Floragasse 7 – 5th floor, 1040 Vienna
Subscribe to our Newsletter

CRA-Assessment

Der Cyber Resilience Act (VO EU 2024/2847) betrifft alle Produkte mit digitalen Elementen und „vernetzte“ Produkte. Darunter fallen Hardware, aber auch Middleware und Software. Für die Marktzulassung in der EU müssen diese Produkte ab Januar 2027 ein CE-Label erlangen. Hersteller sind dabei auf unterschiedlich aufwendige Verfahren zur Konformitätsbewertung angewiesen. Diese Mechanismen sind an sich nichts neues, die Konformitätsbewertung von Cybersicherheitsmaßnahmen allerdings schon.

Wir beginnen mit einem Workshop zur Abgrenzung der Produktdefinition, der Funktionen, des Verwendungszwecks und prüfen ganz grundsätzlich die Anwendbarkeit des CRA oder von Ausnahmeregelungen. In weiterer Folge definieren wir die Produktkategorie (Standard, wichtig I/II, kritisch) und legen Verantwortlichkeiten für die Erfüllung der CRA-Konformität oder der Konformität integrierter Komponenten fest (gekauft oder selbst entwickelt). Wir untersuchen die Anwendbarkeit und vorhandene Erfahrungen der Organisation mit Standards und Normen, wie beispielsweise der IEC 62443-Reihe oder der EN 18031.

Die Durchführung eines weiteren Workshops stellt den Kontext des Produkts zu seinem Einsatz bei Kunden her und wir erstellen ein Threat Model auf Basis der vorhersehbaren Nutzung und der wesentlichen Funktionen.

Wir bewerten die ermittelten Risiken über den Lebenszyklus des Produktes (Herstellung, Lieferung, Nutzung, Wartung etc.) und definieren dadurch die "Ausnutzbarkeit von Schwachstellen". Abschließend bewerten wir den Status von bereits umgesetzten Cybersicherheitsmaßnahmen und -prozessen im Hinblick auf die Anforderungen des Produkts.

Unser CRA-Assessment ermöglicht eine Einschätzung, inwieweit Produkte unter den CRA fallen und zur Bestimmung eines Reife- bzw. Erfüllungsgrades hinsichtlich umgesetzter Sicherheits- bzw. Risikomanagementmaßnahmen.

Zur Bewertung werden die Anforderungen des CRA Anhang I herangezogen. Das Assessment ist dennoch keine CE-Konformitätsbewertung. Die Ergebnisse können jedoch für eine solche herangezogen werden.

Benefits

  • Erhebung des IST-Stands in Form von Workshops gemeinsam mit dem Kernteam des Auftraggebers.
  • Analyse der Umsetzung der vom CRA geforderten Cybersicherheitsmaßnahmen.
  • Bewertung des aktuellen Reife- und Erfüllungsgrads der CRA Anforderungen.
  • Präsentation der Ergebnisse als Managementpräsentation und Maßnahmenkatalog.
  • Management-Awareness für Sicherheitsprobleme durch Aufzeigen von blinden Flecken.

Ergänzende Leistungen

Anfrage