Der durch Cyberkriminalität verursachte Schaden steigt jährlich an. © Parasoft

Die Verordnung trat am 10. Dezember 2024 in Kraft. Die zentralen Verpflichtungen gelten ab dem 11. Dezember 2027; Anforderungen zur Meldung von Schwachstellen und Vorfällen greifen bereits ab dem 11. September 2026.

Relative Reparaturkosten, basierend auf dem Zeitpunkt der Feststellung. © Parasoft, Quelle: National Institute of Science and Technology

Der CRA erfasst Produkte mit digitalen Elementen. Viele Anforderungen befinden sich jedoch in Übergangsregelungen und gelten nicht sofort vollständig. Im Jahr 2026 treten bestimmte grundlegende Sicherheitsmaßnahmen und Risiko-managementpraktiken in Kraft, sofern entsprechende harmonisierte Normen verfügbar sind. Ab Januar 2027 gelten für alle betroffenen Produkte verbindliche Meldepflichten für Sicherheitslücken. Bis Dezember 2027 müssen alle CE-gekennzeichneten Produkte, die auf den EU-Markt gebracht werden, den CRA vollständig erfüllen.

Was ist zu tun?

• Vorgabe "Secure by Design": Sicherheit ist von Beginn an in die Softwareentwicklung zu integrieren. Dazu gehören sichere Programmierstandards, reduzierte Angriffsflächen und das Beheben bekannter Sicherheitslücken vor Veröffentlichung.
• Lebenszyklus-Sicherheit und Schwachstellenmanagement: Der CRA erfordert eine kontinuierliche Überwachung und zeitnahe Updates. Automatisierte Patches und Scans werden damit verpflichtend.
• Lieferkettenverantwortung: Bei Verwendung von Dritt-anbieter-Komponenten liegt die Verantwortung für deren Sicherheitsstatus beim Anbieter. Die Bedeutung von Software-Stücklisten (SBOM) und Abhängigkeitsmanagement steigt.

Was Sie bereits jetzt tun können

1. Bestehende Lösungen überprüfen: Sicherheitskontrollen mit CRA-Anforderungen abgleichen, um Compliance-Lücken zu identifizieren, zum Beispiel Build-Systeme, Deployment-Skripte, Container-Orchestrierung.
2. Sicherheit in DevOps integrieren: Sicherheitsprüfungen früh im Entwicklungsprozess verankern (‚Shift Left‘), etwa durch statische Analysen, dynamische Tests und Scans in CI/CD-Pipelines.
3. Berichterstattung vorbereiten: Prozesse zur Erkennung und Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle einrichten. Tools können helfen, Berichte gemäß den Sicherheitsstandards zu erstellen. Dies reduziert Auditkosten und -risiken.
4. Standards nutzen: Relevante Standards sind unter anderem OWASP, CWE und CERT.
5. Software bewerten: Testergebnisse regelmäßig prüfen und bei Bedarf externe Assessments frühzeitig einplanen, um Engpässe zu reduzieren.

‚Shift Left‘ und Testautomatisierung

All dies mag negative Auswirkungen auf die unternehmens-internen SDLC-(Software Development Life Cycle)-Zeitpläne haben. Es gibt jedoch Möglichkeiten, sich im Bereich Cyber-sicherheit einen Vorsprung zu verschaffen. Viele Unternehmen setzen Sicherheitstests erst spät im Entwicklungsprozess ein. Sicherheit lässt sich nicht nachträglich "hineintesten"; sie sollte früh integriert werden (‚Shift Left‘). Dazu gehört der Einsatz von Standards (OWASP, CWE und CERT) sowie statische Codeanalysen in Entwicklungsumgebungen und CI/CD-Pipelines.

• Sicherer Code reduziert den späteren Prüfaufwand. Automatisierte API- und Sicherheitstests ermöglichen es, Prüfungen in frühere Entwicklungsphasen zu verlagern und Probleme früher zu erkennen.
• Eine effektive API-Sicherheitsstrategie kann bestehende Tests nutzen und um Bedrohungsmodelle erweitern. Auch Infrastruktur-Tools wie Service-Virtualisierung unterstützen die Sicherheit:
• Virtuelle Systeme ermöglichen Tests unabhängig von realen, eingeschränkt verfügbaren oder kostenintensiven Systemen.
• Angriffsszenarien können simuliert werden, ohne produktive Systeme zu gefährden. Virtuelle Assets lassen sich so konfigurieren, dass sie sich so verhalten, als hätten sie Schwachstellen oder würden Angriffe auslösen oder weiterleiten.

Hinweis zur Toolauswahl

Tools zur Durchsetzung von Sicherheitsstandards sollten hinsichtlich ihres tatsächlichen Funktionsumfangs geprüft werden. Entscheidend ist, welche Elemente des Standards konkret abgedeckt werden.

Der Autor: Arthur Hicken ist Software Evangelist bei Parasoft. © Parasoft

Zudem sollten Berichte und Ausgaben den Anforderungen von Compliance und Audits entsprechen, einschließlich korrekter Konfiguration, die Zuordnung zu einem Standard, Abweichungen sowie aktueller Ergebnisse. So lassen sich Shift-Left- und Automatisierungsbemühungen maximieren.

Die Cyberresilienz-Verordnung ist mehr als nur eine regulatorische Maßnahme zur Verbesserung der Sicherheit digitaler Produkte. Für Unternehmen bedeutet sie zusätzliche Anforderungen, aber auch die Möglichkeit, Prozesse zu strukturieren und Risiken zu reduzieren. Eine frühzeitige Integration von Sicherheitsmaßnahmen erleichtert die Einhaltung der Vorgaben bis Ende 2027 und kann potenzielle Marktzugangsprobleme oder Sanktionen vermeiden.