Erfolgreich Cyberangriffe sowohl auf Hardware- als auch auf Softwareprodukte werden beunruhigend häufig. Laut Cybersecurity Ventures kostet Cyberkriminalität die Welt im Jahr 7 schätzungsweise 2022 Billionen US-Dollar. Bei einem so hohen Preis ist es kein Wunder, dass sowohl Unternehmen als auch Regierungen darauf aufmerksam werden. Die USA waren mit dem Vorreiter Präsidialerlass zur Verbesserung der Cybersicherheit des Landes, erlassen am 12. Mai 2021. Dies wurde gefolgt von das Secure Software Development Framework (SSDF) von NIST Dies entwickelt sich langsam zu einer etablierten neuen Best Practice, die in jedem Softwareprodukt selbstverständlich erforderlich ist. Die Europäische Union steht nicht untätig da – Der europäische Cyber-Resilienz-Gesetz ist ein Gesetzesvorschlag zur Stärkung der Cybersicherheit kritischer Infrastrukturen in der gesamten EU.
Die Feedback-Sammelphase für den Gesetzentwurf begann bereits im Dezember 2020, der erste Entwurf des Gesetzentwurfs wurde jedoch erst am 14. September 2022 veröffentlicht. Da eine solche groß angelegte Gesetzgebung möglicherweise weitreichende Auswirkungen haben könnte, dachten wir, wir würden dies tun Tauchen Sie ein und versuchen Sie zu erklären, worum es in diesem Gesetzentwurf geht und wer davon betroffen sein wird. Beginnen wir mit einem kurzen Überblick über die vorgeschlagene Gesetzgebung.
Die Rechnung aufschlüsseln: Was Sie wissen müssen
Ziel der ECRA ist es, die Cybersicherheit kritischer Infrastrukturen in der gesamten Europäischen Union (EU) zu stärken. Betroffen von dem Gesetz sind vor allem Betreiber wesentlicher Dienste und Anbieter digitaler Dienste. Diese sind in der bestehenden EU-Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen (NIS-Richtlinie) definiert und umfassen unter anderem die Sektoren Energie, Transport, Banken, Gesundheit und digitale Infrastruktur.
Das vorgeschlagene Gesetz würde auch für Anbieter digitaler Dienste gelten, die nicht unter die NIS-Richtlinie fallen, aber Online-Dienste für Verbraucher in der EU anbieten. Dazu gehören Online-Marktplätze, Cloud-Computing-Dienste und Suchmaschinen.
Da es darauf abzielt, alle vernetzten Geräte abzudecken, die nicht bereits durch andere EU-Rechtsvorschriften abgedeckt sind, ist es wahrscheinlich, dass es sich auf das Internet der Dinge und andere vernetzte Geräte auswirken würde, insbesondere auf solche, die bereits auf dem Markt sind.
Das vorgeschlagene Gesetz umfasst eine Reihe von Maßnahmen, wie zum Beispiel:
- Die Einrichtung eines Cybersicherheits-Zertifizierungssystems für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste.
- Die Schaffung einer Plattform zum Austausch von Cybersicherheitsinformationen, um Organisationen dabei zu helfen, Informationen über Cyberbedrohungen und -vorfälle auszutauschen. Der Gesetzentwurf sieht eine Meldepflicht für jedes Cybersicherheitsereignis innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) vor.
- Die Einführung einer gemeinsamen Methodik zur Bewertung von Cybersicherheitsrisiken und die Entwicklung von Richtlinien für das Risikomanagement.
- Die Einrichtung eines Europäischen Cyber-Resilienzzentrums zur Unterstützung der Mitgliedsstaaten im Falle eines Cyber-Angriffs.
Wichtig ist, dass die vorgeschlagene Gesetzgebung ein Zertifizierungssystem für IKT-Produkte, -Dienste und -Prozesse enthält. Der Zertifizierungsprozess umfasst eine Konformitätsbewertung durch eine benannte Konformitätsbewertungsstelle (CAB), um festzustellen, ob das Produkt, die Dienstleistung oder der Prozess die im Gesetz festgelegten Anforderungen erfüllt. Mit dem Gesetz wird ein europäisches Zertifizierungsgremium für Cyber-Resilienz eingerichtet, das für die Aufrechterhaltung des Zertifizierungssystems und die Sicherstellung seiner Konsistenz in der gesamten EU verantwortlich ist. Regelmäßige Tests und Audits sollen auch dann fortgesetzt werden, wenn der neue Vorstand dem Anbieter des betreffenden Produkts, der betreffenden Dienstleistung oder des betreffenden Prozesses eine Konformitätsbescheinigung ausgestellt hat. Eine fortlaufende Überwachung würde sicherstellen, dass die Einhaltung der Anforderungen des Gesetzentwurfs nicht nachlässt, sobald ein Zertifikat erteilt wird – die Einhaltung soll kontinuierlich aufrechterhalten werden.
Darüber hinaus schlägt die ECRA eine Reihe von Maßnahmen vor, um die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten zu verbessern und die Cybersicherheitsfähigkeiten der EU zu stärken. Dazu gehören die Einrichtung eines europäischen Kompetenzzentrums für Cybersicherheit und eines Netzwerks nationaler Koordinierungszentren für Cybersicherheit sowie die Entwicklung eines gemeinsamen Rahmens für die Meldung und Reaktion auf Cybersicherheitsvorfälle. Der Gesetzentwurf schlägt außerdem die Einrichtung einer europäischen Schwachstellendatenbank vor, um sich nicht ausschließlich auf die der USA zu verlassen NVD.
Der Gesetzentwurf umfasst auch die Marktüberwachung und -durchsetzung, um sicherzustellen, dass die neuen Standards in allen Mitgliedstaaten und für alle abgedeckten Geräte und Dienstleistungen, die auf dem EU-Markt angeboten werden, ordnungsgemäß eingehalten werden, unabhängig davon, wo sie hergestellt wurden.
Wie hängt es mit den jüngsten Best Practices in den USA zusammen?
Wie oben erwähnt, haben sich sowohl die USA als auch die EU vorgenommen, den Cybersicherheitsschutz ihrer jeweiligen Märkte zu verbessern. Daher ist es sinnvoll zu prüfen, ob einige der neuen US-Best Practices ihren Weg in die ECRA gefunden haben.
An diejenigen, die es kennen die SSDF (NIST 800-218) Einige der ECRA-Sprachen kommen Ihnen vielleicht bekannt vor. Der Gesetzentwurf sieht vor, dass Sicherheiten von Anfang an in Produkte einbezogen werden und nicht später „hinzugefügt“ werden. Die ECRA enthält Anforderungen für die Identifizierung und Verwaltung von Lieferkettenrisiken, und das vorgeschlagene europäische System zur Cybersicherheitszertifizierung würde wahrscheinlich die Verwendung von erfordern, auch wenn es noch nicht richtig definiert ist Software-Stückliste (SBOM) und sichere Softwareentwicklungspraktiken.
Der Vorschlag fordert außerdem die Umsetzung technischer und organisatorischer Maßnahmen zur Sicherung von Informationssystemen und Daten, einschließlich der Verwendung starker Authentifizierung und Verschlüsselung, Überwachungs- und Erkennungsfunktionen, Planung der Reaktion auf Vorfälle sowie regelmäßige Sicherheitstests und -überprüfungen – alles Elemente, die im Gesetz klar definiert sind SSDF.
Eine der neuen Best Practices, die in den USA gefördert werden, ist die Verwendung des SBOM zur Verfolgung von Abhängigkeiten, Schwachstellen und Softwarelizenzierung. Es soll die Produkttransparenz erhöhen und Herstellern und Anwendern einen klareren Blick darauf ermöglichen, was genau im Produkt verborgen sein könnte. Obwohl die ECRA das SBOM nicht explizit erwähnt, ist es erwähnenswert, dass das Thema Softwaretransparenz, zu dem auch das Konzept der SBOMs gehört, seit langem ein Diskussionsthema im Kontext der Cybersicherheitsstrategie der Europäischen Union ist. Im Juni 2021 veröffentlichte die Europäische Kommission einen Vorschlag für a Verordnung zur digitalen Betriebsstabilität für den Finanzsektor, die eine Anforderung an Finanzunternehmen beinhaltet, ein „umfassendes und aktuelles Inventar ihrer IKT-Systeme und Vermögenswerte“ zu verwenden und zu pflegen. Dieses Inventar sollte „eine aktuelle Karte der Verbindungen und Abhängigkeiten der IKT-Systeme und -Assets sowie gegebenenfalls der jeweiligen Software- und Hardwarekomponenten“ enthalten.
Obwohl diese Anforderung speziell für den Finanzsektor gilt, deutet sie darauf hin, dass die Europäische Union die Bedeutung der Softwaretransparenz für die Gewährleistung der Cybersicherheitsresistenz berücksichtigt. Es bleibt abzuwarten, ob der European Cyber Resilience Act oder andere Gesetzesinitiativen künftig explizitere Anforderungen an SBOMs enthalten werden.
Wie wird sich dieser Gesetzentwurf auf Sie auswirken?
Da die ECRA noch nicht endgültig ist, ist es schwierig, hier eine endgültige Aussage zu treffen. Was wir tun können, ist, Parallelen zu einer anderen umfassenden EU-Gesetzgebung zu ziehen – der DSGVO.
Die Datenschutz-Grundverordnung (DSGVO) ist eine umfassende Datenschutzverordnung, die von der Europäischen Union (EU) im April 2016 verabschiedet wurde und am 25. Mai 2018 in Kraft trat. Der Gesetzentwurf gilt für alle Organisationen, die Daten erheben, verarbeiten oder speichern die personenbezogenen Daten von Personen mit Sitz in der EU, unabhängig vom Standort der Organisation oder dem Ort der gespeicherten Daten. Es erlegt Organisationen Verpflichtungen auf, die Sicherheit und den Datenschutz personenbezogener Daten zu gewährleisten, einschließlich Anforderungen für die Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und „Privacy by Design and Default“. Organisationen, die die DSGVO nicht einhalten, können mit erheblichen Geldstrafen und anderen Strafen rechnen.
In den Jahren seit Inkrafttreten des DSGVO-Gesetzes haben wir einen „Trickle-Down“-Effekt dieser Verordnung festgestellt. Ursprünglich hatten nur Organisationen, die in der EU geschäftlich tätig waren, das Gefühl, dass sie die Vorschriften einhalten müssten. US-Unternehmen mussten mit mehreren hohen Geldstrafen rechnen, weil sie die Anforderungen des Gesetzentwurfs missachteten. Heutzutage befolgen auch Unternehmen, die nichts mit EU-Bürgern zu tun haben, die Verordnung. Es ist nur sinnvoll, die Vorschriften einzuhalten, damit Sie sich nicht um die Einhaltung bemühen müssen, wenn Sie nach Europa verkaufen möchten.
Im Großen und Ganzen geht es der ECRA ähnlich. Da ein Großteil der Welt immer noch darum kämpft, auf den Anstieg der Cybersicherheitsvorfälle zu reagieren, besteht eine gute Chance, dass eine umfassende und klare Gesetzgebung zur Behebung der Sicherheitsmängel von Softwareherstellern verabschiedet wird. Auch hier gilt: Es ist sinnvoll, die Vorschriften im Voraus einzuhalten, damit Sie bereits abgesichert sind, wenn Sie bereit sind, in die EU zu verkaufen.
Das bedeutet, dass die Antwort auf die Frage „Wird dieser Gesetzentwurf Auswirkungen auf mich haben?“ ist ein klares Ja, wenn Sie etwas mit der Softwareherstellung zu tun haben. Es mag zunächst keine Auswirkungen auf Sie haben, aber irgendwann müssen Sie sich an die Vorschriften halten, auch wenn es nur als neue gängige Best Practice anerkannt wird.
Glücklicherweise kann ein evidenzbasierter Sicherheits-Hub helfen
Zur Bewältigung der sich entwickelnden Sicherheitsherausforderungen, die wir derzeit erleben die Entwicklung der Anwendungssicherheit zur Software-Lieferkettensicherheit. Es umfasst eine neue Generation von Technologien und neuartigen Werkzeugen, die versuchen, diese Herausforderungen zu bewältigen. Automatisierte Tools und Lösungen helfen Unternehmen dabei, ein neues Maß an Sicherheit zu erreichen, indem sie eine evidenzbasierte kontinuierliche Code-Sicherheitssicherungsplattform bereitstellen, die die Vertrauenswürdigkeit des Softwareentwicklungslebenszyklus und der Softwarekomponenten bestätigen kann.
Schreiber ist ein Zentrum für Software-Supply-Chain-Sicherheit. Es sammelt Beweise und präsentiert sie für jeden Build, der durch Ihre CI/CD-Pipeline ausgeführt wird. Die Lösung von Scribe wurde entwickelt, um die Einhaltung von US- und EU-Vorschriften und Best Practices zu erleichtern und so die Transparenz von Software und das Vertrauen zwischen Softwareanbietern und Softwarebenutzern zu erhöhen. Die Plattform ermöglicht die detaillierte Erstellung und Weitergabe von SBOMs sowie andere Sicherheitseinblicke. Darüber hinaus kann die Plattform überprüfen, ob der von Ihnen betrachtete Build mit SLSA Level 3 und dem SSDF-Framework von NIST kompatibel ist. Angesichts der offensichtlichen Beziehungen und Ähnlichkeiten zwischen ECRA und SSDF kann die Bescheinigung, dass Ihre Software SSDF-konform ist, auch einen großen Beitrag zur Feststellung Ihrer ECRA-Konformität leisten.
Ein letztes Wort: Lassen Sie sich nicht unvorbereitet erwischen
Der European Cyber Resilience Act ist derzeit nur ein Vorschlag und wurde noch nicht von der EU verabschiedet. Der vorgeschlagene Rechtsakt befindet sich derzeit im Gesetzgebungsverfahren und wird vom Europäischen Parlament und dem Rat der EU geprüft. Es wird erwartet, dass der Gesetzentwurf mehrere Verhandlungs- und Überarbeitungsrunden durchläuft, bevor er als Gesetz angenommen wird. Es besteht eine gute Chance, dass sich die endgültige Fassung des Gesetzes ändern wird, einschließlich der Bestimmungen zur Produktsicherheit, zur Zertifizierung sowie zu den Produkten und Sektoren, die der Gesetzentwurf abdeckt.
Es ist erwähnenswert, dass die Einzelheiten dazu, wie das Gesetz vorsieht, zu überprüfen, ob Produkte den Cybersicherheitsstandards entsprechen, im veröffentlichten Entwurf noch nicht vollständig behandelt wurden. Die endgültige Fassung des Gesetzes könnte neben vielen anderen Bereichen, die einer Klärung bedürfen, auch spezifischere Anforderungen an die Produktzertifizierung und -verifizierung enthalten. Da die Gesetzgebung noch nicht vollständig umgesetzt ist, schlugen Branchenvertreter vor, dass die Gesetzgebung präzisere Definitionen enthalten sollte, die Unterschiede bei der Erstellung, Funktionalität und Nutzung digitaler Produkte berücksichtigen. Sie machten deutlich, dass zu strenge Cybersicherheitsanforderungen die Gefahr bergen, KMU vom Markt fernzuhalten. Um genau zu zeigen, wie unsicher die Dinge sind, ein neues Aktualisierung ab Dezember 2022 hat SAAS-Produkte bereits klar aus dem Geltungsbereich der Verordnung herausgenommen.
Um sowohl den EU-Staaten als auch den jeweiligen Produktentwicklern Zeit zur Anpassung zu geben, tritt die vorgeschlagene Verordnung 24 Monate nach ihrem Inkrafttreten in Kraft, mit Ausnahme der Meldepflicht für Hersteller, die 12 Monate nach dem Datum des Inkrafttretens in Kraft tritt Gesetzentwurf wird zum Gesetz. Zwei Jahre mögen wie eine lange Zeit erscheinen, aber wenn Sie ein kleines oder mittleres Unternehmen leiten und plötzlich eine ganze Reihe neuer Cybersicherheitsvorschriften befolgen müssen, kann sich dieser Zeitrahmen viel zu kurz anfühlen.
Unabhängig von den genauen Einzelheiten stellt die ECRA einen bedeutenden Fortschritt in den Bemühungen der EU dar, die Cybersicherheit zu verbessern und kritische Infrastrukturen zu schützen, und wir alle können uns auf eine Welt freuen, in der die meisten Unternehmen die ECRA so selbstverständlich einhalten, wie sie ihre Kunden über ihre Cookie-Sammlung informieren Politik.
Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.