Der Cyber Resilience Act (CRA) der Europäischen Union stellt Hersteller von Produkten mit digitalen Elementen vor neue Herausforderungen im Bereich der Cybersicherheit. Die internationale Normenreihe IEC 62443 bietet dabei einen wertvollen Rahmen, um die Anforderungen des CRA systematisch und effektiv umzusetzen. Insbesondere der Prozessstandard IEC 62443-4-1 erweist sich als Schlüssel, um viele Vorgaben des CRA abzudecken.
Prozessuale und technische Anforderungen des CRA
Der Cyber Resilience Act (CRA) stellt sowohl Anforderungen an die Prozesse der Produktentwicklung als auch an die technischen Eigenschaften der Produkte selbst. Diese zweigleisige Herangehensweise erfordert eine differenzierte Betrachtung der verfügbaren Standards und Normen.
Prozessuale Anforderungen: Umfassend durch IEC 62443-4-1 abgedeckt
Die prozessualen Anforderungen des CRA werden weitgehend durch die IEC 62443-4-1 “Secure product development lifecycle requirements” abgedeckt. Diese Norm bietet einen umfassenden Rahmen für die Entwicklung sicherer Produkte und adressiert Aspekte wie:
- Sicherheitsmanagement
- Anforderungsanalyse
- Sicheres Design und Implementierung
- Verifizierung und Validierung
- Umgang mit Schwachstellen und Updates
- Erstellung von Nutzerinformationen
Durch die konsequente Anwendung der IEC 62443-4-1 können Hersteller die prozessualen Vorgaben des CRA effektiv umsetzen und in ihre Entwicklungsprozesse integrieren.
Software Bill of Materials (SBOM) in der IEC 62443-4-1
Es ist wichtig zu beachten, dass die IEC 62443-4-1 keine expliziten Vorgaben zur Erstellung einer Software Bill of Materials (SBOM) macht, wie sie vom CRA gefordert wird. Allerdings führt eine korrekte und umfassende Umsetzung der Norm in der Praxis oft automatisch zur Erstellung einer SBOM oder ähnlicher Dokumentation:
- Anforderungsmanagement: Die Norm verlangt eine detaillierte Dokumentation aller Komponenten und deren Sicherheitsanforderungen.
- Konfigurationsmanagement: Es wird eine genaue Verfolgung aller Softwarekomponenten und deren Versionen gefordert.
- Lieferantenmanagement: Die Norm fordert eine sorgfältige Überwachung und Dokumentation von Drittanbieterkomponenten.
- Patch-Management: Für effektives Patch-Management ist eine genaue Kenntnis aller Softwarekomponenten erforderlich.
Diese Prozesse führen in der Summe zu einer umfassenden Dokumentation der Softwarebestandteile, die leicht in eine formale SBOM überführt werden kann. Unternehmen, die die IEC 62443-4-1 gründlich umsetzen, werden daher feststellen, dass sie bereits einen Großteil der für eine SBOM erforderlichen Informationen erfassen und verwalten.
Technische Anforderungen: Lücken in IEC 62443-3-3 und IEC 62443-4-2
Die technischen Eigenschaften, die der CRA von Produkten fordert, werden durch die IEC 62443-3-3 “System security requirements and security levels” und IEC 62443-4-2 “Technical security requirements for IACS components” nicht vollständig abgedeckt. Diese Normen, die primär für industrielle Anwendungen konzipiert wurden, weisen einige Lücken auf:
- Fehlende Datenschutzanforderungen: Die IEC 62443-Teile -3-3 und -4-2 enthalten keine spezifischen Vorgaben zum Datenschutz, die im CRA jedoch eine wichtige Rolle spielen.
- Begrenzter Anwendungsbereich: Der Fokus auf industrielle Systeme deckt nicht alle vom CRA adressierten Produktkategorien ab.
- Fehlende Detailtiefe in bestimmten Bereichen: Einige vom CRA geforderte spezifische technische Eigenschaften werden nicht oder nicht ausreichend detailliert behandelt.
Ergänzende Normen zur Schließung der Lücken
Um die Lücken in den technischen Anforderungen zu schließen, können Hersteller auf ergänzende Normen zurückgreifen:
- ETSI EN 303 645
Diese Norm definiert Cybersecurity-Anforderungen für Consumer-IoT-Geräte. Sie adressiert viele der im CRA geforderten technischen Eigenschaften, insbesondere im Bereich Datenschutz und Sicherheit für Verbraucherprodukte. - EN 18031
Diese Norm legt Cybersecurity-Anforderungen für Funkanlagen fest und dient der Umsetzung des Delegated Acts zur Radio Equipment Directive. Sie bietet wertvolle Vorgaben für die Sicherheit von Produkten mit Funkschnittstellen, die ebenfalls unter den CRA fallen.
Ein ausführliches Mapping der Anforderungen des CRA auf verschiedene Normen wurde vor einiger Zeit durch die ENISA veröffentlicht. Weitere Details bietet unser Artikel zum Mapping des CRAs zu Standards.
Um die Unterschiede und Lücken in den technischen Anforderungen besser zu verdeutlichen, hier einige konkrete Beispiele:
CRA | IEC 62443 | ETSI EN 303 645 |
---|---|---|
Produkte sollen nur Daten verarbeiten, die für ihre Funktion notwendig sind. | Enthält keine spezifischen Vorgaben zur Datenminimierung. | Fordert explizit die Minimierung von personenbezogenen Daten. (Provision 5.8-1) |
Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen. | Die Anforderungen aus dem Berich FR 1 (Identification and authentication control) beschreiben detaillierte Anforderungen für verschiedene Aspekte der Zugriffskontrolle, einschließlich Identifizierung und Authentifizierung. | Enthält Vorgaben zur Authentifizierung, beispielsweise die Forderung nach eindeutigen Passwörtern für jedes Gerät oder benutzerdefinierte Passwörter, wenn das Gerät nicht mehr in der Werkseinstellung ist. Diese sind aber deutlich weniger ausführlich als die der IEC 62443-4-2. |
Produkte müssen mit einer sicheren Standardkonfiguration ausgeliefert werden. | Die IEC 62443-4-2 fordert in Anforderung CR 7.7 “Least functionality”, dass Komponenten so konfiguriert werden können, dass nur notwendige Funktionen aktiviert sind. | Fordert, dass alle Passwörter, die nicht der Werkseinstellung entsprechen, entweder für jedes Gerät einzigartig oder vom Benutzer festgelegt sein müssen. |
Die EN 18031 wird dort relevant, wo weder die IEC 62443-4-2/-3-3 noch die ETSI EN 303 645 Anforderungen bereitstellen. Ein Beispiel hierfür ist die Minimierung negativer Auswirkungen auf andere Geräte oder Netze, der in der EN 18031 adressiert.
Komplementäre Anwendung trotz unterschiedlicher Scopes
Obwohl die genannten Normen unterschiedliche Anwendungsbereiche haben, bieten sie in Kombination eine solide Grundlage für die Umsetzung der CRA-Anforderungen:
- IEC 62443: Fokus auf industrielle Anwendungen
- ETSI EN 303 645: Ausgerichtet auf Consumer-IoT-Geräte
- EN 18031: Anwendbar auf Funkanlagen in Consumer- und Industriebereich
Trotz dieser unterschiedlichen Schwerpunkte können Hersteller die Normen komplementär nutzen, um die breite Palette der CRA-Anforderungen abzudecken. Die Kombination ermöglicht es, sowohl industrielle als auch verbraucherorientierte Aspekte zu berücksichtigen und spezifische Anforderungen an Funkanlagen zu integrieren.
Fazit: Ganzheitlicher Ansatz erforderlich
Die Umsetzung der Anforderungen des Cyber Resilience Acts (CRA) erfordert einen ganzheitlichen Ansatz, der sowohl prozessuale als auch technische Aspekte berücksichtigt. Die Analyse zeigt, dass keine einzelne Norm alle Anforderungen des CRA vollständig abdeckt, aber eine Kombination verschiedener Normen eine solide Grundlage bietet.
Die IEC 62443-4-1 erweist sich als ausgezeichnete Basis für die prozessualen Anforderungen des CRA. Unternehmen, die bereits nach dieser Norm arbeiten, haben einen bedeutenden Vorteil bei der Umsetzung des CRA. Obwohl die Norm keine expliziten Vorgaben zur Erstellung einer Software Bill of Materials (SBOM) macht, führt eine gründliche Umsetzung der IEC 62443-4-1 in der Praxis oft automatisch zur Erfassung der dafür notwendigen Informationen.
Für die technischen Anforderungen zeigt sich, dass eine Kombination aus IEC 62443-4-2/-3-3, ETSI EN 303 645 und EN 18031 die umfassendste Abdeckung bietet:
- IEC 62443-4-2/-3-3 bietet detaillierte technische Anforderungen, insbesondere für industrielle Systeme.
- ETSI EN 303 645 ergänzt mit spezifischen Vorgaben für Consumer-IoT-Geräte, besonders in Bereichen wie Datenminimierung und Datenschutz.
- EN 18031 schließt wichtige Lücken, insbesondere hinsichtlich der Anforderungen an Funkanlagen und deren Auswirkungen auf andere Geräte und Netze.
Trotz der unterschiedlichen Anwendungsbereiche dieser Standards können Hersteller sie komplementär nutzen, um die breite Palette der CRA-Anforderungen abzudecken. Dieser Ansatz ermöglicht es, sowohl industrielle als auch verbraucherorientierte Aspekte zu berücksichtigen und spezifische Anforderungen an Funkanlagen zu integrieren.
Hersteller sollten bei der Umsetzung des CRA:
- Die IEC 62443-4-1 als Grundlage für ihre Entwicklungsprozesse implementieren.
- Die technischen Anforderungen der IEC 62443-4-2/-3-3 als Basis für für ihre Produkte nutzen.
- ETSI EN 303 645 und EN 18031 für zusätzliche Anforderungen an heranziehen, die von der IEC 62443 nicht abgedeckt wurden.
- Die Lücken identifizieren, die durch keine der Normen vollständig abgedeckt werden, und eigene Lösungen entwickeln.
Dieser integrierte Ansatz ermöglicht es Unternehmen, resiliente und konforme Produkte zu entwickeln, die sowohl den regulatorischen Vorgaben als auch den Sicherheitsbedürfnissen in verschiedenen Anwendungsbereichen gerecht werden. Es ist jedoch wichtig zu beachten, dass die Normungslandschaft sich weiterentwickeln wird, und Unternehmen sollten bereit sein, ihre Ansätze entsprechend anzupassen, wenn neue oder aktualisierte Normen veröffentlicht werden.
Letztendlich wird die erfolgreiche Umsetzung des CRA von der Fähigkeit der Unternehmen abhängen, diese verschiedenen Normen und Best Practices in einem kohärenten, produktspezifischen Sicherheitskonzept zu integrieren. Dies erfordert nicht nur technisches Know-how, sondern auch ein tiefes Verständnis der regulatorischen Anforderungen und der spezifischen Risiken in den jeweiligen Anwendungsbereichen.
Sollten Sie bei der Anwendung dieser Standards oder der Umsetzung der CRA-Anforderungen Unterstützung benötigen, kontaktieren Sie uns gerne unverbindlich. Unsere Experten stehen Ihnen mit ihrer umfassenden Erfahrung in der Umsetzung von Normen und regulatorischen Anforderungen zur Seite und helfen Ihnen, eine maßgeschneiderte Strategie für Ihr Unternehmen zu entwickeln.
Kommentar hinzufügen