Zum Inhalt wechseln 
Einführung und Zielsetzung der Cyberresilienz-Verordnung
Die Europäische Union hat die Cyberresilienz-Verordnung (Verordnung (EU) 2024/2847) verabschiedet, um ein hohes Maß an Cybersicherheit für Produkte mit digitalen Elementen sicherzustellen. Diese Verordnung zielt darauf ab, Schwachstellen in solchen Produkten zu minimieren und die Bereitstellung von Sicherheitsupdates zu verbessern.Hersteller sind künftig verpflichtet, sicherzustellen, dass ihre Produkte den neuen Sicherheitsstandards entsprechen. alro-recht.deWikipedia
Geltungsbereich der Verordnung
Die Verordnung gilt für Produkte mit digitalen Elementen, die direkt oder indirekt mit einem Netzwerk verbunden sind.Dazu zählen Hardware und Software, einschließlich Cloud-basierter Lösungen, sofern sie als „Fernverarbeitungslösungen“ gelten. Freie und Open-Source-Software ist ebenfalls betroffen, wenn sie in kommerziellen Produkten eingesetzt wird. Ausnahmen bestehen unter anderem für Medizinprodukte, Fahrzeuge und Produkte der Luft- und Raumfahrt. Wikipedia
Anforderungen an Hersteller
Hersteller müssen sicherstellen, dass ihre Produkte ohne bekannte Sicherheitslücken auf den Markt gebracht werden und mit sicheren Standardkonfigurationen ausgeliefert werden. Zudem müssen Produkte die Möglichkeit bieten, Sicherheitslücken durch Updates, idealerweise automatisch, zu beheben. Es sind Mechanismen zur Authentifizierung und zum Schutz vor unberechtigtem Zugriff bereitzustellen. Darüber hinaus müssen Hersteller Schwachstellen identifizieren und dokumentieren, Sicherheitsupdates unverzüglich und kostenlos bereitstellen und ein Konzept für die koordinierte Offenlegung von Schwachstellen erstellen und umsetzen. Wikipedia
Konformitätsbewertungsverfahren
Je nach Kritikalität und Risikopotenzial des Produkts müssen Hersteller entsprechende Konformitätsbewertungsverfahren umsetzen: Wikipedia
- Interne Kontrolle: Eigenständige Prüfung durch den Hersteller für unkritische Produkte. Wikipedia
- EU-Baumusterprüfung: Prüfung des Produktdesigns durch benannte Stellen, wobei die Fertigungskontrolle beim Hersteller verbleibt, für wichtige Produkte der Klasse I. Wikipedia
- Umfassende Qualitätssicherung: Bewertung von Design und Prozessen durch benannte Stellen für Produkte der Klasse II und kritische Produkte. Wikipedia
- Cybersicherheits-Zertifizierung: Für kritische Produkte mit einem Mindestniveau „erheblich“ nach dem Rechtsakt zur Cybersicherheit. Wikipedia+1Wikipedia+1
Auswirkungen auf Verbraucher und Unternehmen
Durch die Einführung der Cyberresilienz-Verordnung wird ein EU-weit einheitlicher Rahmen für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen etabliert. Dies erhöht das Vertrauen der Verbraucher in digitale Produkte und erleichtert Unternehmen die Einhaltung von Sicherheitsstandards. Zudem können Verbraucher durch transparente Informationen fundierte Kaufentscheidungen treffen. Wikipedia
Umsetzung und Übergangsfristen
Die Verordnung tritt am 10. Dezember 2024 in Kraft und gilt ab dem 11. Dezember 2027. Hersteller haben somit eine Übergangsfrist, um ihre Produkte und Prozesse an die neuen Anforderungen anzupassen. Es ist wichtig, frühzeitig mit der Implementierung der erforderlichen Maßnahmen zu beginnen, um die Konformität sicherzustellen und mögliche Sanktionen zu vermeiden. Wikipedia
Fazit
Die Cyberresilienz-Verordnung stellt einen bedeutenden Schritt zur Erhöhung der Cybersicherheit innerhalb der Europäischen Union dar. Durch die Festlegung horizontaler Cybersicherheitsanforderungen für Produkte mit digitalen Elementen werden sowohl Hersteller als auch Verbraucher besser geschützt. Hersteller sind gefordert, ihre Produkte und Prozesse entsprechend anzupassen, um den neuen Anforderungen gerecht zu werden und die Sicherheit im digitalen Binnenmarkt zu stärken.
Kontaktieren Sie uns für Ihre Sicherheitsstrategie!
Sie möchten Ihre IT-Sicherheit optimieren und sich auf die Anforderungen der NIS-2-Richtlinie vorbereiten? Wir unterstützen Sie bei der Implementierung von ISO 27001, C5 & SOC 2!
- E-Mail: hello@secaas.it
- Telefon: +49 69 5060 75080
- Website: https://security-as-a-service.io
