Der Cyber Resilience Act tritt in diesem Jahr in die operative Phase mit Meldepflichten – Hersteller müssen zügig handeln

Der Cyber Resilience Act (CRA) hat ab 2026 erstmals unmittelbare Auswirkungen, auf die sich die Hersteller digitaler Geräte, Maschinen und Anlagen mit Internetverbindung einstellen müssen. Darauf weist das Düsseldorfer Cybersicherheitsunternehmen ONEKEY (https://www.onekey.com/de) hin, das eine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel und CRA-Compliance betreibt.

Meldepflicht für Hersteller ab 11. September 2026

Der am 10. Dezember 2024 offiziell in Kraft getretene Cyber Resilience Act sieht für das laufende Jahr einen für Firmen besonders wichtigen Zeitpunkt vor. Ab 11. September 2026 greifen die „Verpflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen“: Hersteller müssen Sicherheitslücken und sicherheitsrelevante Vorfälle melden, sobald sie davon Kenntnis erlangen – und zwar innerhalb kurzer Fristen. Hierzu baut die EU Agency for Cybersecurity (ENISA) zurzeit eine einheitliche zentrale Meldeplattform – CRA Single Reporting Platform (SRP) – auf, über die künftig alle Meldungen abgegeben werden müssen.

Die umfassenden Anforderungen des CRA wie Security-by-Design, Lifecycle-Management oder CE-Kennzeichnung unter CRA-Konformitätsnachweis gelten vollständig ab 11. Dezember 2027. „2026 beginnt die operative Phase des Cyber Resilience Act“, sagt ONEKEY-Geschäftsführer Jan Wendenburg.

In wenigen Monaten, ab 11. Juni 2026 werden die ersten Konformitätsbewertungsstellen (CABs) ihre Tätigkeit aufnehmen und die Konformität von Produkten vorab prüfen. Es handelt sich dabei um zugelassene, unabhängige Prüfstellen. Dadurch können Hersteller einen externen CRA-Konformitätsnachweis erhalten. Warum Eile geboten ist, erklärt ONEKEY-CEO Jan Wendenburg: „Die betroffenen Hersteller müssen bis spätestens dahin ihre internen Prozesse, Dokumentationen, technischen Nachweise und Sicherheitsanforderungen so vorbereitet haben, dass eine CAB überhaupt etwas prüfen kann.“ Für Produkte mit hohem Sicherheitsrisiko (CRA-Klassen „critical“ und „highly critical“) wie beispielsweise kritische Infrastruktur-Komponenten, IoT-Geräte mit großem Schadenspotenzial, industrielle Steuerungssysteme ist die externe Konformitätsbewertung Pflicht.

„Für rund 90 Prozent aller vernetzten Produkte genügt allerdings eine Selbsterklärung“, stellt Jan Wendenburg klar. Es handelt sich dabei um eine Erklärung des Herstellers, dass ein digitales Produkt die Anforderungen des CRA erfüllt und rechtskonform in Verkehr gebracht wird. Diese muss eine detaillierte Konformitätsbewertung beinhalten, wie sie über die ONEKEY-Plattform erreicht werden kann. Ohne eine solche Erklärung dürfen diese Produkte nach dem 11. Dezember 2027 nicht mehr auf dem EU-Markt verkauft werden.

Höchste Zeit für die Hersteller

Jan Wendenburg erklärt: „Es wird höchste Zeit für die Hersteller, ihre vernetzten Geräte, Maschinen und Anlagen einer CRA-Konformitätsbewertung zu unterziehen.“ Aus Erfahrungen bei den entsprechenden Tests auf der ONEKEY-Plattform weiß er: „In den meisten Fällen treten Lücken zutage, von denen viele nicht leicht zu beheben sind. Die Hersteller sollten sich auf einen entsprechenden Zeit-, Kosten- und Personalaufwand einstellen, um den gesetzlichen Anforderungen zu genügen, die auf sie zukommen.“ Als Beispiele nennt er: Schwachstellen in externen Programmen von Partnern außerhalb der EU mit wenig Verständnis für CRA-Compliance, zugekaufte Komponenten mit unvollständiger Dokumentation oder Open-Source-Software.

Der ONEKEY-Geschäftsführer führt aus: „Einer der ersten Schritte besteht darin, für jedes vernetzte Produkt eine lückenlose Software-Stückliste zu erstellen, eine sogenannte Software Bill of Materials, kurz SBOM. Und das erweist sich häufig als schwierig.“ Ziel ist es, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können. Der CRA verlangt daher eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und Abhängigkeiten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken. Diese Anforderungen zu erfüllen fällt vielen Herstellern schwer, und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhalten. Jan Wendenburg stellt klar: „Viele SBOMS sind unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht sind diese lückenhaften und teilweise überholten Software-Stücklisten unbrauchbar.“

Großteil des Aufwands lässt sich automatisieren

Indes gehen die CRA-Auflagen weit über die bloße Bereitstellung einer korrekten SBOM hinaus. So werden die Hersteller verpflichtet, Sicherheitsvorgaben bereits während der Konzeptions- und Entwicklungsphase ihrer Produkte umzusetzen. Dazu gehören sichere Software- und Hardwaredesigns, klare Vorgaben zur Schwachstellenbehandlung, die Einführung eines durchgängigen Risikomanagements sowie verpflichtende Sicherheitsupdates über definierte Produktlebenszyklen hinweg. „Alle diese Maßnahmen müssen nicht nur durchgeführt, sondern auch bewertet, dokumentiert und nachgewiesen werden“, umreißt Jan Wendenburg den Aufwand.

Er resümiert: „Die bevorstehende erste Umsetzungsphase des Cyber Resilience Act stellt zweifellos einen Meilenstein für die digitale Sicherheit in Europa dar, aber sie führt auch für die Hersteller zu einem Aufwand erheblichen Ausmaßes.“

ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.

Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bills of Materials (SBOMs)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.

Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.

Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.

International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.

Pressekontakt:

Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com

PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de

Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell

  itsecurity