicher, dass ein Notfallplan und ein Geschäftskontinuitätsplan formell dokumentiert und genehmigt werden.
• Es muss sichergestellt werden, dass vordefinierte Verfahren zur Erkennung, Reaktion, Eindämmung und Wiederherstellung nach Cybervorfällen vorhanden sind.
• Stellen Sie sicher, dass Rollen und Verantwortlichkeiten für die Reaktion auf Zwischenfälle klar definiert sind.
• Stellen Sie sicher, dass der Notfallplan regelmäßig getestet wird.
• Stellen Sie sicher, dass die aus Störfalltests oder realen Störfällen gewonnenen Erkenntnisse dokumentiert und berücksichtigt werden.
• Gewährleisten Software-Stücklisten (SBOMs) werden erfasst und gepflegt, um eine schnelle Priorisierung von Vorfällen und eine Analyse ihrer Auswirkungen zu ermöglichen.

Datenschutz

• Stellen Sie sicher, dass sensible und personenbezogene Daten, wie z. B. PII-, PHI- und PCI-Daten, gemäß den Vertraulichkeits- und regulatorischen Anforderungen klassifiziert werden.
• Es muss sichergestellt werden, dass Kontrollmechanismen vorhanden sind, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten.
• Stellen Sie sicher, dass sensible Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt werden.
• Es muss sichergestellt werden, dass Mechanismen zur Erkennung, Reaktion und Eindämmung von Datenschutzverletzungen vorhanden sind.
• Sicherstellen, dass Kontrollen zur Gewährleistung der Software- und Datenintegrität implementiert sind (z. B. Prüfsummen, Codesignatur).
• Es ist sicherzustellen, dass regelmäßig Sicherheitsaudits und -bewertungen durchgeführt werden, um die Einhaltung interner Richtlinien und Branchenstandards zu überprüfen.

Berichterstattungspflichten

• Stellen Sie sicher, dass die Zugriffskontrollen das Prinzip der minimalen Berechtigungen mithilfe von RBAC oder IAM durchsetzen.
• Stellen Sie sicher, dass alle Software- und Cybersicherheitsvorfälle einheitlich dokumentiert werden.
• Stellen Sie sicher, dass Vorfälle gemäß den behördlichen und gesetzlichen Bestimmungen gemeldet werden.
• Stellen Sie sicher, dass Meldefristen, Schwellenwerte und Verantwortlichkeiten klar definiert sind.
• Sicherstellen, dass SBOMs und andere Nachweise zur Einhaltung der Vorschriften erstellt und gepflegt werden.
• Um Reaktionszeiten und Fehler zu reduzieren, sollte die Berichtserstellung und die Generierung von Nachweisen nach Möglichkeit automatisiert werden.

Wie Verschlüsselungsberatung helfen kann

Encryption Consulting bietet maßgeschneiderte Beratungsleistungen, um Ihr Unternehmen bei der effizienten und sicheren Erfüllung der spezifischen Anforderungen der kanadischen Finanzaufsichtsbehörde (CRA) zu unterstützen. Durch detaillierte Analysen, basierend auf den Anforderungen und relevanten CRA-Standardartikeln, identifizieren wir Schwachstellen wie veraltete Protokolle, unzureichendes Schlüsselmanagement oder falsch konfigurierte SSL/TLS-Einstellungen. Die Behebung dieser Probleme stärkt Ihre Verschlüsselungsarchitektur und gewährleistet die dauerhafte Einhaltung der Vorschriften. 

Verschlüsselungsberatung bietet CodeSign Secure, eine umfassende Code-Signing-Lösung auf Unternehmensniveau, die Organisationen dabei helfen soll, strenge Cybersicherheitsanforderungen zu erfüllen, wie sie beispielsweise von der EU-CRA vorgeschrieben sind. 

CodeSign Secure bewältigt die wichtigsten Herausforderungen der CRA-Compliance durch die Bereitstellung von: 

• HSM-gestützter Schlüsselschutz: Private Signaturschlüssel bleiben sicher in FIPS 140-2 Level 3-zertifizierten HSMs gespeichert, wodurch sichergestellt wird, dass kein Risiko einer Offenlegung oder eines Diebstahls der Schlüssel besteht. Dies entspricht vollständig den Branchenanforderungen und Best Practices, die für die CRA-Konformität unerlässlich sind. 
• Automatisierung und CI/CD-Integration: Die Lösung lässt sich nahtlos in gängige DevOps-Pipelines und automatisierte Build-Workflows integrieren und stellt sicher, dass die Sicherheit niemals die Entwicklungsgeschwindigkeit oder Innovation behindert. 
• Richtliniendurchsetzung und granulare Zugriffskontrolle: Organisationen können detaillierte Sicherheitsrichtlinien definieren und durchsetzen, Signaturberechtigungen automatisieren und das Signatur-Lebenszyklusmanagement teamübergreifend steuern und so die Audit- und Rechenschaftsanforderungen der CRA unterstützen. 
• Umfassende Prüfprotokolle: Detaillierte Ereignisprotokollierung, mehrstufige Genehmigungen und Quorumkontrollen stellen sicher, dass jede Signaturaktion verfolgt, validiert und konform ist, was die Konformitätsbewertungen der CRA vereinfacht. 
• Skalierbare Bereitstellungsmodelle: Encryption Consulting unterstützt Cloud-, Hybrid- und On-Premises-Bereitstellungen und ermöglicht Unternehmen jeder Größe die Einführung einer robusten Code-Signierung ohne übermäßigen Infrastrukturaufwand. 
• Unterstützung hybrider Signaturalgorithmen (traditionell und PQC): Wir ermöglichen die Verwendung sowohl traditioneller kryptografischer Algorithmen wie RSA & ECC (ECDSA) als auch Post-Quantenkryptographie (PQC) Algorithmen wie ML-KEM, ML-DSA, BMSund mehr in hybriden Signatur-Workflows. Dies gewährleistet die langfristige Widerstandsfähigkeit digitaler Signaturen gegenüber neuartigen Quantenbedrohungen. 

Ein Hersteller von IoT-Geräten stand vor Herausforderungen bei der Einhaltung der CRA-Vorschriften, insbesondere bei der sicheren Verwaltung von Codesignaturschlüsseln und dem Nachweis der Rückverfolgbarkeit jeder einzelnen Version. Wir haben diese Probleme durch die Integration gelöst. HSMs Um die Sicherheitsvorkehrungen in ihrer Umgebung zu gewährleisten, wurde eine Multi-Faktor-Authentifizierung für den Zugriff aktiviert und die Codesignierung in ihrer CI/CD-Pipeline automatisiert. Zudem wurde eine manipulationssichere Protokollierung eingerichtet, um die strengen Anforderungen von CRA an Rückverfolgbarkeit und Dokumentation zu erfüllen. Gleichzeitig gewährleisten robuste Verfahren zum Widerruf von Schlüsseln, dass kompromittierte Schlüssel schnell ungültig gemacht werden können – ein entscheidender Faktor für die Behebung von Schwachstellen und die Reaktion auf Sicherheitsvorfälle bei CRA. 

Fazit

Die Cybersecurity Regulation Act (CRA) setzt neue Sicherheitsstandards und verpflichtet Hersteller, Cybersicherheit als kontinuierliche Verantwortung über den gesamten Produktlebenszyklus hinweg zu betrachten. Durch sicheres Design, proaktives Schwachstellenmanagement und transparente Berichterstattung können Unternehmen ihre Nutzer schützen und gleichzeitig den Zugang zum EU-Markt sichern.

Referenz - http://cyberresilienceact.eu/the-cyber-resilience-act-annex-eu/