Der europäische CRA erfasst Sicherheitsanforderungen für alle digitalen Produkte, die in der Europäischen Union auf den Markt kommen. Testsysteme sind ein wichtiger Bestandteil, um diese Anforderungen zu erfüllen.
Was ist der CRA?
Die Europäische Union hat den Cyber Resilience Act (CRA) im Jahr 2020 als Teil der Cybersicherheitsstrategie der EU angekündigt. Der CRA wurde im März 2024 verabschiedet und trat im zweiten Halbjahr 2024 in Kraft. Einige Anforderungen traten bereits in diesem Jahr (2025) in Kraft und alle Anforderungen werden im Jahr 2027 wirksam sein.
Der CRA der EU schützt Verbraucher, indem er den Verkauf von Produkten mit unzureichenden Sicherheitsmerkmalen verbietet. Der CRA erfordert eine CE-Kennzeichnung, die anzeigt, dass das Produkt den neuen Standards entspricht. Dies erfordert, dass alle Hersteller und Händler Cybersicherheit in ihren Produkten priorisieren. Sie gilt für alle Produkte, die direkt oder indirekt mit einem Netzwerk oder einem anderen Gerät verbunden sind. Diese umfassende Definition wird für alles gelten: von Smartwatch über Babyfon bis hin zu Smartcar und Stromnetz.
Die Anforderungen der CRA der EU sind in Anhang I dokumentiert. Ob und wie diese Anforderungen für Ihr Testteam gelten, hängt davon ab, was Sie an Ihre Kunden liefern – ob Sie Produkte verändern, die an Verbraucher geliefert werden, oder ob Sie komplette Testsysteme erstellen und ausliefern.
Testen von Produkten für die Lieferung nach Europa
Wenn Sie Produkte testen, die nach Europa geliefert werden, müssen Sie möglicherweise mit Ihrem Sicherheitsteam zusammenarbeiten, um festzulegen, wie die CRA-Anforderungen in Ihr Testsystem einfließen können. Ihr Sicherheitsteam muss das Risiko bewerten, inwiefern sich eine Sicherheitslücke in Ihrem Testsystem auf die Einhaltung der Sicherheitsbestimmungen Ihrer Produkte auswirken würde. In einem Testsystem, das nur über analoge Signale mit Ihrem Gerät verbunden ist, kann das Risiko sehr gering sein. Wenn Ihr Testsystem jedoch über eine Netzwerkverbindung oder eine andere Testschnittstelle mit dem Gerät verbunden ist, kann dies die Wahrscheinlichkeit erhöhen, dass sich ein Angriff von Ihrem Testsystem auf das Gerät ausbreitet.
Vor einigen Jahren wurde festgestellt, dass digitale Bilderrahmen mit einem installierten Virus an Verbraucher ausgeliefert wurden, der dann andere Computer im Netzwerk des Endnutzers angegriffen hat. Die Ermittler fanden heraus, dass das Virus während des Herstellungsprozesses installiert wurde. Dies ist ein Beispiel für ein Szenario, das durch Testsystemsicherheit vermieden werden soll.
Aufbau von Testsystemen in Europa
Wenn Sie Komponenten für die Entwicklung von Testsystemen in Europa kaufen, müssen die verwendeten Komponenten ab dem Jahr 2027 die neue CE-Kennzeichnung tragen. Wenn Sie jetzt mit der Planung von Systemen beginnen, sollten Sie mit Ihren Lieferanten wie NI zusammenarbeiten, um sicherzustellen, dass diese den europäische CRA kennen und einhalten. Bei NI treffen wir uns bereits mit Kunden, um ihnen unsere Pläne für die Befolgung des CRA vorzustellen, damit sie auch weiterhin darauf vertrauen können, dass NI ihre zukünftigen Anforderungen erfüllt.
Lieferung von Testsystemen nach Europa
Wenn Sie Testsystementwickler sind und sich Ihre Kunden in Europa befinden, müssen Sie nachweisen, dass die von Ihnen entwickelten Systeme die Anforderungen des CRA erfüllen. Das bedeutet, dass die von Ihnen gekauften Komponenten die Anforderungen erfüllen und die CE-Kennzeichnung tragen müssen. Es bedeutet zudem, dass die Arbeit, die Sie zum Entwickeln und Erstellen des Systems verrichten, diesen Anforderungen entsprechen muss. Sie benötigen einen Entwicklungsplan, der alle Bestandteile von Anhang I berücksichtigt. Diese Anforderungen werden im nächsten Artikel zu den Anforderungen des CRA der EU behandelt.