EU CYBERRESILIENZ VERORDNUNG FÜR IOT PRODUKTE

Die Cyberresilienzverordnung, eine von der Europäischen Kommission vorgeschlagene Verordnung, wird die Cybersicherheitslandschaft für IoT-Geräte im europäischen Markt revolutionieren. Laden Sie eine Zusammenfassung der CRV herunter und erfahren Sie, wie Sie eine CRV-konforme IoT-Cybersicherheitsarchitektur aufbauen können.

cra_arrows-1

 

Laden Sie die vollständige CRV-Zusammenfassung herunter.

CYBERRESILIENZ VERORDNUNG IM ÜBERBLICK

Die CRV betrifft alle Produkte mit digitalen Elementen innerhalb der Europäischen Union, wie IoT-Geräte, Smart-Home-Anwendungen und mehr.

Im Falle der Nichteinhaltung werden Bußgelder von bis zu 15 Mio. € oder 2,5 % des weltweiten Umsatzes, Produktrückrufe und die Verweigerung der CE-Zertifizierung verhängt.

Betroffene Produkte mit digitalen Elementen werden je nach dem damit verbundenen Cyber-Sicherheitsrisiken in 4 verschiedene Kategorien eingeteilt.

CYBERRESILIENZ VERORDNUNG ZEITACHSE

cra-timeline-version2

WELCHE PRODUKTE SIND VON DER CRV BETROFFEN?

Der Cyber Resilience Act gilt für Produkte mit digitalen Elementen, also für IoT-Produkte. IoT-Produkte werden durch die Cyber Resilienz Verordnung je nach Verwendungszweck und Art des Produkts in 4 Kategorien eingeteilt. 

Die „Standardkategorie“ wird in der Verordnung nicht ausdrücklich erwähnt, betrifft aber alle Produkte mit digitalen Elementen, die nicht als wichtig oder kritisch eingestuft sind. 90 % aller IoT-Produkte werden in die „Standardkategorie“ eingestuft werden. Produkte mit digitalen Elementen, die ein höheres Cybersicherheitsrisiko darstellen, werden entweder als „wichtige Produkte Klasse 1“ oder „wichtige Produkte Klasse 2“ eingestuft. Produkte mit der höchsten Kritikalität fallen in die Kategorie „Kritische Produkte“.

cra_products_de-2

WIE ERFÜLLT MAN DIE ANFORDERUNGEN DER CYBERRESILIENZ-VERORDNUNG?

Führen Sie eine Cybersicherheits-Risikoanalyse durch

Der Weg zur Einhaltung des Cyber Resilience Act (CRA) beginnt mit einer detaillierten Cybersicherheits-Risikoanalyse Ihrer IoT-Produkte. Diese Analyse verschafft den Herstellern von IoT-Produkten einen umfassenden Überblick über den Stand der Cybersicherheitsrisiken für ihre Produkte. Mindestens sollte die Risikoanalyse eine Bewertung der Cybersicherheitsrisiken umfassen, die sich aus dem vorgesehenen Verwendungszweck und einer vernünftigerweise vorhersehbaren Nutzung ergeben, ebenso wie die Nutzungsbedingungen des Produkts mit digitalen Elementen, wie z. B. die Betriebsumgebung oder die zu schützenden Werte. Dabei ist die voraussichtliche Lebensdauer des Produkts zu berücksichtigen.

Bereitstellung der Produkt Dokumentation

Hersteller von IoT-Produkten müssen die folgenden verpflichtenden Dokumentationsanforderungen erfüllen und diese den Kunden zur Verfügung stellen. Alle Dokumentationen müssen ab Markteinführung des Produkts für 10 Jahre oder für die Dauer des Supportzeitraums, je nachdem welcher Zeitraum länger ist, aufbewahrt werden:

1. Technical Product Documentation 2. EU Declaration of Conformity 3. User Information & Instructions

 

steps-Oct-28-2024-04-15-31-3469-PM

Einhaltung von 13 wesentlichen Cybersicherheitsanforderungen

Die wesentlichen Cybersicherheitsanforderungen beziehen sich auf verschiedene Eigenschaften, die Produkte mit digitalen Elementen entsprechend dem in der Cybersicherheits-Risikoanalyse ermittelten Risikoniveau erfüllen müssen. Die wesentlichen Cybersicherheitsanforderungen umfassen die folgenden Themen: 

1.    Integrity Protection 7.    Data Minimization
2.    Vulnerability Mitigation 8.    Availability Protection
3.    Security by Default 9.    Minimize Negative Impact
4.    Vulnerability Remediation 10.    Attack Surface Reduction
5.    Unauthorized Access Protection 11.    Incident Impact Reduction
6.    Confidentiality Protection 12.    Security Information Provision
  13.    Secure Data Removal

 

Einhaltung von 8 Anforderungen für den Umgang mit und die Meldung von Schwachstellen

Hersteller müssen alle identifizierten Risiken, Schwachstellen und Vorfälle im Zusammenhang mit ihren IoT-Produkten bearbeiten und melden. Die Meldepflichten zielen darauf ab, Cybersicherheitsmaßnahmen zu verbessern und koordinierte Reaktionen auf Schwachstellen und Vorfälle zu ermöglichen.
1. Identify Vulnerabilities & Components 5. Disclose Vulnerabilities
2. Remediate Vulnerabilities 6. Share Insights on Potential Vulnerabilities
3. Apply Effective and Regular Tests 7. Securely Distribute Updates for Products
4. Publicly Disclose Information about Fixed Vulnerabilities 8. Disseminate Security Patches or Updates for Free

 

WIE BAUT MAN EINE CRV-KONFORME IOT-SICHERHEITSARCHITEKTUR AUF?

Der Aufbau einer IoT-Cybersicherheitsarchitektur, die den Anforderungen des Cyber Resilience Act (CRA) entspricht, erfordert von den Organisationen, dass sie Sicherheit über den gesamten Lebenszyklus eines IoT-Produkts hinweg berücksichtigen. Dies beinhaltet die Umsetzung von Sicherheitsprinzipien im Design, um sicherzustellen, dass IoT-Geräte während ihres gesamten Lebenszyklus sicher sind.

Beginnen Sie mit der Implementierung umfassender Datenschutztechnologien wie Verschlüsselung und Integritätsprüfungen, um sowohl Daten at-rest und in-transit zu schützen. Aktivieren Sie sichere Over-the-Air (OTA)-Updates und implementieren Sie ein sicheres Management für den Lebenszyklus von Zertifikaten, um Geräte zu authentifizieren und eine sichere Kommunikation herzustellen.

Darüber hinaus ist das Zugangsmanagement von entscheidender Bedeutung: Verwenden Sie Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrolle und sicheres Identitätsmanagement, um den Zugriff auf Geräte zu beschränken.

Zusätzlich sollten regelmäßige Sicherheitstests, Vulnerability Management und Mechanismen für Incident Response integriert werden, um die Resilienz gegenüber sich entwickelnden Bedrohungen aufrechtzuerhalten und gleichzeitig die Anforderungen des CRA zu erfüllen.

blog-thumbnail-2
An Introductory Guide to the Cyber Resilience Act
cra-teaser1-1-1
The EU Cyber Resilience Act Explained for IoT
iotsecurity-1
 Why Cybersecurity Is a Top Priority for IoT

FAQ

Was ist die Cyberresilienz-Verordnung?

Die Cyberresilienz-Verordnung ist eine Verordnung der Europäischen Union, die alle Produkte mit digitalen Elementen betrifft und spezifische Cybersicherheitsanforderungen einführt.

Wann tritt die CRV in Kraft?

Der Zeitplan nach der Pressemitteilung des Rates der EU vom 10. Oktober 2024 ist wie folgt: Bis August 2026 werden alle Meldeanforderungen in Kraft treten. Bis Dezember 2027 wird der vollständige CRA in Kraft sein.

Gibt es Ausnahmen für die CRV?

Produkte mit digitalen Elementen, die bereits von einer der folgenden Verordnungen abgedeckt sind, sind von den Bestimmungen des CRA ausgenommen:

  • Professionelle medizinische Geräte, die von den Verordnungen (EU) 2017/745 und (EU) 2017/746 geregelt werden;  
  • Kraftfahrzeuge und deren Anhänger sowie deren Systeme, Komponenten und separate technische Einheiten, die durch die Verordnung (EU) 2019/2144 abgedeckt sind;  
  • Systeme der zivilen Luftfahrt und marine Ausrüstungen, die jeweils durch die Verordnungen (EU) 2018/1139 und 2014/90/EU geregelt sind;
  • Digitale Elemente, die ausschließlich für militärische oder nationale Verteidigungszwecke entwickelt oder modifiziert wurden.

 

Was sind die Konsequenzen bei Nichteinhaltung?

Die Konsequenzen der Nichteinhaltung der CRV sind Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Umsatzes, Produktrückrufe oder die Verweigerung der CE-Zertifizierung.

INHALT

  • Erhalten Sie einen umfassenden Überblick über die Anforderungen des CRA.

  • Finden Sie heraus, wie Ihre IoT-Produkte kategorisiert sind.

  • Erfahren Sie, wie Sie eine CRA-konforme IoT-Sicherheitsarchitektur aufbauen.

  • Erhalten Sie unsere fachkundige Unterstützung beim Aufbau einer CRA-konformen Sicherheitsarchitektur

Download CRV-Zusammenfassung

Copyright © Tributech Solutions GmbH 2024. All Rights Reserved. | Privacy Policy