Konformitätscheck durch offizielle Prüfstellen
Georg Graupner ist Managing Consultant & Teamlead Information-Security bei NTT DATA DACH.(Quelle: NTT DATA)
Hersteller, die die Anforderungen nicht erfüllen, riskieren neben den hohen Geldbußen auch erhebliche Wettbewerbsnachteile – bis hin zu Verkaufsverboten. Doch die Umsetzung der Anforderungen kann herausfordernd sein, schließlich gilt es nicht nur, technische Sicherheitsmaßnahmen zu implementieren, sondern auch viele Prozesse anzupassen, von der Produktentwicklung bis zur Produktpflege. Externe Spezialisten für Cybersecurity können dabei helfen, indem sie unter anderem bei der Identifizierung und Bewertung von Risiken unterstützen, technische Sicherheitsüberprüfungen (Penetrationstests) durchführen, bestehende Prozesse sowie Sicherheitsvorkehrungen analysieren und Verbesserungsmaßnahmen empfehlen – und letztlich auch deren Umsetzung begleiten.
Für ihre Produkte müssen Hersteller eine detaillierte technische Dokumentation erstellen, die Informationen über Sicherheitsrisiken, Sicherheitsmaßnahmen, die Verfahren zum Umgang mit Schwachstellen und die Tests enthält, die durchgeführt wurden, um die Konformität eines Produkts mit dem CRA zu überprüfen. Bei Produkten, die nur ein geringes Sicherheitsrisiko darstellen, dürfen Hersteller die Konformitätsprüfung selbst durchführen. In diese Kategorie fallen unter anderem Smartphones und Notebooks, digitale Spiele und einfache IoT-Geräte. Für „wichtige Produkte“ und „kritische Produkte“ gelten höhere Anforderungen, da sie sicherheitsrelevante Aufgaben übernehmen, andere Produkte beeinträchtigen oder Menschen gefährden können. Wichtige Produkte der Klasse I – etwa Betriebssysteme, Router, verschiedene Wearables und Smart-Home-Geräte wie Sicherheitskameras und smarte Türschlösser – müssen einem „strengen Konformitätsbewertungsverfahren“ unterzogen werden, entweder durch den Hersteller oder eine notifizierte Stelle. Bei wichtigen Produkten der Klasse II – unter anderem Hypervisoren, Firewalls und manipulationssichere Controller und Prozessoren – ist eine externe Prüfung verpflichtend. Für kritische Produkte wie Chipkarten und Smart-Meter-Gateways ist hingegen eine Zertifizierung nach einem europäischen Zertifizierungssystem vorgeschrieben.
Mit der Umsetzung der Anforderungen des Cyber Resilience Acts stellen Unternehmen nicht nur sicher, dass ihre Produkte weiterhin in der EU verkauft werden können und Bußgelder vermieden werden. Sie schaffen auch die Basis für eine interne Cybersecurity-Kultur und stärken ihre Resilienz, was langfristig Kundenvertrauen und Wettbewerbsvorteile sichert.