(Quelle: fotolia.com / bluebay2014)
"Von der Richtlinie für Cybersicherheit sind Schätzungen zufolge Hunderte Millionen, wenn nicht Milliarden digitaler Produkte in der EU betroffen. Sie dürfen nach Ablauf der Übergangsfristen nur noch in Verkehr gebracht werden, wenn die Hersteller ein kontinuierliches Schwachstellenmanagement, dokumentierte Sicherheitsprozesse und ein laufendes Monitoring ihrer Software- und Firmware-Komponenten während des gesamten Produktlebenszyklus nachweisen können", gibt Onekey in einer Meldung an. Dementsprechend basiere „CRA Fast Start“ auf drei Säulen: CRA Readiness Assessment, einem systematischen Vulnerability-Management und kontinuierlichem Monitoring.
Mit diesem Angebot richten sich die Sicherheitsexperten an Unternehmen in unterschiedlichen Ausgangslagen. Für Hersteller, die sich dem Cyber Resilience Act erstmals nähern, dient das Assessment als Orientierungshilfe. Unternehmen, die bereits wissen, in welchem Umfang sie vom CRA betroffen sind und eine rasche Umsetzung benötigen, können direkt mit Vulnerability-Management und kontinuierlichem Monitoring starten. Ergänzend unterstützen ein Compliance Check sowie ein Wizard bei der ersten Überprüfung der CRA-Konformität. "Der Wizard wird kontinuierlich weiterentwickelt und an künftige regulatorische Anforderungen sowie die zu erwartenden harmonisierten Standards angepasst", wird berichtet.
„Mit CRA Fast Start ermöglichen wir Herstellern einen systematischen und kurzfristig umsetzbaren Einstieg in die vom Gesetzgeber geforderte CRA-Compliance“, erklärt Jan Wendenburg, CEO von Onekey, das neue Angebot.
Start mit CRA-Assessment
Über CRA-Readiness-Assessment lässt sich der aktuelle Reifegrad eines Unternehmens in Bezug auf die CRA-Anforderungen analysieren. "Untersucht werden neben Produktanforderungen unter anderem bestehende Prozesse zur Schwachstellenbehandlung, die Dokumentation von Software-Stücklisten (SBOM) und organisatorische Zuständigkeiten. Auf dieser Grundlage lassen sich Compliance-Lücken identifizieren und priorisierte Handlungsschritte definieren", so die Experten. Das Assessment empfiehlt Onekey insbesondere Unternehmen, die noch nicht genau wissen, inwieweit sie vom CRA betroffen sind und was zu tun ist.
"Im weiteren Verlauf – oder auch für Unternehmen, die sich bereits mit den Anforderungen des CRA auseinandergesetzt haben und nun starten wollen – sorgt ein kontinuierliches Vulnerability Management zusammen mit einem fortdauernden Monitoring dafür, dass Schwachstellen aufgedeckt werden und die Softwarelieferketten-Transparenz (mithilfe von SBOM) stets gewährleistet ist", heißt es in der Meldung. Als weitere Vorteile werden die frühzeitige Erkennung neuer Schwachstellen und die nachhaltige Einhaltung der CRA-Anforderungen genannt. Neue Schwachstellen, betroffene Bibliotheken und sicherheitsrelevante Änderungen würden fortlaufend erfasst. "Damit entsteht eine dauerhafte Transparenz über den Sicherheitsstatus digitaler Produkte. Dies unterstützt nicht nur die Einhaltung der CRA-Pflichten, sondern auch interne Governance- und Risikomanagementprozesse", umreißt Onekey die Vorgehensweise und den Umgang des Start-Programms. Eingesetzt wird hier die ONEKEY Product Cybersecurity & Compliance Plattform.
„Unsere Plattform, gepaart mit dem CRA Readiness Assessment, vereint unser Expertenwissen im Consulting-/Beratungsbereich mit der umfangreichen Analysestärke der Onekey-Plattform. Dieses neue Programm adressiert die dringende Notwendigkeit des kurzfristigen Handelns mit dem Einstieg in eine langfristige Strategie zur Erfüllung der notwendigen Compliance“, erklärt J. Wendenburg. Er stellt zugleich klar: „Letztendlich geht es für die Hersteller nicht nur um die zwingend notwendige Erfüllung gesetzlicher Anforderungen, sondern auch darum, die eigene Produktpalette tatsächlich resilient gegen Cyberangriffe zu machen. Schließlich birgt jede Schwachstelle, die ausgenutzt wird, sowohl rechtliche als auch Reputationsgefahren.“
Jetzt handeln
Der CRA verpflichtet Hersteller unter anderem zur systematischen Identifikation, Bewertung und Behebung von Schwachstellen während des gesamten Produktlebenszyklus. "Onekey adressiert diese Vorgabe mit einem kontinuierlichen Vulnerability-Management-Ansatz, der Software- und Firmware-Komponenten automatisiert analysiert und bekannte Sicherheitslücken zuordnet. Damit wird eine belastbare Datenbasis geschaffen, um Risiken nachvollziehbar zu bewerten und regulatorische Nachweispflichten zu erfüllen", heißt es in der Meldung weiter.