Bereiten Sie sich auf die neue EU-Cyber Resilience Act (CRA) vor. Prüfen Sie, inwieweit Sie die grundlegenden Cybersicherheitsanforderungen der CRA erfüllen und verbessern Sie die Cyber Resilience-Reife Ihrer Produkte und Unternehmensprozesse. Das Applus+ Cyber Resilience Mark bewertet die Einhaltung der grundlegenden Anforderungen der CRA (Cyber Resilience Act) durch die Produkte in den Kategorien „Standard“ oder „Nicht klassifiziert“.

KONTAKT
PDF-VERSION DOWNLOADEN

Die CRA-Verordnung tritt am 11. Dezember 2024 in Kraft, und die Hersteller haben bis zum 11. Dezember 2027 Zeit, um die meisten Anforderungen umzusetzen, mit Ausnahme eines begrenzteren Zeitraums bis zum 11. September 2026 für die Meldepflicht der Hersteller bei Vorfällen und Schwachstellen. Die CRA wird sich auf eine Vielzahl von Unternehmen auswirken, die ihre digitalen Produkte in Europa verkaufen, allerdings mit unterschiedlicher Intensität. In unserer Publikation erhalten Sie einen tieferen Einblick in die wesentlichen Anforderungen der CRA und der betroffenen Produkte.

Alle Anbieter, die von der neuen Verordnung betroffen sind, sollten mit den Vorbereitungen beginnen, da die Einhaltung der Vorschriften die Produktentwicklung im Wesentlichen beeinflussen wird, um den Stand der Cyber-Resilienz des Unternehmens zu bewerten.  Applus+ Laboratories hat ein neues Konformitätszertifikat entwickelt, das sich an Anbieter von unkritischen Produkten richtet, die gemäß der Definition der CRA als „Standard“ oder „nicht klassifiziert“ eingestuft werden. Es wird erwartet, dass etwa 90 % der betroffenen Produkte in diese Kategorie fallen. Die Anbieter können sich zwar für eine Selbstbewertung entscheiden, aber die Einhaltung der CRA-Anforderungen wäre eine gesetzliche Verpflichtung, einschließlich der Vorlage aller erforderlichen Nachweise (mit möglichen Geldstrafen für Unternehmen, die die Anforderungen nicht erfüllen).

Methodik zur Bewertung der Cyber-Resilienz

Applus+ Laboratories hat eine interne Methodik entwickelt, die in der europäischen FITCEM (Fixed-time cybersecurity evaluation methodology for ICT products) EN 17640:2022 verankert ist.

FITCEM EN 17640:2022 ist ein allgemeiner Rahmen für die Entwicklung von Bewertungsmethoden auf der Grundlage einer Reihe vordefinierter Aufgaben. Er wurde von CEN CENELEC entwickelt, um bestehende nationale Methoden wie LINCE (Spanien), CSPN (Frankreich) oder BSZ (Deutschland) unter Beteiligung von Experten der Applus+ Laboratories als Mitherausgeber zu standardisieren. Unsere interne Methodik ist eine Instanziierung von FITCEM, die auf die zukünftigen Anforderungen der CRA zugeschnitten ist. Unsere Experten für verschiedene Technologien können die spezifischen Anforderungen je nach Produkttyp analysieren.

Im Service enthaltene Bewertungsaufgaben, basierend auf FITCEM 

  • Vollständigkeitsprüfung: Eine Vollständigkeitsprüfung, um zu überprüfen, ob alle angeforderten Nachweise bei Applus+ Laboratories eingegangen sind.     
  • Überprüfung der Sicherheitsfunktionen: Die vom Hersteller durchgeführte Bewertung der vorgeschriebenen Risikoanalyse wird überprüft, um zu gewährleisten, dass die Sicherheitsfunktionalitäten eindeutig definiert sind und die vom Hersteller identifizierten Risiken abdecken. 
  • Entwicklungsdokumentation: Die vom Hersteller übermittelten Prozesse und Dokumente werden analysiert und die Einhaltung der Anforderungen der CRA in Bezug auf das Produkt und den Umgang mit Schwachstellen wird überprüft. 
  • Überprüfung der Schwachstellen: Es wird eine Überprüfung der Schwachstellenanalyse auf der Grundlage öffentlicher oder bekannter Schwachstellen für das Produkt und seine Komponenten durchgeführt.  

Erforderliche Nachweise für das Cyber-Resilienz-Konformitätszertifikat

Der Hersteller muss die folgenden Nachweise erbringen, die in den technischen Unterlagen/der technischen Dokumentation enthalten sind (siehe Anhang II und Anhang V der CRA):  

 

  • Produktbeschreibung einschließlich der Identifizierung des Produkts und der Sicherheitsfunktionen, Handbücher, Benutzerrichtlinien usw.  
  • Eine Beschreibung des Entwurfs (funktionale Spezifikationen, kryptografische Algorithmen, Module, Komponenten usw.), der Entwicklungs- und Produktionsprozesse sowie der Prozesse für den Umgang mit Schwachstellen und das Patch-Management.  
  • Eine Bewertung der Cybersicherheitsrisiken, gegen die das Produkt mit digitalen Elementen entworfen, entwickelt, hergestellt, geliefert und gewartet wird, wie in Artikel 13(2) der CRA festgelegt. Risikobewertungsverfahren und aktuelle Risikoanalyse. 
  • Falls vorhanden, eine Liste der ganz oder teilweise angewandten einheitlichen Normen, gemeinsamen Spezifikationen und Cybersicherheitsregelungen. Falls diese einheitlichen Normen, gemeinsamen Spezifikationen oder Cybersicherheits-Zertifizierungssysteme für die Cybersicherheit nicht angewandt wurden, ist eine Beschreibung der Lösungen vorzulegen, mit denen die grundlegenden Anforderungen erfüllt werden. 
  • Berichte über die Prüfungen, die durchgeführt wurden, um die Konformität des Produkts und der Verfahren zur Behebung der Schwachstellen mit den geltenden grundlegenden Anforderungen gemäß den Abschnitten 1 und 2 der CRA-Anlage I zu überprüfen. 
  • Eine Kopie der EU-Konformitätserklärung (optional, für die aktuelle Bewertung nicht erforderlich).  
  • Gegebenenfalls die Software-Materialliste gemäß der Definition in CRA -Annex I, Part I(1). 

 

Was erhält man? 

Das Ergebnis der Bewertung ist ein Konformitätszertifikat („Certificate of Conformity“, CoC), das auflistet, wie viele Anforderungen an das Produkt und den Umgang mit Schwachstellen erfüllt wurden. Mit dem CoC verbunden ist das Recht, das Applus+ Cyber Resilience-Zeichen zu verwenden.

Warum sollte man sich für das Cyber Resilience CoC von Applus+ entscheiden? 

Applus+ Laboratories ist Ihr Partner beim Aufbau einer cyber-resistenten digitalen Zukunft. Wir gehören zu den Top 3 der Cybersecurity-Labore für die Zertifizierung nach Common Criteria. Wir sind erstklassige Experten für Sicherheitsbewertungen und bieten mehr als 20 Cybersecurity-Programme für verschiedene Branchen an, von Payment über IoT bis hin zu Automotive oder Kryptographie für Verteidigungsanwendungen.  

Seid den kommenden Cybersecurity-Vorschriften immer einen Schritt voraus

Ob Ihre Produkte als Standard, Klasse I oder Klasse II eingestuft werden, das Applus+ Cyber Resilience Conformity-Zeichen:  

  • Zeigt das Engagement Ihres Unternehmens für Cyber-Resilienz  
  • Bestärkt Ihre Kunden und Partner darin, dass Sie neuen Anforderungen voraus sind  
  • Positioniert Sie an der Spitze bei der Einhaltung gesetzlicher Vorschriften  

Kontaktieren Sie uns, um mehr darüber zu erfahren, wie das Applus+ Cyber Resilience Mark Ihre Cybersicherheit verbessern und Ihnen einen Wettbewerbsvorteil in der heutigen digitalen Welt verschaffen kann. 

KONTAKT

Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.

Cookie settings panel