EU Common Criteria für IT-Schwachstellen
Halbierung des Aufwands für Impact Assessment durch Automatisierung
Düsseldorf (ots) -
- Erstes EU-weites Zertifizierungsgschema für Produkte und Anlagen mit digitalen
Elementen
- ENISA-Exekutivdirektor: EUCC ist Teil des "Puzzles des
EU-Zertifizierungsrahmens für Cybersicherheit"
- Automatisierung ist der Schlüssel zu optimierten Prozessen im Impact
Assessment
Mit dem "European Cybersecurity Scheme on Common Criteria" (EUCC) gibt es nun
einen ersten systematischen Ansatz zur Zertifizierung von Cybersicherheit. Die
Kriterien des Zertifizierungsschemas wurden von der Agentur der Europäischen
Union für Cybersicherheit (ENISA) entworfen und müssen nun in den
Mitgliedsstaaten umgesetzt werden - der dafür notwendige Rechtsakt zur
Durchführung ("Implementing Act") wurde kürzlich veröffentlicht. "Das EUCC
ermöglicht es den Herstellern, die IT-Sicherheit von Produkten wie
Technologiekomponenten, Hard- und Software nach einem Standard zu überwachen und
auf Schwachstellen zu analysieren. Damit wird auch der Weg geebnet, die
kommenden Anforderungen des Cyber Resilience Act (CRA) mit den entsprechenden
Prozessen bei den Herstellern umzusetzen. Die Zielsetzung der Common Criteria,
die Sicherheit neuer IT-Produkte und Geräte mit digitalen Elementen auf dem
EU-Binnenmarkt zu erhöhen, hilft auch bei der Umsetzung kommender Regularien wie
dem Cyber Resilience Act", sagt Jan Wendenburg, CEO von ONEKEY. Gemäß der EUCC
müssen Hersteller aktiv die Schwachstellen ihrer Produkte überwachen und eine
Vulnerability Impact Analyse gemäß Artikel 33 durchführen.
Technologieplattform für automatisiertes Impact Assessment
Bei der Umsetzung der Anforderungen sind die Unternehmen auf externe
Unterstützung angewiesen, um die Risikoanalyse professionell durchzuführen und
später auch entsprechend zertifiziert zu werden. "Angesichts der großen Umbrüche
und der gestiegenen Verantwortung, die Hersteller digitaler Anlagen und Geräte
heute tragen, ist Automatisierung ein wichtiger Aspekt bei der Umsetzung der
EUCC-Verpflichtungen. Wir haben die Analyseplattform
(https://onekey.com/platform-overview/) von ONEKEY für ein automatisiertes CVE
(Common Vulnerabilities and Exposures) Impact Assessment aufgebaut und können
durch diese Automatisierung den Aufwand für das Vulnerability Impact Assessment
für Unternehmen bis zu 50 Prozent reduzieren", ergänzt Jan Wendenburg von
ONEKEY. Das Düsseldorfer Unternehmen betreibt eine Product Cybersecurity &
Compliance Analyseplattform. Neben der exakten Auflistung aller Soft- und
Firmwarekomponenten als Software-Stückliste (SBOM) ermöglicht ONEKEY eine
detaillierte Analyse mit Risikobewertung möglicher bekannter und unbekannter
Schwachstellen aller Geräte und Anlagen mit digitalen Elementen. ONEKEY prüft
- Erstes EU-weites Zertifizierungsgschema für Produkte und Anlagen mit digitalen
Elementen
- ENISA-Exekutivdirektor: EUCC ist Teil des "Puzzles des
EU-Zertifizierungsrahmens für Cybersicherheit"
- Automatisierung ist der Schlüssel zu optimierten Prozessen im Impact
Assessment
Mit dem "European Cybersecurity Scheme on Common Criteria" (EUCC) gibt es nun
einen ersten systematischen Ansatz zur Zertifizierung von Cybersicherheit. Die
Kriterien des Zertifizierungsschemas wurden von der Agentur der Europäischen
Union für Cybersicherheit (ENISA) entworfen und müssen nun in den
Mitgliedsstaaten umgesetzt werden - der dafür notwendige Rechtsakt zur
Durchführung ("Implementing Act") wurde kürzlich veröffentlicht. "Das EUCC
ermöglicht es den Herstellern, die IT-Sicherheit von Produkten wie
Technologiekomponenten, Hard- und Software nach einem Standard zu überwachen und
auf Schwachstellen zu analysieren. Damit wird auch der Weg geebnet, die
kommenden Anforderungen des Cyber Resilience Act (CRA) mit den entsprechenden
Prozessen bei den Herstellern umzusetzen. Die Zielsetzung der Common Criteria,
die Sicherheit neuer IT-Produkte und Geräte mit digitalen Elementen auf dem
EU-Binnenmarkt zu erhöhen, hilft auch bei der Umsetzung kommender Regularien wie
dem Cyber Resilience Act", sagt Jan Wendenburg, CEO von ONEKEY. Gemäß der EUCC
müssen Hersteller aktiv die Schwachstellen ihrer Produkte überwachen und eine
Vulnerability Impact Analyse gemäß Artikel 33 durchführen.
Technologieplattform für automatisiertes Impact Assessment
Bei der Umsetzung der Anforderungen sind die Unternehmen auf externe
Unterstützung angewiesen, um die Risikoanalyse professionell durchzuführen und
später auch entsprechend zertifiziert zu werden. "Angesichts der großen Umbrüche
und der gestiegenen Verantwortung, die Hersteller digitaler Anlagen und Geräte
heute tragen, ist Automatisierung ein wichtiger Aspekt bei der Umsetzung der
EUCC-Verpflichtungen. Wir haben die Analyseplattform
(https://onekey.com/platform-overview/) von ONEKEY für ein automatisiertes CVE
(Common Vulnerabilities and Exposures) Impact Assessment aufgebaut und können
durch diese Automatisierung den Aufwand für das Vulnerability Impact Assessment
für Unternehmen bis zu 50 Prozent reduzieren", ergänzt Jan Wendenburg von
ONEKEY. Das Düsseldorfer Unternehmen betreibt eine Product Cybersecurity &
Compliance Analyseplattform. Neben der exakten Auflistung aller Soft- und
Firmwarekomponenten als Software-Stückliste (SBOM) ermöglicht ONEKEY eine
detaillierte Analyse mit Risikobewertung möglicher bekannter und unbekannter
Schwachstellen aller Geräte und Anlagen mit digitalen Elementen. ONEKEY prüft