Schubert System Elektronik liefert industrielle Computertechnik „Made in Germany“ und unterstützt Kunden bei der Umsetzung und Einhaltung der CRA-Anforderungen. (Quelle: Schubert System Elektronik)
Für die Umsetzung des Cyber Resilience Act (CRA) sind drei Phasen vorgesehen: Am 10. Dezember 2024 ist die Verordnung in Kraft getreten. Aktuell läuft die Übergangsphase. Ab dem 11. Juni 2026 greifen Regelungen rund um die Notifizierung von Konformitätsbewertungsstellen. Ab dem 11. September 2026 gelten Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle (in der Regel innerhalb von 24 h nach Kenntniserlangung). Ab dem 11. Dezember 2027 wird die Einhaltung des CRA dann verbindlich.
Prinzipiell stellt der CRA verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen auf. Doch was bedeutet das Gesetz für Hersteller und Betreiber im Detail, und wo wird es jetzt konkret? „Diese Frage lässt sich momentan noch nicht so einfach beantworten. Denn die konkrete Umsetzung der Pflichten und Anforderungen, die aus dem CRA hervorgehen, ist an vielen Stellen noch nicht final definiert“, steigt A. Matt ins Gespräch ein. Vieles werde sich erst mit der Anwendung in der Praxis zeigen. „Die Pflichten, die sich durch den CRA für Unternehmen ergeben, hängen stark vom Produkt und natürlich auch vom Einsatzfeld ab“, erklärt er.
Verbindlich wird es jedoch bereits ab September 2026 im Bereich der Meldungen sicherheitsrelevanter Vorfälle. „Was auch schon klar ist: Es gibt eine gewisse ‚Abdeckfähigkeit‘. Das heißt, Unternehmen müssen dem Anwender mitteilen, wie lange ein Produkt mit Updates und Security-Fixes versorgt wird“, sagt A. Matt. Dieser Unterstützungszeitraum lasse sich zwar grundsätzlich festlegen, „aber erst in der Umsetzung wird sich zeigen, welche Zeiträume sich durchsetzen und was in der Praxis sinnvoll ist“. Mit den Support-Zeiträumen gehen Transparenzpflichten einher. „Hersteller müssen in ihrer Dokumentation nachvollziehbar kommunizieren, wie lange sie Support leisten und welche Softwarebausteine im Produkt stecken“, informiert der Securityexperte.
Ohne SBOM kein Schwachstellenmanagement
An dieser Stelle bringt A. Matt einen Begriff ins Spiel, der im industriellen Security-Alltag gerade stark an Bedeutung gewinnt: die Software Bill of Materials (SBOM). „Eine SBOM ist im Grunde der Beipackzettel meiner Software: Sie macht transparent, welche Softwarekomponenten inklusive Versionen und Abhängigkeiten in einem System stecken. Damit schafft sie Grundlage für ein wirksames Schwachstellenmanagement. Denn ohne diese Transparenz lässt sich im Ernstfall kaum belastbar beantworten, ob eine neu bekannt gewordene Lücke das eigene Produkt überhaupt betrifft, und wenn ja, wo genau“, verdeutlicht er.
Dafür wird die SBOM mit externen Vulnerability-Quellen abgeglichen, insbesondere mit der internationalen CVE-Datenbank (Common Vulnerabilities and Exposures). Wird dort eine neue Schwachstelle veröffentlicht, müssen Hersteller prüfen, ob eingesetzte Komponenten betroffen sind, die Relevanz bewerten und gegebenenfalls Maßnahmen einleiten. „In der Praxis bedeutet das für Hersteller, dass sie von ihren Lieferanten Meldungen erhalten, die sie bewerten und priorisieren müssen. Außerdem gehören Penetrationstests dazu, um das eigene System zu prüfen. Sinnvoll wären einheitliche, maschinenlesbare SBOM-Formate, wie CycloneDX oder SPDX, damit Betreiber die relevanten Informationen niederschwellig nutzen können“, berichtet A. Matt weiter.
Auch die Konformitätsbewertung sei ein wichtiger Punkt, der zukünftig stark mit der Cybersecurity verknüpft sei. „Das heißt, wenn ich nicht nachweisen kann, dass ich Risiken bewertet und dass ich meine technische Dokumentation securitytauglich aufbereitet habe, dann bekomme ich keine CE-Kennzeichnung mehr“, nennt A. Matt als Konsequenz. Grundsätzlich gebe es momentan jedoch noch keine harmonisierten Normen. Hilfreich für Unternehmen sei allerdings, auf etablierte Managementsysteme aufzusetzen, zum Beispiel ISO 9001 oder ISO 27001. „Und kennen Unternehmen zudem ihre Assets, also die schützenswerten Güter innerhalb ihrer Organisation bzw. ihres Produkts, dann ist es leichter, das Thema Security effizient anzugehen“, macht er Mut.