Im Kampf gegen die steigende Zahl von Angriffen auf vernetzte Ger\u00e4te und deren Software hat sich die EU auf Mindeststandards geeinigt. Der sogenannte Cyber Resilience Act (CRA) legt fest, dass vernetzbare Produkte, auch als IoT-Ger\u00e4te bekannt, bestimmte Mindestanforderungen erf\u00fcllen m\u00fcssen, um das CE-Zeichen tragen zu d\u00fcrfen. Zudem m\u00fcssen sie f\u00fcr mindestens f\u00fcnf Jahre mit Sicherheitsupdates versorgt werden. Eine Meldepflicht f\u00fcr neue Sicherheitsl\u00fccken wird ebenfalls eingef\u00fchrt.<\/p>\n
Der CRA wurde als Reaktion auf die zunehmenden Angriffe auf die Lieferkette von Produkten entwickelt. Die EU-Beamtin betonte, dass die Sicherheit vernetzter Ger\u00e4te und Software von gro\u00dfer Bedeutung sei. Der Kompromiss sieht vor, dass beim Verkauf von IoT-Ger\u00e4ten grunds\u00e4tzlich eine gewisse Sicherheit gew\u00e4hrleistet sein muss. Zudem m\u00fcssen die Ger\u00e4te f\u00fcr mindestens f\u00fcnf Jahre mit Sicherheitsupdates versorgt werden. Eine verk\u00fcrzte Update-Versorgung soll nur in Ausnahmef\u00e4llen erfolgen, wenn eine k\u00fcrzere Nutzungsdauer zu erwarten ist.<\/p>\n
Die genauen Anforderungen f\u00fcr welche Ger\u00e4teklassen und Software gelten, werden in den Anh\u00e4ngen zum CRA festgelegt. Die Konformit\u00e4t soll durch Normen und Standards gew\u00e4hrleistet werden, die von den Herstellern selbst best\u00e4tigt werden m\u00fcssen. Produkte wie Babyphones oder vernetzte T\u00fcrklingeln m\u00fcssen jedoch strengere Anforderungen erf\u00fcllen. In besonders kritischen Situationen kann es notwendig sein, dass Dritte Produkte \u00fcberpr\u00fcfen und zertifizieren.<\/p>\n
Eine Meldepflicht an die nationalen Beh\u00f6rden wird eingef\u00fchrt, wenn den Betreibern neue Sicherheitsl\u00fccken auffallen. Diese Meldungen m\u00fcssen innerhalb von 24 Stunden an die nationalen Aufsichtsbeh\u00f6rden und die Europ\u00e4ische Beh\u00f6rde f\u00fcr Netz- und Informationssicherheit ENISA weitergeleitet werden. Der CRA soll 21 Monate nach Inkrafttreten in Kraft treten.<\/p>\n
Die neuen Bestimmungen werden voraussichtlich ab 2027 f\u00fcr alle vernetzbaren Produkte und Software gelten, sofern sie nicht bereits spezifischen Vorschriften in bestimmten Branchen unterliegen. Verbrauchersch\u00fctzer betonen, dass Verbraucher zu Recht erwarten, dass ihre IoT-Ger\u00e4te sicher sind und w\u00e4hrend der gesamten Nutzungsdauer sicher bleiben. Es wird jedoch kritisiert, dass sicherheitsrelevante Updates nur f\u00fcr einen festgelegten Mindestzeitraum zur Verf\u00fcgung gestellt werden m\u00fcssen.<\/p>\n
Der IT-Wirtschaftsverband Bitkom begr\u00fc\u00dft den Kompromiss grunds\u00e4tzlich, da er den Unternehmen Klarheit bietet. Er h\u00e4lt jedoch die dreij\u00e4hrige \u00dcbergangsfrist f\u00fcr zu knapp bemessen, da Unternehmen Zeit ben\u00f6tigen, um ihre \u00d6kosysteme umzustellen. Auch der Verband der Elektro- und Digitalindustrie ZVEI \u00e4u\u00dfert Bedenken bez\u00fcglich m\u00f6glicher Verz\u00f6gerungen bei Komponenten und der Verwendung digitaler Produkte auf dem EU-Markt.<\/p>\n
Es besteht noch Unsicherheit dar\u00fcber, ob Open-Source-Software die Anforderungen erf\u00fcllen muss. Laut Quellen aus der Kommission wird eine Regelung sicherstellen, dass den spezifischen Anforderungen entsprochen wird. Stiftungen, die Open-Source-Software entwickeln, ben\u00f6tigen demnach lediglich eine Cybersecurity Policy, w\u00e4hrend Hobby-Entwickler nicht betroffen sind. Die EU-Kommission hofft jedoch auch, dass die Sicherheit von Open-Source-Software von den neuen Regeln profitiert. So k\u00f6nnten Probleme zeitnah an die Entwickler zur\u00fcckgemeldet werden, wenn ein Software-Anbieter eine frei verf\u00fcgbare Verschl\u00fcsselungsbibliothek nutzt und dabei Schwachstellen entdeckt.<\/p>\n
Schlagw\u00f6rter: Cyber Resilience Act + Mindestanforderungen + Sicherheitsupdates<\/p>\n","protected":false},"excerpt":{"rendered":"
Im Kampf gegen die steigende Zahl von Angriffen auf vernetzte Ger\u00e4te und deren Software hat sich die EU auf Mindeststandards geeinigt. Der sogenannte Cyber Resilience Act (CRA) legt fest, dass vernetzbare Produkte, auch als IoT-Ger\u00e4te bekannt, bestimmte Mindestanforderungen erf\u00fcllen m\u00fcssen, um das CE-Zeichen tragen zu d\u00fcrfen. Zudem m\u00fcssen sie f\u00fcr...<\/p>\n","protected":false},"author":4,"featured_media":2386,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2387","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2387"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2387\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/2386"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}