Der Cyber Resilience Act (CRA) wurde kürzlich im Amtsblatt der EU veröffentlicht. Die Verordnung enthält Vorgaben an die Cybersicherheit von Produkten mit digitalen Elementen. 36 Monate haben betroffene Unternehmen nun Zeit, die im CRA enthaltenen Anforderungen umzusetzen. Bestimmte Meldepflichten sind bereits in den nächsten 21 Monaten zu erfüllen. Wer genau steht in der Pflicht? Und was wird im CRA gefordert?
Ostfildern , 20.11.2024
Pilz informiert und gibt Tipps zur Umsetzung – Rechtsverbindlich: Wie Unternehmen jetzt den Cyber Resilience Act vorbereiten können
EU-Rechtsakt zur Cyberresilienz: Das Ziel des CRA ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen. Der CRA umfasst dafür eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte mit ein. Betroffen sind also Produkte sowohl aus dem B2C-Bereich, wie etwa Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme. Der CRA wurde heute im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft.
Die wichtigsten Anforderungen für Maschinenhersteller
- Risikobewertung und -gewährleistung: Hersteller müssen Produkte so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Maß an Cybersicherheit gewährleistet ist.
- Schwachstellenmanagement: Bekannte Schwachstellen sollen von dem Hersteller durch kostenlose Sicherheitsaktualisierungen beseitigt werden, sofern zwischen dem Hersteller und dem gewerblichen Nutzer nichts anderes vereinbart wurde.
- Dokumentation: Hersteller müssen Schwachstellen und Komponenten ihrer Produkte identifizieren und dokumentieren.
- Meldepflichten: Innerhalb 24 Stunden nach Bekanntwerden hat der Hersteller eine ausgenutzte Schwachstelle über die Meldeplattform der ENISA (European Union Agency for Cybersecurity) zu melden.
Was Maschinenhersteller jetzt tun können
Als Experte für sichere Automatisierung empfiehlt Pilz allen Maschinenherstellern sich zeitnah mit den Anforderungen des CRA zu befassen und gemeinsam mit den Komponentenherstellern und den Betreibern Konzepte zur Zusammenarbeit zu entwickeln. In welcher Netzwerkzone soll eine Maschine betrieben werden? Wie soll mit Softwareupdates umgegangen werden? Wenn solche Fragen vorab geklärt sind, kann jeder Wirtschaftsakteur seine neuen organisatorischen und technischen Pflichten erfüllen. Pilz unterstützt seit Jahrzehnten Maschinenbauer und Anwender bei der Sicherheit ihrer Maschinen und Anlagen – auch bei den neuen Anforderungen zum Thema Industrial Security. Denn ohne Security ist eine Maschine samt getroffener Safety Maßnahmen angreifbar und ungeschützt. Hier gilt es Vorsorgemaßnahmen zu treffen.
2 Praxistipps zur Umsetzung der CRA-Vorgaben
- Stets auf dem Laufenden: Abonnements von Newslettern und RSS-Feeds auf eur-lex.europa.eu halten über Gesetzesänderungen auf EU-Ebene informiert.
- Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, sogenannten Security Advisories.
![Bereits während der Konzeption, Entwicklung und Herstellung ihrer Produkte müssen Maschinenhersteller grundlegende Vorgaben des CRA erfüllen – und für die erwartete Nutzungsdauer der Produkte gewährleisten. Pilz unterstützt bei der Umsetzung. (Foto: © Westend61/[westend61] via Getty Images, © Pilz GmbH & Co. KG)](/mam/pilz/images/import/05_Company/08_press/01_press_releases/fittosize__752_0_575ebd5aea5d43420ec4f2a27f495c39_f_press_two_businessmen_talking_at_workplace_production_get962630152_3c_1000x562.jpg)
![Bereits während der Konzeption, Entwicklung und Herstellung ihrer Produkte müssen Maschinenhersteller grundlegende Vorgaben des CRA erfüllen – und für die erwartete Nutzungsdauer der Produkte gewährleisten. Pilz unterstützt bei der Umsetzung. (Foto: © Westend61/[westend61] via Getty Images, © Pilz GmbH & Co. KG)](/mam/pilz/images/import/05_Company/08_press/01_press_releases/f_press_two_businessmen_talking_at_workplace_production_get962630152_3c_218x218.jpg "Bereits während der Konzeption, Entwicklung und Herstellung ihrer Produkte müssen Maschinenhersteller grundlegende Vorgaben des CRA erfüllen – und für die erwartete Nutzungsdauer der Produkte gewährleisten. Pilz unterstützt bei der Umsetzung. (Foto: © Westend61/[westend61] via Getty Images, © Pilz GmbH & Co. KG)")
Top
Stammhaus
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Deutschland
Telefon: +49 711 3409-0
E-Mail: info@pilz.de
Unternehmens- und Fachpresse
Telefon: +49 711 3409 - 0
E-Mail: publicrelations@pilz.com
Amerika
- Vereinigte Staaten (gebuehrenfrei): +1 877-PILZUSA (745-9872)
- Mexiko: +52 55 5572 1300
- Brasilien: + 55 11 4942-7032
- Kanada: +1 888-315-PILZ (315-7459)
Europa
- Österreich: +43 1 7986263-444
- Türkei: +90 216 577 55 52
- Russland: +7 495 6654993
- Belgien: +32 9 321 75 70
- Großbritannien: +44 1536 460866
- Frankreich (gebuehrenfrei): +33 3 88104000
- Finnland: +358 10 3224030 / +45 74436332
- Niederlande: +31 347 320477
- Italien: +39 0362 1826711
- Irland: +353 21 4804983
- Portugal: +351 229 407 594
- Dänemark: +45 74436332
- Spanien: +34 938497433
- Schweiz: +41 62 889 79 32
- Deutschland: +49 711 3409 444
- Schweden: +46 300 13990 / +45 74436332
Asien-Pazifik
- Thailand: +66 210 54613
- Japan: +81 45 471 2281
- Singapur: +65 6829 2920
- Neuseeland: +64 9 6345350
- China: +86 400-088-3566
- Australien (gebuehrenfrei): +61 3 9560 0621 / 1300 723 334
- Taiwan: +886 70 1015 0068 (ç¶å°ç¶²è·¯é»è©±)
- Südkorea: +82 31 778 3390