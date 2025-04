Seite 2 ► Seite 1 von 3

Düsseldorf (ots) - Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen in der EUbald nicht mehr verkauft werden."Unternehmen, die dem EU Cyber Resilience Act (CRA) unterliegen, sollten sichbeeilen, ihre Produkte den Anforderungen des CRA anzupassen", sagt JanWendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Er weistdarauf hin, dass die ersten Vorschriften des CRA bereits ab September 2026 undalle weiteren ab dem 11. Dezember 2027 Anwendung finden. "Ab diesem Zeitpunktmüssen alle vernetzten Produkte die Cybersicherheitsanforderungen des CyberResilience Act vollständig erfüllen", stellt Jan Wendenburg klar. Hersteller,Importeure und Händler seien gleichermaßen gefordert: Ohne CRA-Konformität darfdas CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr inder EU verkauft werden.Der am 10. Dezember 2024 verabschiedete Cyber Resilience Act der EuropäischenKommission stellt die bisher umfassendste Regelung zur Cybersicherheitvernetzter Produkte in Europa dar. Für alle Hersteller von Geräten "mitdigitalen Elementen", d.h. alle smarten Produkte, egal ob für Industrie,Consumer oder Unternehmen, drängt die Zeit, denn die neuen Sicherheitsvorgabenmüssen bereits innerhalb der Produktentwicklung berücksichtigt werden."Angesichts Produktlebenszyklen, die in der Regel viele Jahre umfassen, solltedem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf demEU-Markt verkaufen zu können", rät Jan Wendenburg."Security by Design" für CRA-ComplianceZentrale Elemente für die CRA-Compliance sind das Prinzip "Security by Design"sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung. Darüberhinaus fordert der EU CRA eine Software Bill of Materials (SBOM), umSoftwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkettefrühzeitig zu erkennen. Der CRA kategorisiert Produkte in die dreiSicherheitsklassen: Kritisch, Wichtig und Sonstige. In jeder Klasse sindentsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette isthierbei besonders relevant, da Schwachstellen in Drittanbieter- undOpen-Source-Komponenten die Integrität des Gesamtsystems gefährden können. DieUmsetzungsfrist von 24, bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahredauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmenschnellstmöglich "Best Practices" zur Cybersicherheit implementieren. Dabei giltes, neben dem CRA weitere regulatorische Rahmenbedingungen wie RED II (EN 18031)