CRA

EU CYBER RESILIENCE ACT (CRA) COMPLIANCE | Bureau Veritas

EU-Unternehmen bei der Einhaltung des Cyber Resilience Act unterstützen

Der Cyber Resilience Act (CRA) stellt Anforderungen an Hersteller, Importeure und Vertriebshändler von Produkten mit digitalen Elementen, die innerhalb der EU zum Verkauf angeboten werden. Das Gesetz zielt darauf ab, sicherzustellen, dass solche Produkte sicherer gestaltet werden und Verbraucher besser geschützt sind. Bureau Veritas ist in der Lage, Unternehmen in der gesamten EU, bei der Einhaltung dieser Vorschriften zu unterstützen.

Was ist der Cyber Resilience Act (CRA)? 

Der CRA ist die erste EU-weite Gesetzgebung dieser Art, die Cybersicherheitsanforderungen für Hardware- und Softwareprodukte über deren gesamten Lebenszyklus hinweg vorschreibt. Ziel ist es, die Cybersicherheit von digitalen Produkten und Dienstleistungen, die in der EU verkauft werden, zu verbessern. 

Der CRA gilt für Produkte mit digitalen Elementen (PDEs), einschließlich Software, Hardware und Lösungen für die Fern-Datenverarbeitung. Dazu gehören intelligente oder vernetzte Haushaltsgeräte wie Smartphones, Tablets, PCs, Kameras, Fernseher, Kühlschränke und Fitnessgeräte sowie Spielzeug und Wearables. 

Ausgenommen sind eine begrenzte Anzahl von Produktkategorien, darunter medizinische Produkte, Kraftfahrzeuge und Luftfahrtprodukte.

Gemäß der Gesetzgebung werden PDEs nach Risiko kategorisiert. Produkte ohne kritische Cybersicherheitsrisiken fallen in die Kategorie „Standard“ und können vom Hersteller selbst bewertet werden. „Wichtige“ Produkte sind in Class I und Class II unterteilt, unterliegen strengeren Anforderungen und können eine Konformitätsbewertung durch Dritte erfordern. Für „Kritische“ Produkte ist die einzige Möglichkeit zur Erlangung der Konformität die obligatorische Einhaltung eines europäischen Zertifizierungsschemas, wie z. B. des EUCC.

Das Gesetz tritt Ende 2024 in Kraft, und betroffene Unternehmen müssen die in der CRA aufgeführten Anforderungen bis 2027 (36 Monate nach Inkrafttreten) erfüllen. Es wird jedoch bereits innerhalb von 21 Monaten verpflichtend, aktiv ausgenutzte Schwachstellen und Vorfälle zu melden.

WELCHE EU-UNTERNEHMEN SIND VOM CRA BETROFFEN?

Der CRA gilt für Hersteller (oder deren autorisierte Vertreter) von Produkten mit PDEs, die in der EU zum Verkauf angeboten werden, Importeure, die auf dem EU-Markt verkaufen, und Vertriebshändler wie Einzelhändler.

Was sind die Anforderungen des CRA? 

Die CRA legt eine Vielzahl von Vorschriften fest, von denen viele für die Hersteller von Produkten gelten. Hersteller, die Produkte mit PDEs auf dem EU-Markt verkaufen, müssen sicherstellen, dass Produkte so gestaltet, entwickelt und produziert werden, dass ein angemessenes Maß an Cybersicherheit basierend auf den Risiken gewährleisten ist. Dies wird als "Security by Design" -Ansatz bezeichnet. 

Image
Cybersecurity

Weitere wichtige Anforderungen betreffen den Umgang mit Schwachstellen  und die Reaktion auf Sicherheitsvorfälle. PDEs müssen ohne bekannte, ausnutzbare Schwachstelle geliefert werden und es muss innerhalb von fünf Jahren, eine Sicherheitsunterstüzung bereitgestellt werden. Wenn technisch machbar, sollten Sicherheitsupdates automatisch angewendet werden.

Darüber hinaus müssen Hersteller sicherstellen, dass die EU-Agentur für Cybersicherheit (ENISA) und die Benutzer Innerhalb von 24 Stunden nach Bekanntwerden einer aktiv ausgenutzten 

Schwachstelle in einem PDE oder eines Vorfalls mit Auswirkungen auf die Sicherheit des PDE informiert werden und korrigierende Maßnahmen zur Minderung von Auswirkungen ergriffen werden. 

EU-Importeure und -Vertriebshändler haften ebenfalls, wenn sie keine Maßnahmen ergreifen, um sicherzustellen, dass die Produkte konform sind und dass der PDE-Hersteller über konforme Prozesse zur Behandlung von Schwachstellen verfügt.

Unsere Dienstleistungen für die CRA-Konformität

Mit einem Team von Cybersicherheits-Compliance Experten hat Bureau Veritas eine Reihe von Dienstleistungen entwickelt, um Kunden bei der Erfüllung ihrer EU-CRA-Verpflichtungen zu unterstützen. Unsere Dienstleristungen Umfassen: 

  • CRA-Präsentation

    Verschaffen Sie sich ein umfassendes Verständnis des CRA und seiner Auswirkungen auf Ihr Unternehmen durch eine Präsentation eines unserer Spezialistenteams. Wir können Ihnen die verschiedenen Konformitätsbewertungen erklären und welche Regeln für Ihr spezifisches Produkt gelten.

  • Gap-Assessment und Zertifizierungsunterstützung

    Wir unterstützen Sie beim festlegen von Maßnahmen, damit Sie CRA-konform werden. 

  • CRA-Implementierungsunterstützung

    Nachdem wir potenzielle Lücken zwischen Ihren aktuellen Sicherheitsmaßnahmen und den Anforderungen des CRA identifiziert haben, können wir Beratungsdienste anbieten, um diese zu beheben und Ihnen zu helfen, CRA-konform zu werden.

Warum sollten Sie Bureau Veritas für CRA-Konformitätsdienstleistungen wählen? 

  • Engagierte Expertise und Erfahrung in der Cybersicherheit, Unterstützung von Kunden in verschiedenen Bereichen bei der Erfüllung komplexer regulatorischer Anforderungen.
  • Maßgeschneiderte Unterstützung für EU-Unternehmen
  • Umfassende Dienstleistungen von Verständnisvermittlung, Gap-Assessments bis hin zur CRA-Implementierung

NICHT DEN PASSENDEN SERVICE GEFUNDEN?

Finden Sie weitere Dienstleistungen im Solution Finder oder lassen Sie uns Ihre Nachricht zukommen