Wenn Sie in der Europäischen Union (EU) industrielle Betriebe führen—oder die Technologie entwickeln, auf die diese angewiesen sind—, dann wird Cybersicherheit zur Grundlage für die Entwicklung und den Einsatz vernetzter Produkte.
Um verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festzulegen, entwickelte die EU im Jahr 2024 den Cyber Resilience Act (CRA); wichtige Meilensteine für die Einhaltung dieser Anforderungen stehen in den Jahren 2026 und 2027 an.
CRA definiert neu, was für Betreiber und Anlagenbesitzer akzeptabel ist, um ihre vernetzten Betriebsabläufe zu modernisieren und zu erweitern .
Wie sich die Verpflichtungen des CRA auf den Produktkauf und die Markteinführung auswirken
Die Einhaltung der CRA-Vorschriften obliegt in erster Linie den Herstellern, die Produkte mit digitalen Elementen auf dem EU-Markt zum Verkauf anbieten. Sie sind dafür verantwortlich, die von der CRA aufgestellten Anforderungen zu erfüllen, unabhängig davon, wo sie ihren Hauptsitz haben.’’
Die Auswirkungen im Alltag werden jedoch die Betreiber und Anlagenbesitzer treffen; sie werden damit beauftragt sein, sicherzustellen, dass die von ihnen gekauften Produkte CRA-konform sind. ’ Dies wird die Art und Weise verändern, wie Beschaffungsanforderungen festgelegt, Lebenszykluserwartungen geplant und Gespräche mit Anbietern über Schwachstellen und Aktualisierungen geführt werden.
Zum Beispiel wird die CRA es erleichtern, von den Herstellern klare Antworten zu folgenden Fragen zu erhalten:
- Reaktion auf kritische Schwachstellen
- Verfügbarkeit von Sicherheitsupdates
- Wie Produkte durch Design sicherer gestaltet werden
Diese Anforderungen gelten auch für OEMs und Maschinenbauer, deren Geräte auf dem EU-Markt vertrieben werden.
Wie sich die Einhaltung der CRA-Vorschriften in die Cybersicherheitslandschaft der EU einfügt
Die Teams für industrielle Sicherheit und Betriebsabläufe sind bereits mit Vorschriften wie NIS2, CER und branchenspezifischen Richtlinien vertraut. Betrachten Sie CRA als Ergänzung zu diesen Anforderungen, die die Sicherheitsstandards für die Produkte erhöht, die den reibungslosen Ablauf der Industrieabläufe gewährleisten. Es standardisiert die Art und Weise, wie diese Produkte entworfen, dokumentiert, bewertet und gewartet werden.
CRA ist bewusst weit gefasst und soll für Produkte gelten, die Software oder digitale Logik in irgendeiner Form beinhalten. In industriellen Umgebungen umfasst dies häufig Folgendes:
- Firewalls und Systeme zur Erkennung und Verhinderung von Eindringlingen
- Router, Modems und Switches
- Netzwerkmanagementsysteme
- Betriebssysteme
CRA-fähige Produkte sind auch Teil des CE-Kennzeichnungssystems. Das Symbol signalisiert, dass ein Produkt die Anforderungen an Sicherheit und elektromagnetische Verträglichkeit (EMV) sowie die Cybersicherheitserwartungen der CRA erfüllt. Es handelt sich um die Kennzeichnung, nach der die nationalen Marktüberwachungsbehörden in jedem EU-Mitgliedstaat suchen, wenn sie die Einhaltung der CRA-Vorschriften untersuchen und durchsetzen.’
Produkte sind von Grund auf sicher: Hier erfahren Sie, was das bedeutet.’
CRA verlangt, dass Produkte mit sicheren Konfigurationen ausgeliefert werden, die gängige Angriffswege reduzieren und unsichere Bereitstellung verhindern. Es macht grundlegende Sicherheitskontrollen zur Selbstverständlichkeit statt zu Premium-Funktionen. Das bedeutet weniger riskante Standardeinstellungen, weniger Konfigurationsaufwand und insgesamt ein höheres Schutzniveau.
Dies wird die Erwartungen von Eigentümern und Betreibern an die Hersteller hinsichtlich Produktdesign, Schwachstellenmanagement und Lebenszyklusunterstützung verändern und sich auf die sichere und nachhaltige Verwaltung vernetzter Systeme auswirken.
Vorhersehbarer Umgang mit Sicherheitslücken seitens der Hersteller
CRA legt die Verantwortung auf den Hersteller, Schwachstellen im gesamten Produktlebenszyklus zu identifizieren und zu beheben—und anschließend über die Auswirkungen und die Behebung zu kommunizieren. Für die Teams für industrielle Sicherheit und Betriebsabläufe sollte dies das Rätselraten bei Zwischenfällen reduzieren. Folgenabschätzungen, Hinweise zur Risikominderung und die Verfügbarkeit von Patches werden einem einheitlichen Prozess folgen.
Klare Kommunikation über Produktsupportzeiträume
Die Hersteller müssen den Eigentümern und Betreibern erklären, was “Support” bedeutet, wie lange Sicherheitsupdates für die gekauften Produkte bereitgestellt werden und wie diese Updates angewendet werden. Dies erfordert eine klare Produktlebenszyklusplanung, um bessere Entscheidungen zum Supportende treffen zu können, insbesondere in Industriemärkten, in denen die Geräte über Jahre oder Jahrzehnte eingesetzt werden.
Bessere Dokumentation zur Unterstützung einer sicheren Bereitstellung und eines sicheren Betriebs
Die Dokumentation ist Teil der CRA-Compliance. Die Hersteller sollten interne technische Dokumentationen führen, die Eigentümern und Betreibern aufzeigen, wie die Sicherheitsanforderungen erfüllt werden. Diese Dateien sollten Eigentümern und Betreibern auch Hinweise geben, wie eine sichere Installation und ein langfristiger Betrieb unterstützt werden können.
Belden stellt CRA-fähige Produkte her
CRA wird die Erwartungen an industrielle Netzwerk- und Automatisierungsanlagen neu gestalten. Cybersicherheit wird zu einem unverzichtbaren Merkmal von Produkten mit digitalen Elementen werden. Die
Als Hersteller, der für seine Priorisierung von Sicherheit bei der Produktentwicklung bekannt ist, liefert Belden sichere industrielle Netzwerkprodukte und langfristigen Support über den gesamten Lebenszyklus hinweg, sodass diese vertrauensvoll in Ihre Sicherheitsprogramme integriert werden können.
Durch die Kombination von IEC 62443-4-1-basierter sicherer Entwicklung, globaler Prozessharmonisierung und einer langfristigen Wartungsorientierung möchte Belden Sie bei der Bewältigung der CRA-Anforderungen unterstützen.
Eine detailliertere Erläuterung der Verpflichtungen gemäß dem CRA sowie Ratschläge zur Umsetzung der Anforderungen in einen konkreten Plan finden Sie in unserem Leitfaden: „Navigating the Cyber Resilience Act: What manufacturers, operators and asset owners need to know“.
Laden Sie unser Whitepaper herunter