Sind Sie davon betroffen?
Die Antwort darauf ist vergleichsweise einfach: Wenn Sie im Jahr 2027 oder danach Geräte, die über digitale Elemente – also eine Kombination von Hardware und Software - verfügen, in der EU in Verkauf bringen wollen, dann ja. Praktisch betrifft das so gut wie alle Geräte, die eine gewisse Intelligenz haben.
Ein besonderes Augenmerk wird hier auf sogenannte „Connected Products“ geworfen. Das sind alle Produkte, die über eine Schnittstelle verfügen. Dazu zählen Wi-Fi, LAN, NFC, aber auch alle Industrieschnittstellen wie zum Beispiel Modbus, CAN und RS485.
Für den Automobil- und Medizintechnikbereich gibt es bereits entsprechende Regelungen, deren Auswirkungen durchaus drastisch sein können: So stoppt bspw. Porsche den Verkaufs des Macans in der EU da die Update-Fähigkeit nicht gewährleistet werden kann.
Was ist für Unternehmen auf Produktebene zu beachten?
Technische Update-Fähigkeit
Jedes vom Cyber Resilience Act betroffene Gerät muss in der Lage sein, Security-Updates zu empfangen und zu verarbeiten. Im Gesetz ist zwar nicht geregelt, wie das umgesetzt werden muss. Mit Blick auf Kundenfreundlichkeit und Effizienz wird sich die Verteilung von Updates in der Praxis oftmals nur Over-the-Air abbilden lassen.
Das bedeutet, dass das Produkt auf Embedded-Ebene dazu in der Lage sein und auch die notwendige Konnektivität gewährleistet sein muss. Daraus ergeben sich spezifische technische Anforderungen für Remote Security Updates, für das Flottenmanagement oder mit Blick auf den Software-Lifecycle. Gegebenenfalls müssen Produkte auch nachträglich embedded ertüchtigt werden.
SAP-Integrierte Produktentwicklung
Spätestens durch den Cyber Security Act sollten die Themen Software und Security als weitere Disziplin neben der Mechanik und Elektronik voll in den Produktentwicklungsprozess integriert werden bzw. aufgrund von Dokumentationspflichten in den gesamten Product Lifecycle Management Prozess – vom Requirementsmanagement über den Betrieb bis zum End-of-Life.
Die All for One bietet hierzu einen integrativen Ansatz, bestehend aus Beratung und SAP-Lösungsbausteinen, der insbesondere auch mit Blick auf den Cyber Resilience Act Transparenz darüber gewährleistet, welcher Kunde welches Produkt mit welchem Softwarestand im Einsatz hat. Darüber hinaus ist damit auch jederzeit nachvollziehbar, welche Anforderung durch welche Produktfunktion abgebildet wird, was große Synergien und Effizienzgewinne hinsichtlich der Entwicklung von neuen Produkten und Varianten ermöglicht.
Strategische Mehrwerte statt einfach nur Compliance
Hersteller müssen die Regelungen des Cyber Resilience Acts einhalten. Aber statt einfach nur zu Investieren um compliant zu werden, lohnt es sich, durch die sowieso anfallenden Anstrengungen (strategische) Mehrwerte zu schaffen:
Zum einen werden über die technische Abbildung von Over-the-Air Updates gleichzeitig auch die Grundlage für (produkt-)datengetriebene Services und Geschäftsmodelle gelegt. IoT-Szenarien wie die Bereitstellung von Performancedaten über ein Condition Monitoring, Echtzeitlokalisierung, bidirektionale Kommunikation und Remote-Zugriff bis hin zu Predictive Maintenance und Equipment-as-a-Service werden so ohne größeres technisches Investment (auf dem embedded Gerät) möglich.
Zum anderen erfordert der Cyber Resilience Act eine engere Zusammenarbeit von Produktentwicklung und Service, als das in vielen Unternehmen der Fall ist.
Denn Security-Updates müssen über den gesamten Produktlebenszyklus gewährleistet werden – Service & Produktenwicklung müssen also immer auf den gleichen Informations- bzw. Datenstand zugreifen können.
Das ermöglicht bspw. ein smartes Kunden- und Serviceportal als zentrale Drehscheibe zwischen Hersteller und Kunde.
In diesem Portal können Software-Updates automatisch der jeweiligen Maschine zugeordnet und wie auch die gesamte Maschinendokumentation hinterlegt werden. Kunden können diese Updates dann selbstständig aufspielen. Dadurch ersparen Sie sich erhebliche Kosten und Technikereinsätze vor Ort für Software-Updates werden überflüssig.
Zwar ist der Cyber Resilience Act ein für alle in der EU aktiven Unternehmen gültiges Regelwerk, die Herausforderungen für das einzelne Unternehmen sind jedoch immer individuell.
Nutzen Sie deshalb unser Angebot über ein unverbindliches Erstgespräch!
Relevante Events & Websessions:
Hintergrund des Cyber Resilience Acts:
Der Cyber Resilience Act trägt der wachsenden Bedrohungslage für IT-Systeme Rechnung und zwingt Hersteller, dem Thema Produktsicherheit einen größeren Stellenwert einzuräumen: Produkte mit digitalen Elementen dürfen in der EU nur dann noch auf den Markt gebracht werden, wenn die Hersteller einheitliche hohe Cybersicherheitsstandards einhalten – und zwar während des gesamten Produktlebenszyklus.
Nachdem das EU-Parlament den Cyber Resilience Act schon im März 2024 angenommen hatte, wurde er am 10. Oktober formell vom EU-Rat verabschiedet und ist damit in Kraft getreten (es bedarf keiner Umsetzung in nationales Recht). Jetzt gilt für Hersteller eine Frist von 36 Monaten, nach der die Vorgaben nachweislich eingehalten werden müssen.
Weitere Informationen zum Cyber Resilience Act finden Sie bspw. hier übersichtlich zusammengefasst.