Laut Pressemitteilung von ONEKEY ist in der Europäischen Union (EU) eine neue Regulierung verabschiedet worden, die alle Hersteller betreffe, die vernetzte Elektronikprodukte in EU-Länder liefern: der EU Cyber Resilience Act (CRA). Demnach hafteten die Hersteller für die Cybersicherheit ihrer Produkte, und zwar nicht nur bei der Auslieferung, sondern über den gesamten Produktlebenszyklus hinweg. Der Verkauf von Produkten mit Internetanschluss ohne regelmäßige Prüfung der Cyberresilienz werde mit Inkrafttreten des EU CRA illegal in Europa. Bei Verstößen drohen nach Angaben von des Cybersicherheitsunternehmen ONEKEY Strafen von bis zu 15 Millionen Euro (16,75 Millionen US-Dollar) bzw. bis zu 2,5 Prozent des weltweiten Jahresumsatzes (es gelte der jeweils höhere Betrag). Vernetzte Produkte, die den CRA-Anforderungen nicht genügten, dürften kein CE-Prüfsiegel tragen, wie es für den Verkauf in der Europäischen Union zwingend vorgeschrieben sei.
Großer und wachsender Markt in Europa
Schätzungen zufolge seien in der EU knapp 20 Milliarden vernetzte Geräte im Einsatz, darunter smarte Haushaltsgeräte, vernetzte Fahrzeuge, industrielle Sensoren und medizinische Gerätschaften. Prognosen zufolge solle die Zahl bis 2030 auf rund 30 Milliarden digitale Produkte steigen. Entsprechend werde eine Ausweitung des Marktvolumens von etwa 120 Milliarden Euro im Jahr 2024 auf 250 bis 300 Milliarden Euro im Jahr 2030 erwartet. „Kein internationaler Hersteller von Elektronikprodukten wird sich den europäischen Markt entgehen lassen wollen“, so Jan Wendenburg, CEO der ONEKEY GmbH und Sicherheitsexperte.
Wendenburg weise außerdem auf eine weitere regulatorische Besonderheit in der EU hin: Soweit in vernetzten Geräten direkt oder über eine Cloud-Anbindung Künstliche Intelligenz (KI) zum Einsatz komme, sei neben dem EU Cyber Resilience Act auch der EU Artificial Intelligence Act (EU AI Act) zu beachten, wenn internationale Unternehmen Elektronikprodukte in den Ländern der EU verkaufen wollten.
Geltung für Hersteller, Importeure und Händler
Nach Angaben von Jan Wendenburg gelte die CRA-Regulierung nicht nur für Produkthersteller, sondern auch für Importeure und Händler, die vernetzte Geräte innerhalb der EU in Verkehr brächten. Ebenso umfasse der Cyber Resilience Act alle Online-Plattformen, über die Verbraucher oder Unternehmen Elektronikprodukte in den europäischen Ländern erwerben könnten. Aufgrund der Anforderungen an die fortlaufende Softwareaktualisierung sei es notwendig, ein vernetztes Gerät bereits in der Entwicklungsphase auf den Vertrieb in der EU vorzubereiten.
Product Cybersecurity & Compliance Platform prüft EU-Konformität
Mit Product Cybersecurity & Compliance Plattformen (PCCP) könnten internationale Hersteller, Importeure und Händler ihre vernetzten Geräte, Maschinen und Anlagen vollautomatisch auf die Konformität mit dem EU Cyber Resilience Act prüfen. Dies umfasse sämtliche Produktklassen der Operational Technology (OT) sowie des Internet of Things (IoT).
Im Rahmen eines solchen automatisierten Prüfungsprozesses werde detailliert aufgezeigt, an welchen Stellen in der Produkt-Software Schwachstellen bestünden und ob diese relevant seien. Zusätzlich zeige die Prüfung mögliche Compliance-Verstöße auf. Die resultierende Dokumentation könne auch für die Nachweispflicht in Cybersicherheitsfragen genutzt werden und gegenüber EU-Behörden belegen, dass der Hersteller oder Inverkehrbringer den gesetzlichen Anforderungen entspreche.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware würden durch die KI-basierte Technologie vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung einer “Software Bill of Materials (SBOM)” könnten Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichten zudem die automatisierte 24/7-Überwachung der Cybersicherheit auch nach der Markteinführung über den gesamten Produktlebenszyklus hinweg.
Der zum Patent angemeldete, integrierte Compliance Wizard™ decke bereits den EU Cyber Resilience Act (CRA) sowie Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R155 und weiteren Standards ab.