Klaus Mochalski und Sarah Fluchs (admeritia) beleuchten den Cyber Resilience Act. Erfahren Sie, warum der CRA eine historische Schieflage beendet, weshalb Hersteller künftig in der Pflicht sind und wie Betreiber das neue Gesetz als mächtigen Hebel für ihre NIS-2-Compliance nutzen können.
Gut gesagt
Sarah Fluchs: „Im Prinzip ist der CRA die weltweit erste Regulierung, die dafür sorgt, dass Hersteller ihre Produkte nicht mehr ohne CBI verkaufen dürfen. [...] das ist erstmal schon ein Knaller“
Klaus Mochalski: „[...] Bisher waren die [...] Betreiber von Anlagen im Wesentlichen verantwortlich oder wurden in der Verantwortung gesehen und jetzt wechselt das so ein bisschen zu den Herstellern. Kann man das so sagen? Ist das wirklich so ein Paradigmenwechsel?“.
Sarah Fluchs: „Ich würde vielleicht sagen weniger Wechsel als eine Korrektur einer Schieflage. [...] Der CRA rückt jetzt diese Schieflage so ein bisschen gerade und sagt, okay, die Hersteller selbst haben auch eine Verpflichtung und die Verpflichtung liegt eben vor allem auch ganz darin, dass sie Informationen teilen müssen zur Cybersecurity [...]“.
Klaus Mochalski: „[...] Was bedeutet das denn jetzt für Betreiber von Anlagen? Müssen die jetzt bei der Beschaffung, bei der Projektierung, bei der Planung neue Dinge berücksichtigen [...] oder liegt die Verantwortung jetzt tatsächlich vollständig bei den Herstellern [...]?“.
Sarah Fluchs: „Die Betreiber haben erstmal unter dem CRA keine Pflichten, also die haben ja auch schon genug Pflichten in im Bereich NIS 2 und KRITIS [...]. Ich würde sagen, die haben eher Chance, weil sie natürlich plötzlich Rechte haben. Also sie können plötzlich Dinge einfordern von ihren Herstellern, die Hersteller sowieso liefern müssen unter dem CRA [...]“.
Sarah Fluchs: „[...] Es ist durchaus nicht verkehrt, seinen Lieferanten mal danach zu fragen, wo die eigentlich stehen mit der CRA Compliance und wie die eigentlich gedenken, die umzusetzen, weil es kann ja durchaus auch sein, dass es da Änderungen im Produktportfolio gibt“.
Kapitel
00:00 Einführung
06:01 Der Cyber Resilience Act: Grundlagen und Bedeutung
11:30 Debatte über den CRA in den USA und Europa
15:05 Rollen und Pflichten
18:10 Chancen für Betreiber
19:41 Zusammenhang zwischen CRA und IEC 62443
22:38 Aktuelle Zeitplanung und Herausforderungen
26:39 Empfehlungen für Betreiber und Fazit
Keywords
OT-Security, Cyber Resilience Act, CRA, Datenmodelle, KI, Regulierung, Lieferkette, Industrie 4.0, Sicherheitsstandards, EU, USA
