IT-Sicherheitskonferenz CYBICS informiert über Pflichten, Fristen und Bußgelder des kommenden EU Cyber Resilience Act
Düsseldorf / Frankfurt am Main (ots)
- IT-Hersteller in der Verantwortung: Gesetzliche Anforderungen müssen zeitnah umgesetzt werden
- CYBICS gibt umfassende Hilfestellung zur schnellen Umsetzung und Erfüllung des CRA-E
- Wann und wo: Frankfurt am Main, 28. November 2023 im House of Logistics and Mobility (HOLM)
Der Druck auf Hersteller von IT-Produkten aller Art wächst, je näher das Inkrafttreten des Cyber Resilience Act (CRA-E) der Europäischen Kommission rückt. Mit der 8. CYBICS Konferenz am 28. November 2023 erhalten Hersteller und Inverkehrbringer konkrete Analysen und Umsetzungskonzepte, um die kommenden Anforderungen des CRA-E ohne größere Risiken umsetzen zu können. Das Konferenzprogramm legt den Fokus auf die Cybersicherheit von IoT/ICS/OT-Produkten aus regulatorischer Sicht, um den Teilnehmenden ein besseres Verständnis für die Anforderungen des CRA-E zu ermöglichen und Lösungsmöglichkeiten direkt in Softwareentwicklung und Produktmanagement aufzuzeigen. Dazu werden konkrete Projekte und Best Practices vorgestellt, in denen der wesentliche Teil der Anforderungen bereits umgesetzt wurde. Veranstalter der Konferenz ist die isits AG International School of IT Security. Die CYBICS gilt in Deutschland als Best-Practice- und Expertengipfel zu den Chancen und Risiken der kommenden EU-Gesetzgebung, die Hersteller und Inverkehrbringer von IoT/ICS/OT-Geräten und Anlagen mit digitalen Elementen künftig erfüllen müssen.
Das Programm der CYBICS
Direkt zu Beginn der CYBICS gibt Maika Föhrenbach, Policy Officer der Europäischen Kommission einen aktuellen Überblick aus erster Hand über den Stand des regulatorischen Verfahrens und der rechtlichen Aspekte des kommenden EU Cyber Resilience Acts.
Anschließend informiert Rechtsanwalt Stefan Sander von der Kanzlei SDS Rechtsanwälte Sander Schöning über Verfahren, Inhalte und rechtliche Hintergründe des im September 2022 vorgelegten Entwurfs des Cyber Resilience Act (CRA). Er geht besonders auf das "wie" und "was" der Regelung ein - und auf bisher noch umstrittene Teilbereiche.
Jan Wendenburg, CEO des CYBICS-Mitveranstalters ONEKEY, gibt einen Überblick über die Möglichkeiten des automatisierten CRA-E Compliance Managements aus Anwendersicht. Das deutsche Unternehmen betreibt eine Product Cybersecurity & Compliance Platform (PCCP), die Herstellern von smarten Anlagen und Geräten eine wesentliche Unterstützung bei der Erfüllung der kommenden Anforderungen des Cyber Resilience Act der EU-Kommission bietet. Dazu gehört auch eine automatisch erstellbare Software Bill of Materials (SBOM), die zukünftig verpflichtend sein wird.
Die Sicht eines Zertifizierers auf den Cyber Resilience Act stellt Michael Beine von Bureau Veritas, einem führenden Unternehmen für Prüfung, Inspektion und Zertifizierung, dar. Hersteller von smarten Produkten, aber auch die Betreiber kritischer Infrastruktur müssen ein angemessenes Sicherheitsniveau nachweisen. Neben einer Selbsterklärung ist dazu oft eine Bestätigung durch eine unabhängige dritte Instanz notwendig: Ein Zertifikat, mit dem neben dem Plus an Sicherheit auch am Markt demonstriert werden kann, dass ein Unternehmen das Thema Cyber-Resilienz ernst nimmt.
In einer Podiumsdiskussion setzen sich alle Teilnehmer mit der "Bedeutung des CRA in der Praxis" auseinander und geben interdisziplinäre Hinweise zum Vorgehen in den kommenden Monaten.
Anschließend gibt Andreas Harner von CERT@VDE konkrete Handlungsanweisungen für "Starke Produktsicherheit durch erfolgreiche Product Security Incident Response Teams (PSIRTs)". Insbesondere beleuchtet Andreas Harner das Schwachstellenmanagement im Bereich von Embedded Software. Dieses wird im Rahmen des (CRA-E) verpflichtend sein und beinhaltet einen koordinierten Veröffentlichungsprozess.
Roman Müller, Cybersecurity Professional bei PwC Deutschland, spricht über "Resistente Cybersecurity Angriffe auf die Lieferkette". Mit dem CRA steigen die Anforderungen an eine sichere Software-Lieferkette. In seinem Vortrag demonstriert Roman Müller den Angriff auf einen gewöhnlichen Router, der sich nicht mehr zurücksetzen lässt und weiterhin Daten an einen Angreifer übermittelt. Neben diesem Szenario werden auch Beispiele dafür gezeigt, wie resistente Infektionen von Geräten dennoch bekämpft werden können.
Boris Waldeck vom Komponentenhersteller Phoenix Contact informiert über die Richtlinie "IEC 62443: Produktsicherheit und sicherer Entwicklungsprozess als Erfolgsfaktor zur CRA-Konformität". Die IEC 62443 gilt als umfassender Sicherheitsstandard, mit dem Automatisierungskomponenten vor unberechtigten Zugriffen und Angriffen geschützt werden können. Zertifizierungen nach IEC 62443-4-1 und IEC 62443-4-2 stellen sicher, dass industrielle Anwendungen gemäß den hohen Sicherheitsstandards entwickelt und betrieben werden können. Ein wesentlicher Aspekt dabei ist eine Software Bill of Materials (SBOM), die die Identifizierung von Softwarekomponenten und deren Schwachstellen (CVE's) erleichtert und neben dem Schwachstellenmanagement zwei zentrale Anforderungen von dem CRA-E und der NIS2 erfüllt.
Der letzte Vortrag gibt einen Einblick in Best Practices in der Entwicklung für IEC62443 und "CRA compliant Produkte" und wird von Martin Pasch, Vice President Advanced Products & Services bei Voith Hydro, einem weltweit agierenden Technologiekonzern, gehalten. Auch hier steht neben dem CRA-E die IEC62443-4-1 im Vordergrund, die bereits Anforderungen aus dem aktuellen Stand des EU Cyber Resilience Act (CRA-E) abdeckt und daher als Vorlage dienen kann. Martin Pasch gibt dabei einen dezidierten Überblick, wie ein weltweit führendes Maschinenbauunternehmen Best Practice-Modelle zur Einhaltung der komplexen Vorgaben entwickelt hat.
Hier können sich Teilnehmer anmelden!
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management. Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins" ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Die integrierte Compliance-Prüfung deckt bereits heute den kommenden EU Cyber Resilience Act und bestehende Anforderungen nach IEC62443-4-2, EN303645, UNR155 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Plattform und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: www.onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
Tel.: +49 611 9731 50, E-Mail: team@euromarcom.de,
Web: www.euromarcom.de
Original content of: ONEKEY GmbH, transmitted by news aktuell