Software Engineering & Electronics

Stausee und Damm von oben

Cyber-Regulierung: CRA und NIS

Was muss ich im Detail tun? Was sind die Normen? Was muss ich beachten?

Lesezeit 1 min

Das Inkrafttreten des Cyber Resilience Act (CRA, deutsch: Cyberresilienz-Verordnung (CRV)) bedeutet, das fast kein elektronisches Produkt mehr ohne Berücksichtigung der Cybersicherheit, ohne einen Damm zum Internet entwickelt werden kann. Viele Dinge, welche bisher nur für kritische Infrastrukturen galten (NIS-2: Network and Information Systems Directive 2022/2555) betreffen nun die meisten elektronische Produkte.

Was heisst das für Sie? Wir haben Informationen zu verschiedenen Aspekten von CRA und NIS-2 zusammengetragen:

  • Fragen, welche CRA und NIS-2 beide betreffen unten auf dieser Seite
  • Generelle Fragen zu CRA auf der allgemeinen CRA Seite
  • Fragen, welche hauptsächlich Entwickler interessieren auf der Entwickler CRA Seite

Melden Sie sich gerne bei Alois Cavelti, wenn Sie zusätzliche Fragen haben!

Was sind die Unterschiede zwischen CRA und NIS-2?

Rechtliche Unterschiede

Der grundlegende Unterschied ist das Scope: CRA gilt für Produkte mit digitalen Elementen, NIS-2 für Organisationen welche kritische Infrastruktur betreiben und deren Dienstleistungen. CRA ist daher eher eine technische Vorschrift, NIS-2 eher eine organisatorische.

Die gesetzliche Durchsetzung ist auch verschieden, während der CRA direkt in der ganzen EU anwendbar ist, wird/wurde NIS-2 von allen Mitgliedsstaaten in nationales Recht umgesetzt.

Unterschiede in der Implementation für Produktentwicklung

Grundsätzlich können Geräte für Märkte, welche nach NIS-2 reguliert sind, ähnlich oder gleich entwickelt werden wie für den CRA. Dies vor allem angesichts der immer noch fehlenden harmonisierten Normen.

Wie wirken CRA und DSGVO zusammen?

Die CRA fokussiert auf die Sicherheit des Produkts selbst, um das Risiko von Cyberangriffen zu minimieren. Die DSGVO (Datenschutzgrundverordnung) fokussiert auf den Schutz der personenbezogenen Daten, die durch diese Produkte verarbeitet werden.

Ein durch den CRA gesichertes Produkt ist ein starker technischer Hebel, um die Anforderungen der DSGVO zu erfüllen. 

Wie wirken CRA und EN 303 645 zusammen?

ETSI EN 303 645 ist ein technischer Standard, welcher den Cyber-Security Anteil der RED (Radio Equipment Directive, auch Funkanlagen-Richtlinie für Geräte mit Funkschnittstellen) und/oder auch den CSA (Cybersecurity Act) in klare technische und prozedurale Anforderungen umsetzen soll, dasselbe könnte die Norm auch für den CRA.

Da aber ETSI EN 303 645 zu keiner der Verordnungen harmonisiert ist, lässt sich aus der Erfüllung des Standards keine Konformitätsvermutung ableiten.

Was ist eine «Konformitätsvermutung»?

Die EU Kommission kann Normen im «Official Journal» als zu gewissen Verordnungen «harmonisiert» ausweisen. Wenn nun ein Produkt die Anforderungen der (harmonisierten) Norm erfüllt, geht die Aufsichtsbehörde davon aus, dass auch die entsprechenden gesetzlichen Anforderungen («essential requirments») des entsprechenden Verordnung erfüllt sind, dies ist die Konformitätsvermutung. Dadurch erleichtern klare Normen die CE-Kennzeichnung erheblich. 

 

Alois Cavelti

Haben Sie zusätzliche Fragen? Haben Sie eine andere Meinung? Wenn ja, mailen Sie mir oder kommentieren Sie Ihre Gedanken unten!

Autor

Roger Hilzinger: Software
Roger Hilzinger

ist Dipl. Ing./BSc ZFH in Informatik und macht Software vom Sensor bis in die Cloud. Seine berufliche Laufbahn ist geprägt von einer tiefen Neugier für Innovationen und alles Neue in der digitalen Welt. Als Ausgleich zum technologischen Alltag hält er sich mit vielseitigem Sport fit und aktiv.

Beiträge dieses Autors
Alois Cavelti: Software/ Stv. Geschäftsführer
Alois Cavelti

ist Dipl. Elektroingenieur FH , Mitgründer, stellvertretender Geschäftsführer und Software-Entwickler. Er ist Spezialist für Architekturen und Software in C, C++ und C#. Er setzt sich für wartbare Architektur, Security und sauberen Code ein. Dafür schaut er gerne über den «embedded» Tellerand in andere Bereiche der Softwareentwicklung. Gesamtsysteme jeglicher Art und deren Zusammenhänge interessieren ihn. Alois bewirtschaftet eine 5'000 m2 Biodiversitätsinsel und bringt dabei Natur, Pferd und Mensch in Einklang. Er liebt gute (Film)Geschichten und gutes Essen.

Beiträge dieses Autors

Kommentare

Keine Kommentare

Was ist Ihre Meinung?

Einen Kommentar schreiben

Projekte? Ideen? Fragen? Machen wir einen kostenlosen Erst-Workshop!

+41 (0)44 555 39 00