Einhaltung des Cyber Resilience Act mit Lucent Sky AVM

Im heutigen digitalen Zeitalter ist die Cybersicherheit von größter Bedeutung. Der Cyber Resilience Act (CRA), formell bekannt als Verordnung (EU) 2024/2847, wurde vom Europäischen Rat angenommen und trat am 10. Dezember 2024 in Kraft. Diese Verordnung legt strenge Cybersicherheitsstandards für Hardware- und Softwareprodukte mit digitalen Elementen fest und soll sicherstellen, dass sie während ihres gesamten Lebenszyklus sicher sind. Für Unternehmen und Organisationen, die diese Vorschriften einhalten wollen, bietet Lucent Sky AVM eine robuste Lösung.

Das Verständnis des Cyber Resilience Act

Die CRA schreibt vor, dass Hersteller digitaler Produkte, sowohl Hardware als auch Software, umfassende Cybersicherheitsanforderungen erfüllen müssen. Dazu gehören der Entwurf, die Entwicklung und die Herstellung von Produkten mit Blick auf die Sicherheit, die Freigabe von Produkten ohne bekannte Schwachstellen und die Bereitstellung von Sicherheitsupdates während der gesamten Lebensdauer der Produkte. Ziel ist es, die allgemeine Cybersicherheit der auf dem EU-Markt erhältlichen Produkte zu verbessern, Verbraucher und Unternehmen zu schützen und die Sicherheit der Software-Lieferketten zu stärken.

Die CRA gilt für „Produkte mit digitalen Elementen“ (PDE), die auf dem EU-Markt kommerziell verfügbar gemacht werden. Zu den PDE gehören sowohl Software als auch Produkte, die sowohl Software als auch Hardware mit einer Verbindung zu einem Netz oder einem anderen System enthalten. Damit ist die CRA auf eine breite Palette von eigenständiger Software und Geräten anwendbar, z. B. Haushaltsgeräte, IoT-Geräte und Netzwerkausrüstung für Verbraucher und Unternehmen.

Die Europäische Kommission hat PDEs in Risikokategorien eingeteilt, für die verschiedene Konformitätsstufen erforderlich sind. Für Produkte, die als kritische Produkte und wichtige Produkte der Klasse II eingestuft sind, müssen die Hersteller mit einer unabhängigen Zertifizierungsstelle zusammenarbeiten, um die Einhaltung der Vorschriften zu überprüfen; für Produkte, die als wichtige Produkte der Klasse I eingestuft sind, müssen die Hersteller ebenfalls mit einer unabhängigen Zertifizierungsstelle zusammenarbeiten, es sei denn, die Produkte entsprechen bereits einer harmonisierten Norm oder verwenden eine von der Europäischen Kommission festgelegte gemeinsame Spezifikation; und für Produkte der Standardkategorie können die Hersteller eine Selbstbewertung durchführen, um die Einhaltung der CRA-Cybersicherheitsanforderungen zu bestätigen.

“The [Cyber Resilience] Act brings security in everyone’s home, in all our businesses and in every product that is interconnected. Cybersecurity is a matter for society, no longer an industry affair.”


Margaritis Schinas, Vice-President of the EU Commission

Umfang und Zeitplan der Einhaltung

Die Verordnung trat am 10. Dezember 2024 in Kraft, und ihre Anwendbarkeit erstreckt sich über einen Zeitraum von drei Jahren, was den Unternehmen Zeit für die Umsetzung der Anforderungen gibt. Die meisten Bestimmungen, wie die Cybersicherheitsanforderungen und die Bestimmungen zur CE-Kennzeichnung, gelten ab Dezember 2027. Einige Bestimmungen haben einen kürzeren Zeitrahmen - die Meldepflichten für Sicherheitslücken und Cybervorfälle gelten ab September 2026.

Die Nichteinhaltung dieser Anforderungen kann teuer werden. Unternehmen, die die Cybersicherheitsanforderungen oder die Meldepflichten nicht erfüllen, können mit einer Geldstrafe von bis zu 15 Millionen Euro oder 2,5 % ihres weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist. Die Behörden der EU-Mitgliedstaaten können auch die Rücknahme der Produkte vom EU-Markt verlangen. In Verbindung mit dem Verlust der CE-Kennzeichnung werden Unternehmen und Produkte, die die Vorschriften nicht einhalten, im Wesentlichen vom europäischen Markt ausgeschlossen.

Die Meldepflicht für Sicherheitslücken tritt in 4 Monaten in Kraft, sodass Hersteller nur ein begrenztes Zeitfenster haben, um die Anforderungen zu erfüllen. Erfahren Sie mehr darüber, wie Lucent Sky AVM Ihrem Unternehmen helfen kann, die Meldepflichten rechtzeitig zu erfüllen.

  December 2024

Das Cyber Resilience Act ist in Kraft getreten

  September 2026

Die Meldepflicht für Schwachstellen und Cyber-Vorfälle beginnt zu gelten

  December 2027

Cybersicherheitsanforderungen und die meisten Bestimmungen beginnen zu gelten

Wie Lucent Sky AVM die Einhaltung der CRA-Richtlinien erleichtert

Die CRA enthält zwei Gruppen grundlegender Anforderungen: Anforderungen an die Cybersicherheit von Produkten und Anforderungen an den Umgang mit Schwachstellen, wie in Anhang I des Gesetzes dokumentiert. Als Lösung zur Erkennung und Behebung von Anwendungsschwachstellen ist Lucent Sky AVM in einer einzigartigen Position, um Unternehmen und Organisationen dabei zu helfen, dass ihre Produkte diese grundlegenden Anforderungen erfüllen.

  1. Automatische Erkennung und Behebung von Sicherheitslücken: Lucent Sky AVM scannt Quellcode, Binärdateien und Softwarekomponenten auf bekannte und unbekannte Schwachstellen und bietet automatische Abhilfemaßnahmen wie Instant Fixes und Anleitungen zur Aktualisierung von Abhängigkeiten, um erkannte Schwachstellen effizient zu beseitigen und sicherzustellen, dass Produkte ohne bekannte Schwachstellen veröffentlicht werden.
  2. Integration in den SDLC: Lucent Sky AVM lässt sich in den Lebenszyklus der Softwareentwicklung integrieren und arbeitet nativ mit gängigen Entwicklertools zusammen. Dadurch können Entwickler Sicherheitsprobleme frühzeitig und während des gesamten Softwareentwicklungsprozesses erkennen und beheben - ein wichtiger Baustein des von der CRA geforderten Prinzips „Security by Design“.
  3. Absicherung von Komponenten Dritter: Lucent Sky AVM identifiziert Softwarekomponenten und Abhängigkeiten, die von Anwendungen verwendet werden, erstellt Software-Stücklisten und generiert Anleitungen für Abhängigkeits-Updates, die Unternehmen dabei helfen, neu entdeckte Schwachstellen zu beheben und regelmäßige Sicherheits-Updates für ihre Produkte zu ermöglichen.
  4. Umfassende Berichterstattung: Lucent Sky AVM unterstützt gängige Industriestandards wie OWASP Top 10, PCI DSS, MISRA C/C++ und ist als CWE-Compatible zertifiziert. Digital signierte Bewertungsberichte enthalten Details zu bekannten und unbekannten Schwachstellen, die in den Produkten identifiziert wurden, und deren Risiko sowie Software-Stücklisten (SBOM), die die technischen Dokumentationsanforderungen der CRA erfüllen.

Jetzt handeln, um die Zukunft zu sichern

Die Einhaltung des Cyber Resilience Act ist für Unternehmen, die ihre digitalisierten Produkte in der Europäischen Union vermarkten wollen, von entscheidender Bedeutung. Indem sie jetzt mit der Einhaltung der CRA im Softwareentwicklungszyklus beginnen, stellen Unternehmen nicht nur sicher, dass sie für das Jahr 2027 und darüber hinaus marktfähig sind, sondern verbessern auch die Sicherheit und Widerstandsfähigkeit ihrer Produkte schon heute.

Lucent Sky bietet eine umfassende Lösung, die Unternehmen dabei hilft, die Cybersicherheitsanforderungen der CRA effizient zu erfüllen und ihren Software-Sicherheitsprozess zu beschleunigen. Setzen Sie sich mit uns in Verbindung, um mehr darüber zu erfahren, wie Lucent Sky AVM Ihrem Unternehmen helfen kann, die CRA-Anforderungen effizient zu erfüllen.

Kontaktiere uns
Try Lucent Sky AVM