EU CRA und SBOM

Das Europäische Parlament hat am 12. März das Cyber-Resilienzgesetz (CRA) der EU genehmigt.

‍Der Rat wird voraussichtlich seine Annahme im April formalisieren. Daher ist das CRA bereit, ab Ende 2025 schrittweise in Kraft zu treten.

‍Das CRA zielt darauf ab, Verbraucher und Unternehmen vor Produkten mit unzureichender Sicherheit zu schützen. Um dies zu erreichen, auferlegt das CRA Cybersecurity-Verpflichtungen für alle Produkte mit digitalen Elementen (‘PDE’), die kommerziell auf den EU-Märkten verkauft werden.

‍Die PDE bezieht sich allgemein auf Software und vernetzte Geräte.

‍Das CRA legt Anforderungen für diese Produkte fest -

• Sicherzustellen, dass die Sicherheit während des Lebenszyklus des Produkts priorisiert wird

• Bestimmte wesentliche Cybersecurity-Anforderungen zu erfüllen

• Eine Planung für das Management von Schwachstellen durchzuführen

• Sicherheitsupdates während des Produktzyklus bereitzustellen

• Exploits innerhalb von 24 Stunden an das CISRT zu melden

• SBOM für interne und regulatorische Einreichungen zu erstellen, zu pflegen und zu verwenden