Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die die Regeln bzgl. der Cybersicherheit EU-weit vereinheitlicht und die Widerstandsfähigkeit von Applikationen gegenüber Cyberangriffen erhöht.
Die Verordnung betrifft Produkte mit digitalen Elementen (Hard- oder Software), die direkt oder indirekt mit einem Netzwerk verbunden sind.

Software Bills of Materials (SBOM)

Der Cyber Resilience Act verlangt unter anderem, dass eine detaillierte Auflistung aller Bestandteile einer Software-Lösung erstellt werden muss. Diese Softwarestückliste bzw. Software Bill of Materials (SBOM) ist ein entscheidendes Instrument zur Identifikation von Sicherheitsrisiken.

Die Software Bill of Materials dokumentiert welche Open-Source-Software-Bestandteile in den Produkten enthalten sind. Abhängigkeiten zu Komponenten Dritter werden transparent. Wenn Open-Source-Komponenten bekannte Schwachstellen aufweisen, ermöglicht die SBOM es, die betroffenen Anwendungen oder Container schnell zu identifizieren und Gegenmaßnamen (z.B. durch Einspielen eines Patches) zu ergreifen.

Komponenten von Drittanbietern sind meist die Hauptangriffspunkte bei Softwareanwendungen. Die meisten Anwendungen bestehen heute zu über der Hälfte aus Third-Party-Code (Open-Source-Software und andere Komponenten von Drittanbietern, die wiederum vulnerable Open-Source-Komponenten enthalten können).

Weitere Informationen

Cyber Resilience Act (Link auf "Amtsblatt der Europäischen Union")