Der Cyber Resilience Act tritt in Kraft

18. Mai 2024
| Keine Kommentare
Der Cyber Resilience Act tritt in Kraft
Anzeige

Beitrag teilen

Im März 2024 hat das Europäische Parlament den Cyber Resilience Act verabschiedet. Die finale Version wird in den nächsten Wochen veröffentlicht und gibt den Startschuss für die Übergangsfrist.

„Unternehmen sollten zeitnah prüfen, inwieweit die Anforderungen des Cyber Resilience Act die eigenen Produkte betreffen und wie schnellstmöglich eine umfassende Konformität sichergestellt werden kann. Dazu sind Anpassungen in den eigenen Produktions- und Entwicklungsprozessen notwendig, die auf Basis der neuesten Iterationen nun besser greifbar sind“, sagt Cybersecurity-Experte Jan Wendenburg, Geschäftsführer von Onekey. Das Düsseldorfer Unternehmen hat eine Lösung zum Patent angemeldet, die Herstellern, Importeuren und Verkäufern von Technologieprodukten mit digitalen Elementen wesentliche Schritte erleichtert: den Compliance Wizard, der eine umfassende Cybersicherheitsbewertung von Produkten ermöglicht. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden Aufwand und Kosten von Cybersicherheits-Compliance-Prozessen deutlich reduziert. Die von der EU angedrohten Sanktionen bei Sicherheitslücken sind empfindlich – und umfassen neben Bußgeldern für Unternehmen auch Geldstrafen für Geschäftsführer. Herstellern, Händlern und Importeuren kann auch die CE-Kennzeichnung entzogen werden: Das bedeutet einen Verkaufsstopp auf dem gesamten EU-Markt.

Anzeige

Cyber Resilience Act Readiness Assessment

Mit dem Cyber Resilience Act wird das Prinzip „Security by Design“ Gesetz: Künftig reicht es nicht mehr aus, die Konformität eines Produkts mit digitalen Elementen erst zum Zeitpunkt des Inverkehrbringens sicherzustellen. Vielmehr ist eine kontinuierliche Risikobewertung erforderlich – und die sofortige Behebung von Sicherheitslücken. Beim Zukauf von Komponenten von Drittanbietern und Open-Source-Komponenten müssen Hersteller eine Due Diligence durchführen, um das Endprodukt durch den Einbau dieser Bestandteile nicht zu gefährden. Bislang fehlten den Unternehmen jedoch viele Informationen über die grundlegenden Anforderungen des Cyber Resilience Act sowie einheitliche Standards. Auch das soll sich nun ändern: „Die EU-Kommission hat bereits horizontale Standards für zentrale Tätigkeiten und Sicherheitsanforderungen sowie vertikale Standards für wichtige und kritische Produkte – insgesamt 42 – angekündigt. Damit – und mit den entsprechenden Tools wie unserem Compliance Wizard – können Unternehmen schneller analysieren, was umgesetzt werden muss, um Compliance mit dem Cyber Resilience Act zu erreichen“, erklärt Jan Wendenburg von Onekey weiter.

Dokumentationspflicht mit Software Bill of Materials

Im Rahmen der Dokumentationspflicht müssen die Hersteller künftig auch die Software Bill of Materials (SBOM) führen und generell die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten analysieren. Automatisierung ist hier der Schlüssel für produktgerechte Prozesse, die sich nicht negativ auf die Handelspreise auswirken. Bei diesem digitalen Dokument handelt es sich um eine Gesamtliste aller in einem Produkt verwendeten Softwarekomponenten – auch der versteckten. „Hersteller, Importeure und Händler sollten wissen, dass diese SBOM immer aktuell sein muss. Jeder Patch oder jedes Update erfordert daher eine idealerweise automatisierte Aktualisierung der SBOM“, rät Jan Wendenburg von Onekey. Mit dem Compliance Wizard wird eine SBOM automatisch erstellt und kann jederzeit ebenso automatisiert gepflegt werden. Zudem ist vielen Unternehmen noch nicht klar, was alles unter den Begriff „Produkte mit digitalen Elementen“ fällt: „Mobile Geräte wie Laptops, Smartwatches, Smart-Home-Devices wie Thermostate oder intelligente Stromzähler und vor allem der immens große und besonders risikobehaftete Bereich der industriellen Steuerungen bis hin zum Kraftfahrzeug fallen darunter: Also alles, was mit einem IT-Netzwerk oder dem Internet verbunden ist“, fasst Jan Wendenburg zusammen.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
Mehr bei Onekey.com

 

Über ONEKEY

ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.

 

Passende Artikel zum Thema

Neues SD-WAN Gateway mit BSI-Sicherheitszertifikat

Das neue SD-WAN Gateway LANCOM 1930EF hat vom BSI das Sicherheitszertifikat gemäß „BSZ“-Zertifizierungsverfahren erhalten. Damit erhalten Unternehmen für ihre Standortvernetzung ➡ Weiterlesen

Software-Supply-Chain-Angriffe in der Industrie

Auch die deutsche Industrie sieht sich zunehmend mit Software-Supply-Chain-Cyberattacken auf smarte Systeme, sogenannte Embedded Systems, konfrontiert. Dies sind Angriffe, die ➡ Weiterlesen

Forschung im Darknet: KI als Fahnder in Foren

In einem gemeinsamen, internationalen Forschungsprojekt identifizierten Sophos, die Université de Montréal und das Unternehmen Flare mit Hilfe künstlicher Intelligenz (KI) ➡ Weiterlesen

Attacken auf KMU: Fake-ChatGPT liefert Malware statt Hilfe

Verstärkt gibt es Angriffe auf KMU: Bereits 8.500 KMU-Mitarbeiter wurden zwischen Januar und April 2025 mit gefälschten Services wie ChatGPT, ➡ Weiterlesen

Unternehmen sehen rasanten KI-Fortschritt als Top-Sicherheitsrisiko

Der Data Threat Report 2025 zeigt, dass 74 Prozent der deutschen Unternehmen den rasanten KI-Fortschritt als Top-Sicherheitsrisiko im Zusammenhang mit ➡ Weiterlesen

Die European Vulnerability Database (EUVD) ist online

Die Europäische Union hat die European Union Vulnerability Database live gestellt. Die zentrale Datenbank führt bekannte Schwachstellen auf, gibt Behebungsempfehlungen ➡ Weiterlesen

Agentic AI: Gefahr durch autonome KI-basierte Cyberangriffe

Agentic AI ist in der Lage, Cyberangriffe eigenständig von Anfang bis Ende durchzuführen. Diese autonomen, selbstlernenden KI-Systeme können Angriffe ohne ➡ Weiterlesen

Auswertung gehackter LockBit-Daten verraten Angriffe, Strukturen und Geldflüsse

Mit den Erkenntnissen aus dem Hackerangriff auf die LockBit-Strukturen und deren Unterlagen, den Datenbanken und dem vorhandenen Wissen der Qualys ➡ Weiterlesen

 

PR-Meldungen
, , , , ,