media alt text

Der Cyber Resilience Act

Digitale Produkte, also Produkte mit digitalen Elementen insb. Schnittstellen, dürfen ab 2027 nur dann noch in der in der EU verkauft werden, wenn sie den Vorgaben des Cyber Resilience Acts entsprechen. Das bedeutet unter anderem, dass gewährleistet sein muss, dass jederzeit Security-Updates aufgespielt werden können.

Sind Sie davon betroffen?

Die Antwort darauf ist vergleichsweise einfach: Wenn Sie im Jahr 2027 oder danach Geräte, die über digitale Elemente – also eine Kombination von Hardware und Software - verfügen, in der EU in Verkauf bringen wollen, dann ja. Praktisch betrifft das so gut wie alle Geräte, die eine gewisse Intelligenz haben.

Ein besonderes Augenmerk wird hier auf sogenannte „Connected Products“ geworfen. Das sind alle Produkte, die über eine Schnittstelle verfügen. Dazu zählen Wi-Fi, LAN, NFC, aber auch alle Industrieschnittstellen wie zum Beispiel Modbus, CAN und RS485.

Für den Automobil- und Medizintechnikbereich gibt es bereits entsprechende Regelungen, deren Auswirkungen durchaus drastisch sein können: So stoppt bspw. Porsche den Verkaufs des Macans in der EU da die Update-Fähigkeit nicht gewährleistet werden kann.

Was ist für Unternehmen auf Produktebene zu beachten?

Die Herausforderungen sind immer individuell, aber es gibt typische Problemstellungen

Wie sind Sie betroffen?

Fordern Sie hier eine Liste typischer Herausforderungen inklusive skizzierter Lösungsansätze an!

Technische Update-Fähigkeit

Jedes vom Cyber Resilience Act betroffene Gerät muss in der Lage sein, Security-Updates zu empfangen und zu verarbeiten. Im Gesetz ist zwar nicht geregelt, wie das umgesetzt werden muss. Mit Blick auf Kundenfreundlichkeit und Effizienz wird sich die Verteilung von Updates in der Praxis oftmals nur Over-the-Air abbilden lassen.

Das bedeutet, dass das Produkt auf Embedded-Ebene dazu in der Lage sein und auch die notwendige Konnektivität gewährleistet sein muss. Daraus ergeben sich spezifische technische Anforderungen für Remote Security Updates, für das Flottenmanagement oder mit Blick auf den Software-Lifecycle. Gegebenenfalls müssen Produkte auch nachträglich embedded ertüchtigt werden.

SAP-Integrierte Produktentwicklung

Spätestens durch den Cyber Security Act sollten die Themen Software und Security als weitere Disziplin neben der Mechanik und Elektronik voll in den Produktentwicklungsprozess integriert werden bzw. aufgrund von Dokumentationspflichten in den gesamten Product Lifecycle Management Prozess – vom Requirementsmanagement über den Betrieb bis zum End-of-Life.

Die All for One bietet hierzu einen integrativen Ansatz, bestehend aus Beratung und SAP-Lösungsbausteinen, der insbesondere auch mit Blick auf den Cyber Resilience Act Transparenz darüber gewährleistet, welcher Kunde welches Produkt mit welchem Softwarestand im Einsatz hat. Darüber hinaus ist damit auch jederzeit nachvollziehbar, welche Anforderung durch welche Produktfunktion abgebildet wird, was große Synergien und Effizienzgewinne hinsichtlich der Entwicklung von neuen Produkten und Varianten ermöglicht.

Strategische Mehrwerte statt einfach nur Compliance

Hersteller müssen die Regelungen des Cyber Resilience Acts einhalten. Aber statt einfach nur zu Investieren um compliant zu werden, lohnt es sich, durch die sowieso anfallenden Anstrengungen (strategische) Mehrwerte zu schaffen:

Zum einen werden über die technische Abbildung von Over-the-Air Updates gleichzeitig auch die Grundlage für (produkt-)datengetriebene Services und Geschäftsmodelle gelegt. IoT-Szenarien wie die Bereitstellung von Performancedaten über ein Condition Monitoring, Echtzeitlokalisierung, bidirektionale Kommunikation und Remote-Zugriff bis hin zu Predictive Maintenance und Equipment-as-a-Service werden so ohne größeres technisches Investment (auf dem embedded Gerät) möglich.

Zum anderen erfordert der Cyber Resilience Act eine engere Zusammenarbeit von Produktentwicklung und Service, als das in vielen Unternehmen der Fall ist.

Denn Security-Updates müssen über den gesamten Produktlebenszyklus gewährleistet werden – Service & Produktenwicklung müssen also immer auf den gleichen Informations- bzw. Datenstand zugreifen können.

Das ermöglicht bspw. ein smartes Kunden- und Serviceportal als zentrale Drehscheibe zwischen Hersteller und Kunde.

In diesem Portal können Software-Updates automatisch der jeweiligen Maschine zugeordnet und wie auch die gesamte Maschinendokumentation hinterlegt werden. Kunden können diese Updates dann selbstständig aufspielen. Dadurch ersparen Sie sich erhebliche Kosten und Technikereinsätze vor Ort für Software-Updates werden überflüssig.

Zwar ist der Cyber Resilience Act ein für alle in der EU aktiven Unternehmen gültiges Regelwerk, die Herausforderungen für das einzelne Unternehmen sind jedoch immer individuell.

Nutzen Sie deshalb unser Angebot über ein unverbindliches Erstgespräch!

Relevante Events & Websessions:

media alt text

Am 21. Januar 2025 in Filderstadt

Produktentwicklung meets Service

Am 21. Januar möchten wir Verantwortliche aus den Bereichen Produktentwicklung, Service und IT in Filderstadt zusammenbringen und thematisieren, wie über eine verbesserte Zusammenarbeit sowie integrierte Systeme, Tools und Prozesse den Herausforderungen der Zeit (Digitalisierung, internationaler Wettbewerb, Cyber Resilience Act, Fachkräftemangel u.v.m.) gemeistert werden können.

Hintergrund des Cyber Resilience Acts:

Der Cyber Resilience Act trägt der wachsenden Bedrohungslage für IT-Systeme Rechnung und zwingt Hersteller, dem Thema Produktsicherheit einen größeren Stellenwert einzuräumen: Produkte mit digitalen Elementen dürfen in der EU nur dann noch auf den Markt gebracht werden, wenn die Hersteller einheitliche hohe Cybersicherheitsstandards einhalten – und zwar während des gesamten Produktlebenszyklus.

Nachdem das EU-Parlament den Cyber Resilience Act schon im März 2024 angenommen hatte, wurde er am 10. Oktober formell vom EU-Rat verabschiedet und ist damit in Kraft getreten (es bedarf keiner Umsetzung in nationales Recht). Jetzt gilt für Hersteller eine Frist von 36 Monaten, nach der die Vorgaben nachweislich eingehalten werden müssen.

Weitere Informationen zum Cyber Resilience Act finden Sie bspw. hier übersichtlich zusammengefasst.

Wir unterstützen Sie umfassend hinsichtlich der Herausforderungen des Cyber Resilience Acts.

Schildern Sie uns Ihre Herausforderung in einem unverbindlichen Erstgespräch (ca. 30 Minuten). Wir freuen uns auf Ihre Nachricht!