Cyber Resilience Act
Der Cyber Resilience Act setzt Cybersicherheitsregeln für Produkte mit digitalen Elementen, die in der EU verkauft werden. Hersteller müssen Sicherheit von Anfang an einbauen, eine Software-Stückliste führen, Schwachstellen koordiniert behandeln und aktiv ausgenutzte Schwachstellen nach festem Zeitplan melden, bevor ein Produkt das CE-Zeichen tragen darf. turingsecure liefert die SBOM, die Schwachstellenbehandlung und die Nachweise für diese Pflichten.
Wer betroffen ist
Regeln für Produkte mit digitalen Elementen
Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, also Hardware und Software, die sich mit einem Gerät oder Netzwerk verbinden können. Wer ein solches Produkt in der EU in Verkehr bringt, für den ist dessen Sicherheit nun eine rechtliche Verkaufsvoraussetzung, über die gesamte erwartete Lebensdauer, nicht nur beim Marktstart.
Die Pflichten teilen sich in zwei Hälften. Vor der Auslieferung muss ein Produkt die grundlegenden Cybersicherheitsanforderungen erfüllen und sicher durch Gestaltung und Voreinstellung sein. Nach der Auslieferung müssen Sie über den Unterstützungszeitraum weiter Schwachstellen behandeln und Sicherheitsupdates liefern. Die folgenden Pflichten ziehen sich durch beide Hälften.
Ihre Pflichten
Was der CRA von Ihnen verlangt
- Sicherheit durch Gestaltung und Voreinstellung
Gestalten Sie Produkte so, dass sie die grundlegenden Cybersicherheitsanforderungen erfüllen, liefern Sie sie mit sicherer Voreinstellung aus und stellen Sie über den Unterstützungszeitraum Sicherheitsupdates bereit.
- Software-Stückliste
Führen Sie für Ihr Produkt eine Software-Stückliste in einem gängigen maschinenlesbaren Format, um jede ausgelieferte Komponente nachzuverfolgen.
- Koordinierte Schwachstellenbehandlung
Behandeln Sie Schwachstellen über den Produktlebenszyklus: ein Offenlegungsverfahren, Behebung und die Pflicht, eine aktiv ausgenutzte Schwachstelle binnen 24 Stunden nach Kenntnis an die ENISA zu melden.
- CE-Kennzeichnung
Nur Produkte, die die Anforderungen des CRA erfüllen und die vorgeschriebene Konformitätsbewertung bestehen, dürfen das CE-Zeichen tragen und in der EU verkauft werden.
Verwandt
Wie turingsecure den CRA unterstützt
Der Act setzt die Pflichten. Diese Module liefern die SBOM, die Schwachstellenbehandlung und die Nachweise dahinter.
- SBOM-Analyse
Die vom CRA geforderte Software-Stückliste erstellen und überwachen und jede Komponente gegen bekannte Schwachstellen abgleichen.
- Schwachstellenmanagement
Die vom Act erwartete koordinierte Schwachstellenbehandlung durchführen und jede Schwachstelle von der Entdeckung bis zum ausgelieferten Fix verfolgen.
- Penetration Testing
Produkte vor der Freigabe testen, um zu zeigen, dass sie die grundlegenden Anforderungen erfüllen und sicher gestaltet sind.
- Incident Response
Offenlegung und die 24-Stunden-Meldung an die ENISA für eine aktiv ausgenutzte Schwachstelle mit dokumentiertem Workflow steuern.
Bereit für den CRA
Buchen Sie eine persönliche Demo und sehen Sie, wie turingsecure die SBOM, die Schwachstellenbehandlung und die Nachweise abdeckt, die der Cyber Resilience Act verlangt.