Technische Richtlinie für Cyber-Resilienz-Anforderungen

Der europäische Cyber Resilience Act wurde am 10.10.2024 vom Europäischen Rat verabschiedet und wird in den kommenden Wochen im EU-Amtsblatt veröffentlicht werden. Wie bereits in unserem Fachbeitrag "Der neue Cyber Resilience Act (CRA)" berichtet, definiert die neue Vorschrift Anforderungen an die Security von Produkten. Diese Anforderungen sind für Personen ohne Vorkenntnisse im Bereich der IT- bzw. OT-Security mitunter schwer einordenbar. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unterstützung mit einer Veröffentlichung.

"Die Technische Richtlinie TR-03183: Cyber-Resilienz-Anforderungen an Hersteller und Produkte hat zum Ziel, Herstellern schon vorab die Art der Anforderungen, die mit dem künftigen Cyber Resilience Act (CRA) auf sie zukommen, zugänglich zu machen."

Die o.g. Veröffentlichung besteht aus drei Teilen. Zum aktuellen Zeitpunkt ist erst der zweite Teil (Software-Bill-of-Material – SBOM) veröffentlicht, welcher beschreibt, wie die Anforderung des CRA hinsichtlich des Nachweises der Software-Lieferketten aussehen kann. Die finale Fassung des 2. Teils wurde im September 2024 in neuer Ausgabe veröffentlicht, den Volltext dieser Version können Sie über folgenden Link aufrufen: 

TR-03183: Cyber Resilience Requirements for Manufacturers and Products - Part 2: Software Bill of Materials (SBOM) Version 2.0.0
 

Der erste Teil, der die Vielzahl der Anforderungen aus dem Cyber Resilience Act an Hersteller konkretisiert und erklärt, wurde Ende September 2024 als sogenannter Community Draft veröffentlicht. Gleiches gilt für Teil 3 der Technischen Regel, in welcher der "Umgang mit eingehenden Schwachstellenmeldungen" thematisiert wird. Beide Dokumente können noch bis 30.11.2024 öffentlich von fachkundigen Personen kommentiert werden! Wir informieren Sie natürlich umgehend, sobald wir Kenntnis davon haben, dass auch diese beiden Teile in finaler Fassung veröffentlicht wurden.
 

Vorgesehene Anforderungen des ersten Teils "General Requirements"

Gerade aus dem ersten Teil der technischen Regel können bereits aus dem Entwurfsdokument grundlegende Anforderungen an Hersteller und Produkte hervorgehoben werden: 

1. Sicherheitsdesign: Produkte mit digitalen Elementen müssen sicher entwickelt, produziert und aktualisiert werden. Hersteller sind verpflichtet, bewährte Praktiken im Softwareentwicklungszyklus zu implementieren und Sicherheitsanforderungen wie den Schutz von Datenvertraulichkeit und -integrität zu gewährleisten.

2. Risikobewertung: Hersteller müssen eine Risikoanalyse über den gesamten Lebenszyklus des Produkts durchführen, um potenzielle Bedrohungen und deren Auswirkungen zu identifizieren. Diese Analyse muss dokumentiert und regelmäßig aktualisiert werden.

3. Sicherheitsupdates: Produkte müssen regelmäßige Sicherheitsupdates erhalten, um Schwachstellen zu beheben. Hersteller sind verpflichtet, einen Mechanismus für automatische Updates bereitzustellen, der standardmäßig aktiviert ist. Außerdem müssen Benutzer über verfügbare Updates informiert und in der Lage sein, Updates vorübergehend zu verschieben.

4. Zugangskontrolle: Es müssen Maßnahmen zum Schutz vor unbefugtem Zugriff implementiert werden, einschließlich starker Authentifizierungsmechanismen und der Möglichkeit, Passwörter individuell festzulegen.

5. Schwachstellenmanagement: Hersteller müssen ein System zur Identifizierung, Bewertung und Behebung von Schwachstellen betreiben. Sie müssen Nutzer über entdeckte Sicherheitslücken informieren und zügig Updates bereitstellen.

6. Dokumentation: Eine umfassende technische Dokumentation, die Informationen über Design, Entwicklungsprozesse und Sicherheitsrisiken enthält, ist erforderlich. Diese Dokumentation sollte auch Details zu durchgeführten Tests und unterstützten Komponenten umfassen.

Zusammengefasst zielen die Anforderungen darauf ab, dass Produkte sicher entwickelt und kontinuierlich aktualisiert werden, um potenziellen Cyberbedrohungen standzuhalten und die Benutzer sicherzustellen.

Fazit und weiterführende Informationen

Durch die Arbeit des BSI wird unserer Ansicht nach ein sehr wertvoller Beitrag geleistet, die Cyber-Anforderungen für Hersteller von Maschinen, Anlagen und elektrischen Geräten deutlich greifbarer zu machen. Die Volltexte zu den Entwurfsdokumenten der Teile 1 und 3 sowie die Möglichkeit zur Kommentierung der beiden "Community Drafts", können Sie auf den Seiten des BSI aufrufen und herunterladen.

Tipp:

Melden Sie sich jetzt zu unserem kostenlosen CE-InfoService an und bleiben Sie stets informiert, wenn sich relevante Neuigkeiten im Bereich der Product Compliance (z.B. die Veröffentlichung des ersten und dritten Teils von TR-03183) ergeben. 

Verfasst am: 28.10.2024 (letzte Aktualisierung)

Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.