5 Auswirkungen des Cyber-Resilience-Gesetzes auf deine Produktentwicklung
Das Cyber-Resilience-Gesetz (CRA) der Europäischen Union ist die bedeutendste regulatorische Änderung für Produktentwickler seit Jahren. Als erste umfassende Gesetzgebung zur Sicherheit vernetzter Produkte verändert das CRA grundlegend, wie Hardware- und Softwareprodukte während ihres gesamten Lebenszyklus entworfen, entwickelt und gewartet werden müssen. Für Produktteams in ganz Europa erfordert diese Verordnung nicht nur Anpassungen zur Einhaltung der Vorschriften, sondern auch ein grundlegendes Überdenken der Entwicklungsprozesse, Sicherheitspraktiken und Produkt-Supportmodelle.
Im Gegensatz zu früheren Vorschriften, die sich in erster Linie auf den Datenschutz oder kritische Infrastrukturen konzentrierten, befasst sich die CRA direkt mit der Produktsicherheit und legt verbindliche Anforderungen für alle Produkte mit digitalen Elementen fest, die auf dem EU-Markt verkauft werden. Unabhängig davon, ob du IoT-Geräte für Verbraucher, industrielle Steuerungssysteme oder Softwarelösungen entwickelst, wird die CRA erhebliche Auswirkungen auf deinen Produktentwicklungsprozess haben.
Dieser Leitfaden untersucht fünf wichtige Wege, wie die Cyber-Resilienz-Verordnung deine Produktentwicklung verändern wird, und enthält praktische Schritte zur Umsetzung. So kannst du nicht nur die Compliance erreichen, sondern diese Änderungen auch nutzen, um sicherere und wettbewerbsfähigere Produkte zu entwickeln.
1. Secure-by-Design wird obligatorisch, nicht optional
Das Konzept „Secure-by-Design“ wird seit langem als Best Practice gefördert, aber die CRA wandelt diesen Ansatz von einer Empfehlung in eine Anforderung um. Gemäß Artikel 10 der Verordnung müssen Hersteller sicherstellen, dass Produkte mit digitalen Elementen in Übereinstimmung mit den wesentlichen Cybersicherheitsanforderungen entworfen, entwickelt und hergestellt werden.
Was bedeutet das für deinen Entwicklungsprozess?
Der CRA schreibt vor, dass Sicherheitsaspekte in den gesamten Entwicklungslebenszyklus integriert werden müssen und nicht nachträglich oder als Zusatzfunktion berücksichtigt werden dürfen. Konkret musst du Folgendes tun:
• Führe während der Entwurfsphase systematische Sicherheitsrisikobewertungen durch.
• Implementiere sichere Entwicklungsmethoden und -praktiken.
• Sicherheitsanforderungen und Architekturprüfungen festlegen
• Von Anfang an Sicherheitsupdate-Funktionen einplanen
• Bei Konflikten der Sicherheit Vorrang vor der Funktionalität geben
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) betont in ihrem Leitfaden zur Umsetzung von „Secure by Design“ für 2024, dass „Unternehmen Sicherheit nicht mehr als eine Funktion betrachten dürfen, sondern als eine grundlegende Eigenschaft, die alle Entscheidungen in Bezug auf Design und Umsetzung leitet“.
Praktische Umsetzungsschritte
Um die Secure-by-Design-Prinzipien effektiv umzusetzen, solltest du:
1. Eine formelle SDL-Methodik (Secure Development Lifecycle) einführen, die Sicherheitsmaßnahmen in jede Entwicklungsphase integriert
2. Während der Entwicklung eine Bedrohungsmodellierung durchführen, um potenzielle Sicherheitsprobleme frühzeitig zu erkennen
3. Sicherheitsanforderungen neben den funktionalen Anforderungen festlegen
4. Regelmäßige Überprüfungen der Sicherheitsarchitektur mit den Entwicklungs- und Sicherheitsteams durchführen
5. Alle Entwickler in sicheren Codierungspraktiken schulen, die für deine Technologieplattform spezifisch sind
Der CRA-Compliance-Rahmen der Europäischen Kommission für 2025 stellt fest, dass Unternehmen, die diese Maßnahmen vor Inkrafttreten der Verordnung umsetzen, 64 % weniger Sicherheitslücken in neuen Produkten melden und gleichzeitig die Kosten für die Behebung um 78 % senken können, verglichen mit Unternehmen, die sich erst später in der Entwicklung mit Sicherheitsfragen befassen.
2. Schwachstellenmanagement wird zu einer Anforderung für den gesamten Lebenszyklus
Gemäß Artikel 10 und 11 der CRA müssen Hersteller Prozesse zur Identifizierung, Bewertung und Behebung von Schwachstellen während des gesamten Produktlebenszyklus einrichten. Dies geht weit über die Entwicklungsphase hinaus und schafft fortlaufende Verpflichtungen, solange die Produkte in Gebrauch sind.
Was dies für deinen Betrieb bedeutet
Die CRA wandelt das Schwachstellenmanagement von einer reaktiven Sicherheitsfunktion zu einer zentralen Aufgabe des Produktmanagements um. Du musst:
• Prozesse zur Identifizierung von Schwachstellen in bereitgestellten Produkten implementieren
• Klare Verfahren zur Bewertung und Priorisierung von Schwachstellen festlegen
• Effiziente Funktionen für die Entwicklung und Verteilung von Patches entwickeln
• Schwachstellenmanagementprozesse während der gesamten Produktunterstützungsphase aufrechterhalten
• Kritische Schwachstellen innerhalb von 24 Stunden nach ihrer Entdeckung den Behörden melden
Die Information Systems Audit and Control Association (ISACA) betont in ihrem Leitfaden zum Produktsicherheits-Lebenszyklusmanagement 2024, dass „das Schwachstellenmanagement gemäß CRA nicht nur technische Fähigkeiten erfordert, sondern auch eine organisatorische Abstimmung zwischen den Funktionen Entwicklung, Sicherheit und Produktmanagement“.
Praktische Umsetzungsschritte
So richtest du effektive Prozesse zum Schwachstellenmanagement ein:
1. Implementiere automatisierte Sicherheitstests in deiner CI/CD-Pipeline.
2. Richte ein Programm zur Offenlegung von Schwachstellen ein, um externe Meldungen zu erhalten.
3. Bilde ein spezielles Team für die Reaktion auf Produktsicherheitsvorfälle (PSIRT) mit klaren Zuständigkeiten.
4. Entwickle automatisierte Update-Mechanismen für deine Produkte.
5. Implementiere Tools zur Verfolgung und Verwaltung von Schwachstellen, die in die Entwicklungssysteme integriert sind.
Laut dem Produkt-Sicherheitsmanagement-Bericht 2025 von Gartner reagieren „Unternehmen mit ausgereiften Schwachstellenmanagementprozessen in der Regel 15-mal schneller auf kritische Probleme als Unternehmen mit Ad-hoc-Ansätzen, wodurch sowohl Sicherheitsrisiken als auch Compliance-Risiken erheblich reduziert werden“.