Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
3 2 | w w w c o m p u t e r - a u t o m a t i o n d e · 0 9 -2 5 Re g u l i e r u n g Umsetzung des Cyber Resilience Acts in der Praxis von Stefan Bamberg und Elke Spiegelhalter Der Cyber Resilience Act stellt einige Anforderungen an Softwarehersteller Zu den Schwerpunkten der Regulierung zählen Produktsicherheit und Compliance Verschlüsselungsund Lizenzierungstools wie die ‚CodeMeter‘-Technologie können dabei helfen beide Aspekte umsetzen Viele Unternehmen beschäftigen sich inzwischen mit der Abwehr von Cyberangriffen und ergreifen entsprechende Maßnahmen Anbieter setzen technische Schutzmechanismen ein während staatliche Stellen Gesetze erlassen Die EU hat mit dem Cyber Resilience Act CRA eine Verordnung geschaffen die Anwender und Unternehmen vor Manipulationen und Angriffen schützen soll Im Mittelpunkt stehen Produkte mit digitalen Komponenten insbesondere deren Kauf und Nutzung Alle Produkte mit digitalen Komponenten die auf den europäischen Markt gebracht werden und eine direkte oder indirekte Verbindung ermöglichen müssen künftig CRAkonform sein Ausgenommen sind Produkte die nur zu Demonstrationszwecken auf Messen präsentiert werden oder bereits strengeren Regulierungen unterliegen etwa in den Bereichen Medizintechnik Automobil oder Luftfahrt Ziel ist es dass auf dem europäischen Markt nur sichere Produkte angeboten werden und deren Nutzung für Anwender und Unternehmen zuverlässig ist Da inzwischen zahlreiche Lösungen digitale Komponenten enthalten betrifft die Umsetzung des CRA mehr Unternehmen als zunächst angenommen Die Übergangsphase endet 2027 Bis dahin müssen Unternehmen in Europa die Vorgaben umsetzen andernfalls drohen Strafen in erheblicher Höhe Neben dem CRA müssen Unternehmen weitere Regularien beachten IEC 62443 fokussiert die Sicherheit von Embedded-Geräten in Automatisierungssystemen die EU-Richtlinie NIS2 betrifft Netzwerke und Informationssysteme und die EU-Verordnung zu künstlicher Intelligenz ergänzt diesen Rahmen Anforderungen des CRA und deren Umsetzung mit CodeMeter Maßnahmen zur Wiederherstellung der Compliance Artikel 13 Abs 21 CRA Hersteller müssen bei Bedarf Korrekturmaßnahmen durchführen können um die Compliance wiederherzustellen Ist das nicht möglich müssen Produkte vom Markt genommen werden Voraussetzung ist dass der Hersteller genau weiß welcher Kunde welche Produkte im Einsatz hat um Betroffene informieren und Updates bereitstellen zu können Die CodeMeter-Technologie stellt dafür notwendigen Tools bereit Beim Kauf erhalten Anwender ihre im Lizenzcontainer gespeicherten Nutzungsrechte Bild 1 Hersteller können Programme oder Programmteile durch Entzug von Lizenzen außer Betrieb nehmen oder ersetzen Auch regionale Lizenzen lassen sich anpassen Mit ‚CodeMeter License Central‘ oder dem ‚CodeMeter License Portal‘ können Hersteller Lizenzen zentral und über verschiedene Ebenen hinweg verwalten sowie Rollen und Rechte zuordnen So behalten sie jederzeit den Überblick über die im Feld befindlichen Lizenzen Zugriffskontrolle Anhang I Teil I 2d CRA Die Zugriffskontrolle betrifft die Prüfung und Verwaltung von Identitäten Es gilt zu klären wer auf eine Software zugreifen und wie diese Software genutzt werden darf Hersteller müssen einen Zugangsschutz gegen unautorisierte Nutzung gewährleisten etwa über Authentifizierung oder ein Berechtigungssystem Jede Softwareversion erhält eine eindeutige Lizenz sodass Anwender identifiziert und auf neue Versionen hingewiesen werden können Bild 2 Für länderspezifische Vorgaben können Lizenzen regional begrenzt werden Darüber hinaus lassen sich ‚Named User Licenses‘ einsetzen bei denen einzelne Nutzergruppen etwa