Enisa
Cyber Resilience Act Requirements Standards Mapping
Die Studie „Cyber Resilience Act Requirements Standards Mapping“ von ENISA und dem Joint Research Centre (JRC) bietet eine detaillierte Analyse der Anforderungen des Cyber Resilience Act (CRA) und deren Zuordnung zu bestehenden Standards. Ziel der Untersuchung ist es, zu ermitteln, welche Standards bereits die CRA-Anforderungen erfüllen und wo es Lücken gibt, die durch neue Standards oder Anpassungen bestehender Standards gefüllt werden müssen.
Der Cyber Resilience Act (CRA) wurde von der Europäischen Kommission als Reaktion auf die zunehmenden Cyberangriffe auf Produkte mit digitalen Elementen entwickelt. Diese Angriffe, gepaart mit weit verbreiteten Sicherheitslücken und unzureichenden Sicherheitsupdates, verursachen erhebliche finanzielle Schäden. Der CRA soll hier Abhilfe schaffen, indem er Hersteller von Produkten mit digitalen Elementen dazu verpflichtet, bestimmte Cybersicherheitsanforderungen zu erfüllen. Diese Anforderungen gelten für die gesamte Lebensdauer eines Produkts, von der Entwicklung über den Verkauf bis hin zur Nutzung und zum Recycling.
Ziel der Studie ist es, die Anforderungen des CRA in harmonisierte Standards umzusetzen, damit Hersteller diese einhalten können. Der Bericht beschreibt die wesentlichen Anforderungen des CRA, die sich auf die Cybersicherheit von Produkten und auf den Umgang mit Schwachstellen beziehen. Diese Anforderungen sind im Anhang I des CRA-Entwurfs in zwei Kategorien unterteilt: Produktsicherheitsanforderungen und Anforderungen für den Umgang mit Schwachstellen.
Zu den Produktsicherheitsanforderungen gehört, dass Produkte mit digitalen Elementen so gestaltet, entwickelt und produziert werden müssen, dass sie ein angemessenes Maß an Cybersicherheit bieten. Hierzu gehört unter anderem, dass bekannte Sicherheitslücken vor der Auslieferung geschlossen werden und Produkte mit einer sicheren Standardkonfiguration geliefert werden. Weiterhin müssen Mechanismen implementiert werden, die unbefugten Zugriff verhindern und die Vertraulichkeit, Integrität und Verfügbarkeit von Daten schützen. Ein wichtiges Prinzip ist hierbei die Minimierung der Angriffsflächen, beispielsweise durch das Schließen nicht benötigter Schnittstellen oder durch die Begrenzung von Netzwerkverbindungen auf das notwendige Minimum.
Eine weitere zentrale Anforderung des CRA ist der Umgang mit Schwachstellen. Hersteller müssen in der Lage sein, Schwachstellen in ihren Produkten zu identifizieren und zu beheben. Dazu gehört auch, dass sie ein System zur Überwachung und Analyse von Schwachstellen implementieren. Sicherheitsupdates müssen zeitnah und kostenlos zur Verfügung gestellt werden, und es muss gewährleistet sein, dass die Nutzer über verfügbare Updates informiert werden. Zudem sollen Hersteller sicherstellen, dass sie Informationen über potenzielle Schwachstellen austauschen, um die Sicherheit der Produkte kontinuierlich zu verbessern.
Die Studie geht auch auf die Methoden ein, mit denen die Anforderungen des CRA erfüllt werden können. Dazu gehört eine Analyse der vorhandenen Normen und Standards, die von internationalen Standardisierungsorganisationen wie ISO, IEC und ETSI entwickelt wurden. In der Analyse wird dargelegt, welche Standards bereits die Anforderungen des CRA abdecken und wo es noch Lücken gibt, die durch weitere Standardisierungsarbeiten geschlossen werden müssen. Ein Beispiel hierfür ist der Standard ISO/IEC 27002, der Sicherheitskontrollen und Best Practices für die Informationssicherheit bietet. Dieser Standard deckt viele der vom CRA geforderten Sicherheitsanforderungen ab, jedoch fehlen spezifische Vorgaben für bestimmte Produkte, wie etwa Hardwarekomponenten.
Die Studie zeigt auch auf, dass in vielen Bereichen der Cybersicherheit bereits eine solide Basis an Standards existiert. Beispielsweise gibt es umfangreiche Standards zur Verschlüsselung von Daten im Ruhezustand und während der Übertragung, zur Identitäts- und Zugangsverwaltung sowie zur Verwaltung von Schwachstellen. Dennoch bestehen in einigen Bereichen Lücken, insbesondere in Bezug auf die Minimierung der Angriffsflächen und die Sicherstellung der Resilienz von Produkten gegenüber Denial-of-Service-Angriffen.
Zusammenfassend lässt sich sagen, dass die Studie einen umfassenden Überblick über die Anforderungen des CRA bietet und diese den bestehenden Standards gegenüberstellt. Sie hebt hervor, dass die meisten Anforderungen durch bestehende Normen abgedeckt sind, weist jedoch auch auf Bereiche hin, in denen weitere Standardisierungsarbeiten erforderlich sind, um die Cybersicherheit von Produkten mit digitalen Elementen in der EU nachhaltig zu verbessern.
