Cyber Resilience Act: Holen Sie sich rechtzeitig Ihre Zertifizierungen!

Um die Cybersicherheit in Europa strategisch zu stärken und strukturell zu verankern, schlug die EU-Kommission 2022 mit dem Cyber Resilience Act (CRA) eine Verordnung zur Verbesserung der Cybersicherheit und Cyber-Resilienz in der Europäischen Union vor. Sie umfasst Sicherheitsstandards für Soft- und Hardware-Produkte mit digitalen Elementen. Das europaweite Inkrafttreten wird für Juli 2024 erwartet. Damit beginnen auch die bis zu dreijährigen Umsetzungsfristen, die für viele Unternehmen zu einer großen Herausforderung werden können.
Von hoher Relevanz für die Erfüllung des CRA ist die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“, welche bereits einen Großteil der CRA-Anforderungen abdeckt. Die vier Teilbereiche der Norm beschreiben alle relevanten Sicherheitsaspekte von Steuerungs- und Automatisierungssystemen – von der Entwicklung, über den Betrieb bis zur Instandhaltung durch Updates.

NIS-2 und ISO 27001

Eine weitere relevante Norm stellt die international gültige ISO 27001 dar, die Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) definiert, damit sich Unternehmen ganzheitlich und strukturell mit dem Thema Informationssicherheit befassen und nicht nur punktuelle Maßnahmen ergreifen.

Die ISO 27001 ist in Teilen sowohl für den CRA relevant sowie in großem Maße für die Erfüllung der NIS-2 Direktive, die die Cyber- und Informationssicherheit von Unternehmen und Institutionen regelt. Im Gegensatz zum CRA muss NIS-2 jedoch erst bis Oktober 2024 von den verschiedenen Mitgliedsstaaten in nationales Recht überführt werden, was in Deutschland das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitete NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) wird.