Der Cyber Resilience Act (CRA)
So können sich Unternehmen auf die neue EU-Verordnung vorbereiten
Seit Oktober 2024 ist die „Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“, der Cyber Resilience Act (CRA), in Kraft. Mit einer Frist von 36 Monaten müssen Händler und Hersteller solcher Produkte die CRA-Anforderungen umgesetzt haben.
Viele Unternehmen versuchen deshalb, sich frühzeitig auf die kommenden Veränderungen einzustellen: Diese betreffen zum Beispiel den Umgang mit Schwachstellen, das Update-Management oder Sicherheitstests von Produkten.
Das Fraunhofer SIT verbindet technische und juristische Kompetenz, unterstützt Produktverantwortliche und Entwicklungsleiter in Unternehmen bei der Vorbereitung und gibt Handlungsempfehlungen zur Umsetzung des CRA. Die Expertinnen und Experten des Fraunhofer SIT bieten rechtliche, organisatorische und technische Unterstützung in den folgenden Bereichen, die sich durch den CRA verändern:
- Schwachstellenmanagement und Coordinated Vulnerability Disclosure
Hersteller müssen einen Meldeprozess für Schwachstellen der eigenen Produkte etablieren. - Software Bill of Materials (SBOM)
Software-Hersteller müssen die eingesetzten Komponenten auflisten und auch diejenige, zu denen Abhängigkeiten bestehen. - Sicherheitstests
Der CRA verpflichtet Hersteller zur Prüfung ihrer Produkte auf Sicherheitsprobleme. Hier gilt es die richtigen Tests durchzuführen, die auch den Einsatzzweck und die damit verbundenen Risiken berücksichtigen. - Sichere Updates
Die Hersteller werden verpflichtet Sicherheitslücken zu schließen, das dazu notwendige Update-Management umfasst technische und organisatorische Vorkehrungen, die auch den jeweiligen Sektoren- und Compliance-Anforderungen entsprechen müssen. - Rechtliches
Rechtliche Schulungen, Unterstützung bei der Gap-Analyse und Unterstützung bei einem ganzheitlichen Risikomanagement.
Der CRA: Empfehlung zur Umsetzung technischer Anforderungen
Dieses Whitepaper des Nationalen Forschungszentrums ATHENE fokussiert die technische Umsetzung der Vorgaben des CRA und die damit verbundenen Prozesse.
Der CRA: Ein Überblick aus rechtlicher Sicht
Dieses Whitepaper des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE gibt einen kompakten Überblick über die zentralen Bestimmungen des EU Cyber Resilience Act. Der Text bezieht sich auf die aktuellste Version des CRA vom 12. März 2024.
Der CRA -- Ein Kurzüberblick
Welche Produkte fallen unter den EU Cyber Resilience Act, welche Pflichten haben Hersteller? Dieser Zweiseiter gibt einen ersten Überblick.
Lunch Lectures zum CRA
In unseren kostenfreien Online-Kurzvorträgen informieren Sie unsere Fachleute über die konkreten Auswirkungen des Cyber Resilience Acts und geben Handlungsempfehlungen für die Praxis.
Die Termine unserer Lunch Leture finden Sie auf der ATHENE Webseite.
Weitere Angebote des Fraunhofer SIT zum CRA
Security Assessment
Sicherheitsbewertungen und Penetrationstests - IT-basierte Systeme sicher machen
Ansprechpartner
Dr. iur. Annika Selzer
Kontakt Recht: Umsetzung und Training
64295 Darmstadt
Ansprechpartner
Dr.-Ing. Steven Arzt
Kontakt Technik: Umsetzung und Training
64295 Darmstadt
Ansprechpartner
Dr. Michael Kreutzer
Kontakt Strategie
64295 Darmstadt