EU-Verordnung zu Cyber Resilienz mit hohen Strafen

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Mit dem Cyber Resilience Act (CRA) der EU-Kommission soll der digitale Flickenteppich rund um Geräte und Anlagen mit Netzwerkanschluss geschlossen werden. Besonderen Schutz erfordern dabei industrielle Netzwerke und kritische Infrastrukturen. Die EU-Verordnung zu Cyber-Resilienz kann Millionenstrafen für Hersteller, Distributoren und Importeure bedeuten.

Laut der Europäischen Union gibt es aktuell alle elf Sekunden einen Ransomware-Angriff; allein in den letzten Wochen traf es unter anderem einen führenden Hersteller von Kindernahrung und einen globalen Tier1-Automobilzulieferer mit Hauptsitz in Deutschland, wobei letzterer Opfer eines massiven Ransomware-Angriffs wurde. Ein solcher Angriff führte beim Hersteller Prophete im Januar 2023 sogar zur Insolvenz.

Anzeige

Bewusste Sicherheitslücken werden bestraft

Um Hersteller, Distributoren und Importeure in die Pflicht zu nehmen, drohen empfindliche Strafen, wenn Sicherheitslücken bei Geräten auffallen und nicht korrekt gemeldet und geschlossen werden. „Der Druck auf die Industrie – Hersteller, Distributoren und Importeure – wächst immens. Die EU wird diese Verordnung kompromisslos umsetzen, auch wenn noch einige Arbeitsschritte zu erledigen sind, etwa bei den lokalen Landesbehörden“, sagt Jan Wendenburg, Geschäftsführer des Cybersecurity Unternehmens ONEKEY.

Bußgelder: 15 Mill. Euro oder 2,5 Prozent des Jahresumsatzes

Die Strafzahlungen für betroffene Hersteller und Distributoren sind daher hoch: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes im abgelaufenen Geschäftsjahr – die größere Zahl zählt. „Damit ist unmissverständlich klar: Bei Nichtumsetzung der Vorgaben drohen den Herstellern empfindliche Strafen“, so Wendenburg weiter.


Hersteller, Distributoren und Importeure sind verpflichtet, ENISA – die Agentur der Europäischen Union für Cybersicherheit – innerhalb von 24 Stunden zu benachrichtigen, wenn eine Sicherheitslücke in einem ihrer Produkte ausgenutzt wird. Schon die Überschreitung der Meldefristen wird sanktioniert.

Hersteller müssen auf Cyber-Resilience Act reagieren

Der Vorschlag der Kommission sieht eine Geltung der neuen Vorgaben bereits 24 Monate nach Inkrafttreten der Verordnung vor. Einzelne Elemente wie bspw. die Meldepflicht bei Sicherheitsvorfällen sollen bereits nach 12 Monaten gelten. „Der Zeithorizont ist knapp, wenn man bedenkt, dass Bestellungen für IT-Produkte bei OEM-Herstellern bereits dieses Jahr für die kommenden 12-18 Monate getätigt werden. Daher muss die zeitliche Situation schon jetzt bedacht und gelöst werden, bevor am Ende ein Produkt aufgrund von Mängeln nicht auf den Markt gebracht werden kann oder sich die Markteinführung verzögert“, erklärt Jan Wendenburg von ONEKEY.

Das Unternehmen betreibt eine Firmware-Analyse-Plattform zum Auffinden von Sicherheitslücken in smarten und vernetzten Geräten – von Staubsaugerrobotern bis zu Industriesteuerungen mit Millionenwert. Mit einem Cyber Resilience Readiness-Assessment bietet ONEKEY die Möglichkeit, dass Hersteller, Distributoren und Importeure bereits jetzt ihre Produkte auf essentielle Anforderungen des Cyber Resilience Acts prüfen und darüber hinaus Sicherheitslücken untersuchen und auch den von der EU-Kommission geforderten SBOM (Software Bill of Materials) mit Inhalten füllen können.

Mehr bei ONEKEY.com

 


Über ONEKEY

ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.


 

Passende Artikel zum Thema

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen

Vulnerability Management erstellt Cyber Insurance Report

Nutzer eines Tenable Vulnerability Management-Konto können ab sofort einen Cyber Insurance Report für ihren Cyberversicherungsanbieter erstellen. Das erleichtert die Versicherbarkeit hilft ➡ Weiterlesen