Aufzeichnung vom 12. Juni 2024
Der Cyber Resilience Act trägt der wachsenden Bedrohungslage für IT-Systeme Rechnung und zwingt Hersteller, dem Thema Produktsicherheit einen größeren Stellenwert einzuräumen: Produkte mit digitalen Elementen dürfen in der EU nur dann noch auf den Markt gebracht werden, wenn die Hersteller einheitliche hohe Cybersicherheitsstandards einhalten – und zwar während des gesamten Produktlebenszyklus.
Konkret bedeutet das auf Produktebene, dass jedes von der Regulierung betroffene Gerät in der Lage sein muss, Security-Updates zu empfangen und zu verarbeiten. Der Gesetzgeber schreibt zwar nicht vor, wie das zu erfolgen hat, in vielen Fällen wird sich das praktisch bzw. aus Effizienzgründen jedoch nur Over-The-Air umsetzen lassen. Das bedeutet, dass das Gerät (embedded) technisch dazu in der Lage und oftmals auch eine entsprechende Connectivity gewährleistet sein muss.
Nachdem der Cyber Resilience Act im März dieses Jahres vom EU-Parlament angenommen wurde, muss er jetzt noch den EU-Rat passieren, um in Kraft zu treten (es bedarf keiner Umsetzung in nationales Recht). Danach gilt für Hersteller eine Frist von 36 Monaten, nach der die Vorgaben nachweislich eingehalten werden müssen.
Weitere Informationen zum Cyber Resilience Act finden Sie bspw. hier übersichtlich zusammengefasst.
Die Websession:
In unserer Websession geben wir Ihnen einen kurzen Überblick über den aktuellen Stand der Gesetzesinitiative und konzentrieren uns dann auf die Auswirkungen auf Produktebene:
- Technische Anforderungen für Remote-Security-Updates von Produkten und Maschinen im Feld: Wie sollte man vorgehen und wie nicht, z. B. beim Flottenmanagement oder bei beim Software Lifecycle Management (Dos &Donts). Darüber hinaus erörtern wir Möglichkeiten einer nachträglichen Ertüchtigung von Produkten (embedded).
- Schaffung von Mehrwerten durch den Cyber Security Act: Sind technische Anforderungen wie Over-the-Air Zugriff auf Produktebene umgesetzt, ist damit gleichzeitig die Grundlage für (produkt-)datengetriebene Services und Geschäftsmodelle gelegt. IoT-Szenarien wie die Bereitstellung von Performancedaten über ein Condition Monitoring, Echtzeitlokalisierung, bidirektionale Kommunikation und Remote-Zugriff bis hin zu Predictive Maintenance und Equipment-as-a-Service werden so ohne größeres technisches Investment (auf dem embedded Gerät) möglich.
- Spätestens durch den Cyber Security Act sollten die Themen Software und Security als weitere Disziplin neben der Mechanik und Elektrik voll in den Produktentwicklungsprozess integriert werden – bzw. aufgrund von Dokumentationspflichten in den gesamten Product Lifecycle Management Prozess: Vom Requirementsmanagement über den Betrieb bis zum End-of-Life. Wir zeigen Ihnen welche Möglichkeiten hier bspw. in SAP bestehen.
Der Cyber Resilience Act – Herausforderung und Chance zugleich.