Bereit für den Cyber Resilience Act?

Das neue europäische Regelwerk aus der Cyber-Security-Initiative wurde Mitte März 2024 vom EU-Parlament verabschiedet und soll mit 2027 in Kraft treten.

Er besagt, dass ab 2027 alle Produkte und Geräte mit digitalen Elementen, nur noch dann in der EU verkauft werden dürfen, wenn regelmäßige Security Updates eingespielt werden können.

Mit dem Cyber Resilience Act beabsichtigt die EU, europäische Unternehmen sowie die Wirtschaft als Ganzes zu einem höheren Sicherheitsstandard zu bewegen. Mit dem Konzept „security by design & security by default“ soll dazu beigetragen werden, dass Sicherheitsaspekte schon in der Produktentwicklung berücksichtigt werden. Die Auswirkungen des Gesetzeswerkes können gravierend sein. So stoppt bspw. Porsche den Verkaufs des Macans in der EU da die Update-Fähigkeit nicht gewährleistet werden kann.

Die Antwort darauf ist vergleichsweise einfach: Wenn Sie im Jahr 2027 oder danach Geräte in der EU in Verkauf bringen wollen, welche über digitale Elemente – also eine Kombination von Hardware und Software - verfügen, dann ja. Inzwischen betrifft das schon fast alle Geräte, die eine gewisse Intelligenz haben.

Ein besonderes Augenmerk wird hier auf sogenannte „Connected Products“ geworfen. Das sind alle Produkte, die über eine Schnittstelle verfügen. Dazu zählen Wi-Fi, LAN, NFC, aber auch alle Industrieschnittstellen wie zum Beispiel Modbus, CAN und RS485.

Der Gesetzgeber wird Sie als Hersteller dazu verpflichten, kurzfristig und in regelmäßigen Abständen (die Details werden noch ausgearbeitet) sicherheitsrelevante Updates in Ihre Geräte einzuspielen – und zwar kostenlos.

Wie Sie das tun, bleibt Ihnen selbst überlassen. Sie können zum Beispiel Service-Techniker zu Ihren Kunden schicken und so Software-Updates einspielen – das ist allerdings sehr kostenintensiv und wird zukünftig bei Ihren Kunden auch auf wenig Verständnis treffen.

Die Komplexität liegt nicht in der technischen Umsetzung der Update-Fähigkeit – das können heutzutage schon viele Geräte. Viel wichtiger ist es, den gesamten Prozess des Software-Lifecycles zu optimieren. Dazu zählen unter anderem folgende wichtige Aspekte:

• Klar definierte Entwicklungsprozesse
• Skalierbare Software-Architektur (Wartbarkeit und Erweiterbarkeit)
• Continuous Integration und Continuous Deployment Pipelines (& DevOps)
• Automatisches CVE-Tracking
• Automatische Tests (Unit-Tests bis System-Tests)
• Over-The-Air Updatefähigkeit von Geräten
• Dokumentation sowie Maßnahmenplan bei Cybersicherheitsvorfällen

Mit dem Cyber Resilience Act wird der Software-Lifecycle zu einem wichtigen Bestandteil in der Produktentwicklung und -wartung. Die manuelle Prüfung von vorhandenen Sicherheitslücken und das Bereitstellen von zyklischen Updates mit hoher Software-Qualität nimmt viel Zeit in Anspruch. Es gibt aber einige Stellschrauben, mit denen viele der oben genannten Aspekte (teil-)automatisiert und optimiert werden können.

Als blue-zone unterstützen wir unsere Kunden in diesen Bereichen sowohl in der Beratung also auch in der Umsetzung bzw. der Entwicklungsunterstützung bei Ihren smarten Produkten. Das gilt sowohl für die Entwicklung neuer Produkte, als auch für die Aktualisierung von bestehenden Produkten, um diese fit für den Cyber Resilience Act zu machen.

Weitere Informationen zum Cyber Resilience Act finden Sie auf der Homepage der EU.