:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Cyber Resilience Act | CRA Was ist der Cyber Resilience Act?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Der Cyber Resilience Act (CRA) ist der Entwurf einer EU-Verordnung zur Stärkung der Cybersicherheit von Produkten mit digitalen Bestandteilen. Er definiert verbindliche Anforderungen an die Cybersicherheit, die für den europäischen Markt von den Herstellern, Importeuren und Händlern solcher Produkte zu erfüllen sind. Die Verordnung ergänzt bestehende rechtliche Vorschriften und soll 2024 formell verabschiedet werden.
Der EU Cyber Resilience Act, abgekürzt mit CRA oder CRA-E, ist ein im September 2022 von der Europäischen Kommission veröffentlichter Entwurf einer Verordnung zur Stärkung der Cybersicherheit von Produkten mit digitalen Bestandteilen. Ins Deutsche übersetzt bedeutet CRA "EU-Gesetz für die Cyberwiderstandsfähigkeit". Die Verordnung enthält verbindliche Vorgaben für Hard- und Softwareprodukte mit digitalen Komponenten. Diese Produkte lassen sich untereinander oder mit dem Internet verbinden. Die Anforderungen beziehen sich auf den kompletten Lebenszyklus der Produkte. Hersteller, Importeure und Händler solcher Produkte müssen die Anforderungen erfüllen, um sie innerhalb der Europäischen Union anbieten und verkaufen zu dürfen und Kunden den Einsatz zu ermöglichen.
Ziel ist es, sowohl Verbraucher als auch Unternehmen durch die Einführung verbindlicher Cybersicherheitsanforderungen besser zu schützen. Der Cyber Resilience Act ist Teil der EU-Cybersicherheitsstrategie und ergänzt bereits bestehende Rechtsvorschriften wie die NIS-2-Richtlinie oder den Cybersecurity Act (CSA). Der CRA soll 2024 formell verabschiedet werden. Die Vorgaben sind anschließend mit einer Übergangsfrist umzusetzen. Bei Nichteinhaltung der Anforderungen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten jährlichen Umsatzes. Darüber hinaus kann der Hersteller zu Korrekturmaßnahmen verpflichtet, die Bereitstellung des Produkts auf dem Markt untersagt oder der Produktrückruf angeordnet werden.
Die Ziele des CRA
Wichtigstes Ziel des Cyber Resilience Act ist ein besserer Schutz der Verbraucher und Unternehmen in der EU, die Produkte mit digitalen Komponenten kaufen und nutzen. Insbesondere geht es um mehr Cybersicherheit für die auf dem EU-Markt erhältlichen Produkte, die sich untereinander oder mit dem Internet verbinden können. Diese Produkte sollen weniger Schwachstellen aufweisen und mit klaren Verantwortlichkeiten der Hersteller über den kompletten Lebenszyklus der Produkte versehen sein. Darüber hinaus soll der CRA für mehr Transparenz hinsichtlich der Sicherheit der Hard- und Softwareprodukte beitragen. Der Cyber Resilience Act harmonisiert die Vorschriften für das Inverkehrbringen von Produkten mit digitalen Komponenten in der EU, definiert einen klaren Rahmen von Cybersicherheitsanforderungen und legt die Sorgfaltspflicht der Hersteller über den gesamten Lebenszyklus der Produkte fest.
Wer ist vom CRA betroffen?
Der CRA zielt auf Wirtschaftsakteure, die Produkte mit digitalen Bestandteilen auf dem EU-Markt in Verkehr bringen. Das können natürliche oder juristische Personen von Herstellern, Importeuren oder Händlern solcher Produkte sein. Die Verordnung definiert zudem den Begriff des Produkts mit digitalen Bestandteilen. Gemeint sind damit alle Hard- und Softwareprodukte, die sich untereinander oder mit dem Internet verbinden lassen beziehungsweise über eine Fernzugriffsmöglichkeit verfügen. Die Art oder der Verwendungszweck der Produkte sind nicht eingeschränkt. Beispiele für Produkte, die unter den CRA fallen, sind PC-Spiele, Router, Firewalls, Chipkarten, Festplatten, Passwortmanager, Produkte mit VPN-Funktion, Webbrowser, Antivirenprogramme, Betriebssysteme, Smart Meter und vieles mehr. Der CRA findet keine Anwendung auf Produkte, die bereits unter andere Vorschriften fallen. Das sind zum Beispiel Medizinprodukte, Produkte der Luftfahrt, Kraftfahrzeuge und andere.
Die wichtigsten Inhalte und Anforderungen des Cyber Resilience Act
Abhängig von der Kritikalität eines Produkts und dem Wirtschaftsakteur, ob Hersteller, Importeur oder Händler, sind bestimmte Anforderungen zu erfüllen. Der CRA unterteilt die Produkte mit digitalen Komponenten entsprechend ihrer Funktionalität und Verwendung in verschiedene Kritikalitätsklassen. Neben den unkritischen Produkten gibt es die kritischen Produkte der Klasse 1 und der Klasse 2 (hochkritisch). Je kritischer ein Produkt, desto höher sind die zu erfüllenden Anforderungen.
Hersteller sind durch den Cyber Resilience Act dazu verpflichtet, eine Konformitätsbewertung ihrer Produkte durchzuführen, die die Einhaltung der Cybersicherheitsanforderungen sicherstellt. Diese Konformitätsbewertung kann der Hersteller bei Produkten der Klasse 1 selbst durchführen. Bei Klasse-2-Produkten ist für die Konformitätsbewertung eine unabhängige dritte Partei erforderlich.
Weitere Anforderungen des CRA sind zum Beispiel:
- Bereitstellung klar verständlicher, nachvollziehbarer und lesbarer Gebrauchsanweisungen
- Durchführung einer Risikobewertung zur Cybersicherheit des Produkts über den kompletten Lebenszyklus
- regelmäßig zu aktualisierende technische Dokumentationen über die Sicherstellung der grundlegenden Anforderungen des Cyber Resilience Act
- Anbringen einer CE-Kennzeichnung
- Bereitstellung von Updates für das digitale Produkt (über mindestens fünf Jahren nach dem Inverkehrbringen)
- Rückruf oder Nachbesserung des Produkts bei Nichteinhaltung der Cybersicherheitsanforderungen
- Sicherstellung durch die Importeure und Händler, dass Hersteller den Verpflichtungen des CRA nachgekommen sind
- Angabe des Namen und der Kontaktmöglichkeiten des Importeurs auf dem Produkt
- Sicherstellung durch Händler, dass der Importeur seine Kontaktdaten angegeben hat
- Verpflichtung zur Information über behobene Schwachstellen oder Cybersicherheitsvorfälle
- Meldung von Cybersicherheitsvorfällen und aktiv ausgenutzten Schwachstellen innerhalb von 24 Stunden an die europäische Agentur für Cybersicherheit (ENISA)
Ablauf bis zum Inkrafttreten des Cyber Resilience Act
Der Entwurf des Cyber Resilience Act wurde im September 2022 vorgestellt. Am 30. November 2023 wurde im Trilog der Europäischen Kommission, des Europäische Parlaments und des Rats der Europäischen Union eine Einigung über den CRA erzielt. Die endgültige formelle Verabschiedung ist für Anfang 2024 geplant. Die Vorgaben des CRA treten anschließend für Hersteller, Importeure und Händler mit einer Übergangsfrist von 36 Monaten in Kraft. Für bestimmte Anforderungen, zum Beispiel für die Meldepflichten, bestehen kürzere Übergangsfristen. Für Unternehmen ist seitens der EU-Kommission die Bereitstellung von Leitfäden zur Umsetzung vorgesehen.
(ID:49849524)
:quality(80)/p7i.vogel.de/wcms/43/cb/43cbd645d18188001e2e5aae06174092/0117056698.jpeg "Die Gesetzesvorhaben sollen die von der EU geschätzten Kosten durch Cyber-Kriminalität von 5,5 Bio. Euro pro Jahr reduzieren. (Bild: Lulla - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/72/9a727561736d06f63114314f2c65058c/0118144646.jpeg "Dank CRA können sich sowohl Verbraucher als auch B2B-Anwender zukünftig deutlich stärker auf die langfristige Sicherheit ihrer Produkte verlassen. (Bild: gopixa - stock.adobe.com)")