Mit dem „Cyber Resilience Act“ (CRA) schafft die Europäische Union (EU) einen einheitlichen Rahmen für die Cybersicherheit von Produkten mit digitalen Komponenten. Sie ergänzt bestehende Spezialregelungen, ersetzt sie jedoch nicht. Stattdessen definiert sie einen horizontalen Mindeststandard, der nahezu alle digitalen Produkte umfasst – unabhängig davon, ob es sich um Hardware mit integrierter Software oder reine Softwarelösungen handelt. Ziel des CRA ist es, die Cybersicherheit innerhalb der Europäischen Union zu erhöhen.
Anforderungen des Cyber Resilience Acts an Hersteller
Der CRA kombiniert technische und organisatorische Sicherheitsanforderungen: Hersteller digitaler Produkte müssen Risiken strukturiert identifizieren, geeignete Schutzmaßnahmen einführen, Schwachstellen beheben und regelmäßige Sicherheitsupdates bereitstellen. Zusätzlich müssen sie eine aussagekräftige technische Dokumentation vorlegen, die Behörden eine fundierte Konformitätsprüfung ermöglicht.
EN‑40000‑Normenreihe als normative Leitplanke
Um flexibel auf unterschiedliche Technologien und Branchen anwendbar zu sein, sind die Vorgaben des Cyber Resilience Acts bewusst technologie- und sektorneutral formuliert. Diese Offenheit bringt jedoch Interpretationsspielräume mit sich, die die konkrete Umsetzung der Anforderungen erschweren können.
Hier setzt die EN‑40000‑Normenreihe an. Sie wurde entwickelt, um Umsetzungslücken zu schließen und verbindliche Orientierung zu geben. Die Normenfamilie versteht sich als fachlicher Unterbau des CRA und soll europaweit ein einheitliches Begriffs‑ und Verständnisgerüst schaffen. Ziel ist es, Herstellern, Prüfstellen und Aufsichtsbehörden einen gemeinsamen Rahmen zu geben, um die regulatorischen Vorgaben konsistent auszulegen.
Whitepaper „Cyber Resilience Act und EN 40000: Orientierung für Hersteller im neuen EU-Regulierungsrahmen“
Unser Whitepaper erläutert den Anwendungsbereich des Cyber Resilience Act als regulatorischen Ausgangspunkt für einheitliche Sicherheitsstandards und zeigt, wie die EN-40000-Normenreihe diese Anforderungen konkretisiert und einen europaweit einheitlichen Referenzrahmen schafft.
Für Hersteller sind drei Kernteile der EN-40000-Architektur besonders relevant, die gemeinsam das Fundament der Normenfamilie bilden. Sie definieren die Sprache (Vocabulary), die grundlegenden Prinzipien (Principles for Cyber Resilience) und den Umgang mit Schwachstellen (Vulnerability Handling), die für eine CRA-konforme Auslegung erforderlich sind.
Das Whitepaper beschreibt diese drei Normenteile im Detail und geht dabei insbesondere auf die Bedeutung der modularen Architektur für Hersteller ein. Zudem enthält die Publikation einen zeitlichen Fahrplan der EN-40000-Normung und einen Ausblick auf weitere angekündigte Teile der EN-40000-Familie.
Hersteller digitaler Produkte sollten frühzeitig beginnen, ihre Organisation entlang der Anforderungen des Cyber Resilience Acts und der Normen auszurichten, um regulatorische Sicherheit zu schaffen und die langfristige Vertrauenswürdigkeit ihrer Produkte zu stärken. Unser kompaktes Whitepaper fasst die dafür relevanten Informationen zusammen und gibt Handlungsempfehlungen, um Herstellern Orientierung im neuen EU-Regulierungsrahmen zu bieten.
Weitere interessante Inhalte zum Thema
Ihre Ansprechperson
Andrzej Wozniczka
Partner, Consulting - Cyber Security & Resilience
KPMG AG Wirtschaftsprüfungsgesellschaft