EU Cyber Resilience Act: Überblick, Anforderungen und Zeitrahmen
Quelle: Docker Blog
3 Minuten Lesezeit

EU Cyber Resilience Act: Überblick, Anforderungen und Zeitrahmen

Der EU Cyber Resilience Act (CRA) legt ab dem 11. Dezember 2027 verbindliche Sicherheitsstandards für Produkte mit digitalen Elementen fest, um die Cybersicherheit in der EU zu stärken. Ab dem 11. Sep

TL;DR

Der EU Cyber Resilience Act (CRA) legt ab dem 11. Dezember 2027 verbindliche Sicherheitsstandards für Produkte mit digitalen Elementen fest, um die Cybersicherheit in der EU zu stärken. Ab dem 11. September 2026 müssen Hersteller aktive Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Regelung betrifft alle Hersteller und Anbieter von Software und Hardware, einschließlich containerisierter Software.

Hauptinhalt

Der EU Cyber Resilience Act (CRA) wurde am 10. Dezember 2024 eingeführt, um den wachsenden Bedrohungen durch Cyberangriffe zu begegnen und die grundlegenden Werte der EU zu schützen. Angesichts der steigenden Häufigkeit und Kosten von Cyberangriffen, die Produkte mit digitalen Elementen betreffen, stellt der CRA die erste umfassende Regelung zur Cybersicherheit für alle in Europa verkauften Hardware- und Softwareprodukte dar. Ein Bericht zeigt, dass 77 % der Unternehmen im vergangenen Jahr Vorfälle in der Lieferkette erlitten haben, was die Dringlichkeit dieser Regelung unterstreicht.

Die Vorschriften des CRA werden ab dem 11. Dezember 2027 vollständig wirksam, während die Verpflichtung zur Meldung von Schwachstellen bereits am 11. September 2026 in Kraft tritt. Für Entwickler und Anbieter von containerisierter Software bedeutet dies, dass Praktiken wie die Erstellung von Software Bill of Materials (SBOM), die Offenlegung von Schwachstellen und die Härtung von Images von freiwilligen Best Practices zu rechtlichen Anforderungen werden.

Der CRA definiert Produkte mit digitalen Elementen als Software- oder Hardwareprodukte, einschließlich ihrer Fernverarbeitungslösungen und separat angebotener Komponenten. Diese weit gefasste Definition umfasst alles von IoT-Geräten bis hin zu Unternehmenssoftware-Plattformen und Container-Images, die über Registries verteilt werden. Hersteller sind verpflichtet, Produkte sicher zu gestalten, Schwachstellen während des gesamten Produktlebenszyklus zu verwalten und Transparenz über die Softwarezusammensetzung zu bieten.

Technische Details/Implikationen

Der CRA stellt sicher, dass Hersteller vor der Markteinführung eines Produkts eine Bewertung durchführen, um die Einhaltung der Cybersicherheitsanforderungen zu garantieren. Nach dieser Bewertung können sie das CE-Zeichen anbringen und eine Konformitätserklärung beilegen. Nach der Markteinführung müssen Hersteller Schwachstellen im Produkt während seiner gesamten Lebensdauer verwalten und aktiv ausgenutzte Schwachstellen sowie schwerwiegende Vorfälle melden.

Die Regelung steht im Zusammenhang mit anderen EU-Vorgaben wie NIS2, die sich auf die Cybersicherheit wesentlicher und wichtiger Einrichtungen konzentriert. Während der CRA auf die Sicherheit von Produkten abzielt, regelt NIS2 die Sicherheit von Organisationen. Eine spezielle Prüfung wurde eingeführt, um zu bestimmen, wann Cloud-Komponenten unter den CRA fallen. Diese Prüfung umfasst die Bedingungen, ob die Verarbeitung remote erfolgt, ob das Produkt ohne diese Funktionalität seine Kernfunktion verlieren würde und ob der Hersteller für die Entwicklung oder Kontrolle dieser Komponente verantwortlich ist.

Fazit/Ausblick

Der EU Cyber Resilience Act wird die Cybersicherheitslandschaft in Europa erheblich verändern und Hersteller sowie Anbieter vor neue Herausforderungen stellen. Unternehmen sollten sich frühzeitig auf die bevorstehenden Anforderungen vorbereiten, um die Compliance fristgerecht sicherzustellen.

Originalartikel

Veröffentlicht von Docker Blog

Zum Original-Artikel

Automatisierte Zusammenfassung

Dieser Beitrag wurde automatisch aus dem englischsprachigen Original erstellt und auf Deutsch zusammengefasst. Wir bieten diesen Service an, um Sie bei der oft zerklüfteten und überwiegend englischsprachigen News-Situation im Bereich Cloud-Native Software, Souveräne Cloud, Kubernetes und Container-Technologien zeitnah auf Deutsch zu informieren.

Ähnliche Artikel

Kontakt aufnehmen