cyber_resilience

Gültigkeit des Gesetzes: Der Cyber Resilience Act ist eine EU-Verordnung, die am 9. Januar 2024 (20 Tage nach der Veröffentlichung im Amtsblatt vom 27.12.2023) in Kraft getreten ist. Die vollständige Anwendbarkeit beginnt am 11. Dezember 2027. Wesentliche Prozesse (z. B. Meldungspflichten und deren Voraussetzungen) greifen bereits ab dem 11. September 2026.“ Ziel: Sicherstellung eines hohen Cybersicherheitsniveaus für Produkte mit digitalen Elementen auf dem EU-Binnenmarkt durch Einführung verbindlicher Sicherheitsanforderungen. Wesentliche Punkte: • Anwendung auf alle Produkte mit digitalen Elementen (d.h. „irgendwie vernetzt“), einschließlich Software und Hardware. • Klassifizierung der Produkte mit digitalen Elementen werden in mehrere Risikoklassen „Klasse I Produkte“ = Standardprodukte und „Klasse II Produkte“ = kritische Produkte unterteilt. Die Einstufung richtet sich nach dem potenziellen Schaden, den eine Schwachstelle verursachen könnte. • Verpflichtung der Hersteller zur Durchführung von Risikobewertungen und Implementierung von Sicherheitsmaßnahmen. • Einführung einer dokumentierten Komponentenlisten (Bill of Material für Software = SBOM = Softwarestückliste) • Einführung von Meldepflichten für Sicherheitsvorfälle und Schwachstellen. • Strenge Sanktionen bei Nichteinhaltung, einschließlich Bußgeldern von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes. Wer ist betroffen (Unternehmensgröße und Umsatz): • Alle Hersteller, Importeure und Händler von Produkten (Hardware und Software) mit digitalen Elementen, unabhängig von der Unternehmensgröße, innerhalb der EU oder für die EU. • Kleine und mittlere Unternehmen (KMU) erhalten Unterstützung durch Leitlinien und vereinfachte Verfahren. To-Do-Liste für Unternehmen: 1. Identifikation der betroffenen Produkte und deren Klassifizierung gemäß CRA. 2. Durchführung von Risikobewertungen für die Produkte. 3. Implementierung der erforderlichen Sicherheitsmaßnahmen und - funktionen. 4. Einrichtung von Prozessen zur Schwachstellenmanagement und - meldungen. 5. Schulung der Mitarbeiter in Bezug auf die Anforderungen des CRA. Erste Schritte: • Analyse des Produktportfolios zur Identifikation betroffener Produkte. • Beginn der Implementierung von Sicherheitsmaßnahmen und Dokumentation der Prozesse. • Identifizieren des Bedarfs von externer Unterstützung. • Bei Bedarf: Kontaktaufnahme mit zuständigen Behörden oder Fachberatern für Unterstützung bei der Umsetzung.

Cyber Resilience Act (CRA)

Expertise für die digitale EU-Regulierung Beratung, Unterstützung, Umsetzungsbegleitung, Projektmanagement zu DSGVO + KI, AI Act, Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märkte, zu Organisation, Prozessen/Abläufen, Anforderungen an IT-Systeme

Gültigkeit des Gesetzes: Der Cyber Resilience Act ist eine EU-Verordnung, die am 9. Januar 2024 (20 Tage nach der Veröffentlichung im Amtsblatt vom 27.12.2023) in Kraft getreten ist. Die vollständige Anwendbarkeit beginnt am 11.12.2027. Wesentliche Prozesse (z. B. Meldungspflichten und deren Voraussetzungen) greifen bereits ab dem 11.09.2026.“ Ziel: Sicherstellung eines hohen Cybersicherheitsniveaus für Produkte mit digitalen Elementen auf dem EU-Binnenmarkt durch Einführung verbindlicher Sicherheitsanforderungen. Wesentliche Punkte: • Anwendung auf alle Produkte mit digitalen Elementen (d.h. „irgendwie vernetzt“), einschließlich Software und Hardware. • Klassifizierung der Produkte mit digitalen Elementen werden in mehrere Risikoklassen „Klasse I Produkte“ = Standardprodukte und „Klasse II Produkte“ = kritische Produkte unterteilt. Die Einstufung richtet sich nach dem potenziellen Schaden, den eine Schwachstelle verursachen könnte. • Verpflichtung der Hersteller zur Durchführung von Risikobewertungen und Implementierung von Sicherheitsmaßnahmen. • Einführung einer dokumentierten Komponentenlisten (Bill of Material für Software = SBOM = Softwarestückliste) • Einführung von Meldepflichten für Sicherheitsvorfälle und Schwachstellen. • Strenge Sanktionen bei Nichteinhaltung, einschließlich Bußgeldern von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes. Wer ist betroffen (Unternehmensgröße und Umsatz): • Alle Hersteller, Importeure und Händler von Produkten (Hardware und Software) mit digitalen Elementen, unabhängig von der Unternehmensgröße, innerhalb der EU oder für die EU. • Kleine und mittlere Unternehmen (KMU) erhalten Unterstützung durch Leitlinien und vereinfachte Verfahren. To-Do-Liste für Unternehmen: 1. Identifikation der betroffenen Produkte und deren Klassifizierung gemäß CRA. 2. Durchführung von Risikobewertungen für die Produkte. 3. Implementierung der erforderlichen Sicherheitsmaßnahmen und funktionen. 4. Einrichtung von Prozessen zur Schwachstellenmanagement und -meldungen. 5. Schulung der Mitarbeiter in Bezug auf die Anforderungen des CRA. Erste Schritte: • Analyse des Produktportfolios zur Identifikation betroffener Produkte. • Beginn der Implementierung von Sicherheitsmaßnahmen und Dokumentation der Prozesse. • Identifizieren des Bedarfs von externer Unterstützung. • Bei Bedarf: Kontaktaufnahme mit zuständigen Behörden oder Fachberatern für Unterstützung bei der Umsetzung.

Cyber Resilience Act (CRA)

Expertise für die digitale EU-Regulierung Beratung, Unterstützung, Umsetzungsbegleitung, Projektmanagement zu DSGVO + KI, AI Act, Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märkte zu Organisation, Prozess/Abläufen, Anforderungen an IT-Systeme

Martin Bach Consulting

Martin Bach Consulting

Martin Bach Consulting

Martin Bach Consulting