Fachbeitrag

Technische Richtlinie für Cyber-Resilienz-Anforderungen

BSI TR-03183: Anforderungen des künftigen Cyber Resilience Act (CRA) für Hersteller


Fachbeitrag teilen
Share Button Linkedin Share Button Xing Share Button X Share Button E-Mail

Der Cyber Resilience Act (EU) 2024/2847 wurde am 20.11.2024 im EU-Amtsblatt veröffentlicht. Wie bereits in unserem Fachbeitrag zum neuen Cyber Resilience Act berichtet, definiert die neue Vorschrift Anforderungen an die Security von Produkten. Diese Anforderungen sind für Personen ohne Vorkenntnisse im Bereich der IT- bzw. OT-Security mitunter schwer einordenbar. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unterstützung mit einer Veröffentlichung.

"Die Technische Richtlinie TR-03183: Cyber-Resilienz-Anforderungen an Hersteller und Produkte hat zum Ziel, Herstellern schon vorab die Art der Anforderungen, die mit dem künftigen Cyber Resilience Act (CRA) auf sie zukommen, zugänglich zu machen."

Seminarhinweis

Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen


Im 2-tägigen Praxisseminar erfahren Sie, welche Aspekte der IT-Security bei der Konzeption und Planung von Maschinen und Anlagen besonders beachtet werden sollten, um den gesetzlich geforderten "Stand der Technik" auch im Bereich der Security von Maschinen und Anlagen gewährleisten zu können.  

Die o.g. Veröffentlichung besteht aus drei Teilen. Zum aktuellen Zeitpunkt ist erst der zweite Teil (Software-Bill-of-Material – SBOM) veröffentlicht, welcher beschreibt, wie die Anforderung des CRA hinsichtlich des Nachweises der Software-Lieferketten aussehen kann. Die finale Fassung des 2. Teils wurde im September 2024 in neuer Ausgabe veröffentlicht, den Volltext dieser Version können Sie über folgenden Link aufrufen: 


TR-03183: Cyber Resilience Requirements for Manufacturers and Products - Part 2: Software Bill of Materials (SBOM) Version 2.0.0
 

Der erste Teil, der die Vielzahl der Anforderungen aus dem Cyber Resilience Act an Hersteller konkretisiert und erklärt, wurde Ende September 2024 als sogenannter Community Draft veröffentlicht. Gleiches gilt für Teil 3 der Technischen Regel, in welcher der "Umgang mit eingehenden Schwachstellenmeldungen" thematisiert wird. Beide Dokumente können noch bis 30.11.2024 öffentlich von fachkundigen Personen kommentiert werden! Wir informieren Sie natürlich umgehend, sobald wir Kenntnis davon haben, dass auch diese beiden Teile in finaler Fassung veröffentlicht wurden.
 

Vorgesehene Anforderungen des ersten Teils "General Requirements"

Gerade aus dem ersten Teil der technischen Regel können bereits aus dem Entwurfsdokument grundlegende Anforderungen an Hersteller und Produkte hervorgehoben werden: 

  1. Sicherheitsdesign: Produkte mit digitalen Elementen müssen sicher entwickelt, produziert und aktualisiert werden. Hersteller sind verpflichtet, bewährte Praktiken im Softwareentwicklungszyklus zu implementieren und Sicherheitsanforderungen wie den Schutz von Datenvertraulichkeit und -integrität zu gewährleisten.

  2. Risikobewertung: Hersteller müssen eine Risikoanalyse über den gesamten Lebenszyklus des Produkts durchführen, um potenzielle Bedrohungen und deren Auswirkungen zu identifizieren. Diese Analyse muss dokumentiert und regelmäßig aktualisiert werden.

  3. Sicherheitsupdates: Produkte müssen regelmäßige Sicherheitsupdates erhalten, um Schwachstellen zu beheben. Hersteller sind verpflichtet, einen Mechanismus für automatische Updates bereitzustellen, der standardmäßig aktiviert ist. Außerdem müssen Benutzer über verfügbare Updates informiert und in der Lage sein, Updates vorübergehend zu verschieben.

  4. Zugangskontrolle: Es müssen Maßnahmen zum Schutz vor unbefugtem Zugriff implementiert werden, einschließlich starker Authentifizierungsmechanismen und der Möglichkeit, Passwörter individuell festzulegen.

  5. Schwachstellenmanagement: Hersteller müssen ein System zur Identifizierung, Bewertung und Behebung von Schwachstellen betreiben. Sie müssen Nutzer über entdeckte Sicherheitslücken informieren und zügig Updates bereitstellen.

  6. Dokumentation: Eine umfassende technische Dokumentation, die Informationen über Design, Entwicklungsprozesse und Sicherheitsrisiken enthält, ist erforderlich. Diese Dokumentation sollte auch Details zu durchgeführten Tests und unterstützten Komponenten umfassen.

Zusammengefasst zielen die Anforderungen darauf ab, dass Produkte sicher entwickelt und kontinuierlich aktualisiert werden, um potenziellen Cyberbedrohungen standzuhalten und die Benutzer sicherzustellen.


Fazit und weiterführende Informationen

Durch die Arbeit des BSI wird unserer Ansicht nach ein sehr wertvoller Beitrag geleistet, die Cyber-Anforderungen für Hersteller von Maschinen, Anlagen und elektrischen Geräten deutlich greifbarer zu machen. Die Volltexte zu den Entwurfsdokumenten der Teile 1 und 3 sowie die Möglichkeit zur Kommentierung der beiden "Community Drafts", können Sie auf den Seiten des BSI aufrufen und herunterladen.


Tipp:

Melden Sie sich jetzt zu unserem kostenlosen CE-InfoService an und bleiben Sie stets informiert, wenn sich relevante Neuigkeiten im Bereich der Product Compliance (z.B. die Veröffentlichung des ersten und dritten Teils von TR-03183) ergeben. 


Verfasst am: 21.11.2024 (letzte Aktualisierung)

Autor

Johannes Windeler-Frick, MSc ETH
Geschäftsführer der IBF Solutions. Fachreferent CE-Kennzeichnung und Safexpert. Vorträge, Podcasts und Publikationen zu unterschiedlichen CE-Themen, insbesondere CE-Organisation und effizientes CE-Management. Leitung der Weiterentwicklung des Softwaresystems Safexpert. Studium der Elektrotechnik an der ETH Zürich (MSc) im Schwerpunkt Energietechnik sowie Vertiefung im Bereich von Werkzeugmaschinen.

E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
 


Fachbeitrag teilen
Share Button Linkedin Share Button Xing Share Button X Share Button E-Mail

Registrierung


Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.

Hinweisbild Anzeige Security by Design Cyber Security Anforderungen an Maschinen und Anlagen

Unterstützung durch IBF

CE-Software Safexpert

CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering

Praxis-Seminare

Praxisgerechte Seminare rund um das Thema Produktsicherheit

Bleiben Sie Up-to-Date!

Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit