EU Cyber Resilience Act

Pure Storage veröffentlicht Leitfaden zur Vorbereitung auf den EU Cyber Resilience Act

, Pure Storage | Autor: Herbert Wieler

Pure Storage veröffentlicht Leitfaden zur Vorbereitung auf den EU Cyber Resilience Act

In Zeiten zunehmender Cyberbedrohungen hängt die Geschäftskontinuität heute ebenso sehr von der Resilienz wie vom Schutz ab. Ende 2024 ist der Cyber Resilience Act (CRA) – oder die Cyberresilienz-Verordnung (CRV) – der Europäischen Union in Kraft getreten. Diese EU-Verordnung markiert einen der bislang bedeutendsten Schritte zur Durchsetzung der zugrundeliegenden Denkweise. Der CRA soll sicherstellen, dass jedes „Produkt mit digitalen Elementen“ – von IoT-Geräten bis hin zu Unternehmenssoftware – während seines gesamten Lebenszyklus die grundlegenden Cybersicherheitsstandards erfüllt.

Die Frist für die Einhaltung der EU-Cyberresilienz-Verordnung im Dezember 2027 mag noch weit entfernt erscheinen, aber die Vorbereitung erfordert Zeit. Dieser kurze Leitfaden von Pure Storage zeigt auf, wie Unternehmen damit beginnen können

Das Problem dabei ist jedoch, dass die meisten Unternehmen dafür noch nicht bereit sind. Eine aktuelle Studie hat ergeben, dass fast zwei Drittel der Unternehmen die Anforderungen der CRV nicht kennen oder nicht darauf vorbereitet sind. Das ist nicht nur im Hinblick auf die Compliance ein Problem, sondern auch für die langfristige Datenresilienz in einer Welt, in der Ausfallzeiten gleichbedeutend sind mit Umsatzverlusten, Reputationsschäden und Vertrauensverlust.

Dieser kurze Leitfaden von Pure Storage erklärt, was die CRV ist, warum das Bewusstsein dafür jetzt wichtig ist und wie Unternehmen mit der Entwicklung einer Cyber-Resilienz-Strategie beginnen können, die sowohl ihre Infrastruktur als auch Compliance-Situation zukunftssicher macht.

Was ist die Cyberresilienz-Verordnung

Die CRV gilt für fast alle vernetzten Hard- und Softwareprodukte, die in der EU verkauft werden. Sie verpflichtet Hersteller, Importeure und Händler zu Folgendem:

  • Produkte von Anfang an sicher entwerfen und entwickeln („Security by Design“).
  • Die Sicherheit während des gesamten Lebenszyklus aufrechtzuerhalten – einschließlich Schwachstellenmanagement, Patching und Verteilung von Updates.
  • Transparenz durch eine Konformitätserklärung oder eine Bewertung durch Dritte für Produkte mit höherem Risiko zu gewährleisten-
  • Aktiv ausgenutzte Schwachstellen und Vorfälle innerhalb strenger Fristen zu melden.

Unternehmen haben bis Dezember 2027 Zeit, um die Anforderungen zu erfüllen. Das mag noch weit entfernt klingen, aber die Vorbereitung auf die Einhaltung der Vorschriften – insbesondere in komplexen Lieferketten und eingebetteten Software-Ökosystemen – kann Jahre dauern.

Die Bewusstseinslücke: Warum viele Unternehmen hinterherhinken

  Die Realität ist, dass die meisten Unternehmen die CRV noch nicht ernst genommen haben. Die Gründe dafür sind bekannt:

  • Komplexer Anwendungsbereich: Viele gehen davon aus, dass das Gesetz nur für Gerätehersteller gilt, ohne zu wissen, dass es auch Software, Cloud-Dienste und sogar eingebettete Firmware umfasst.
  • Konkurrierende Prioritäten: KI-Projekte, Modernisierungsbemühungen und Kostendruck drängen die Compliance oft nach unten auf der Prioritätenliste.
  • Funktionsübergreifende Verwirrung: Sicherheits-, Compliance-, Engineering- und Produktteams arbeiten oft isoliert voneinander, sodass es keinen klaren Verantwortlichen für die CRV-Bereitschaft gibt.
  • Selbstgefälligkeit hinsichtlich des Zeitplans: Die Frist bis 2027 kann zu einer falschen Sicherheit führen – bis die Beschaffungs-, Neugestaltungs- und Zertifizierungszyklen zeigen, wie lange es tatsächlich dauert.

Das Ergebnis: Early Mover haben einen klaren Vorteil, da sie überstürzte Nachrüstungen und Reputationsrisiken vermeiden können, wenn die Durchsetzung beginnt.

Eine Branche, in der die frühzeitige Einführung bereits im Gange ist, sind europäische Finanzdienstleistungsinstitute, die sich derzeit um die Einhaltung des Digital Operational Resilience Act (DORA) bemühen. Diese Verordnung legt nicht nur Wert auf Risikomanagement, sondern auch auf die Fähigkeit, sich von Betriebsstörungen – einschließlich Cyberangriffen – zuverlässig zu erholen. Pure Storage unterstützt in Zusammenarbeit mit Commvault und Vertriebspartnern diese Unternehmen dabei, die Anforderungen von DORA an Resilienz und Tests zu erfüllen. Dazu bietet Pure Lösungen, die unveränderlichen Speicher, Cleanroom Recovery und automatisierte Validierung kombinieren, um Compliance und Wiederherstellungsbereitschaft sicherzustellen.

Was „Cyberresilienz” in diesem Zusammenhang wirklich bedeutet

Die CRV konzentriert sich zwar auf die Produktsicherheit, signalisiert aber auch einen umfassenderen Wandel: Compliance-Frameworks konvergieren in Richtung Resilienz – der Fähigkeit, sich auf Angriffe und Störungen vorzubereiten, ihnen standzuhalten und sich von ihnen zu erholen. Das bedeutet, proaktiv zu handeln. All dies ist angesichts der modernen Bedrohungslandschaft mit ihrer zunehmenden Größe und Raffinesse der Angriffe, insbesondere mit Ransomware, besonders relevant. Die EU hat kürzlich bestätigt, dass Ransomware hinter einem Angriff stand, der automatisierte Check-in-Systeme lahmgelegt hat.

Viele dieser Verluste sind nicht auf die Sicherheitsverletzungen selbst zurückzuführen, sondern auf unzureichende Wiederherstellungsarchitekturen – fragmentierte Backups, unveränderliche Lücken oder manuelle Wiederherstellungsprozesse.

Bei Resilienz geht es nicht nur um die Wiederherstellung von Daten, sondern auch um die Wiederherstellung des Vertrauens. Um dies zu erreichen, benötigen Unternehmen eine Grundlage, die auf folgenden Elementen basiert:

  • Unveränderliche, überprüfbare Datenkopien, die selbst mit kompromittierten Anmeldedaten nicht gelöscht oder verschlüsselt werden können.
  • Isolierte Wiederherstellungsumgebungen zum Testen und Validieren sauberer Daten vor der Wiederherstellung.
  • Automatisierte Erkennung und Orchestrierung zur Verkürzung der mittleren Wiederherstellungszeit (MTTR).
  • Lebenszyklus-Governance und Berichterstattung zum Nachweis der Compliance und Audit-Bereitschaft.
  • Integrierte Transparenz über Speicher-, Sicherheits- und Compliance-Tools hinweg.

Diese Grundsätze spiegeln die Forderung der CRV nach einer lebenslangen Verantwortung wider – und sie werden zunehmend sowohl von Regulierungsbehörden als auch von Cyberversicherern als Best Practice angesehen.

Eine praktische Roadmap für den Einstieg

So können sich Unternehmen noch heute auf die Einhaltung der CRV-Vorschriften vorbereiten:

SchrittMaßnahmeBedeutung

Erfassung von Risiken

Inventur aller Produkte, Software und Systeme, die als Produkte und digitale Elemente (PDEs) gelten.

Definiert die Compliance-Grenzen und hilft, spätere Überraschungen zu vermeiden.

Bewertung von Schwachstellen und Abhängigkeiten

Einbeziehen von Drittanbieter-Bibliotheken, Firmware und Open-Source-Komponenten.

Die CRV verlangt, Verantwortung für die Lieferkette zu übernehmen.

Integration von „Security by Design“-Prinzipien in die Entwicklung

„Shift left“ von Sicherheitstests, Patch-Management und Dokumentation.

Reduziert die Kosten für Abhilfemaßnahmen und beschleunigt die Zertifizierung.

Stärkung der Recovery-Architektur

Implementierung von unveränderlichen Snapshots, Air-Gapped-Backups und getesteten Restore-Workflows.

Gewährleistet die Betriebskontinuität und den regulatorischen Nachweis der Ausfallsicherheit.

Automatisierung von Governance und Reporting

Erstellen von auditfähigen Dashboards und Warnmeldungen, die mit Lebenszyklusereignissen verknüpft sind.

Vereinheitlicht den Nachweis der Compliance und spart Zeit bei Bewertungen.

Frühzeitige Zusammenarbeit mit vertrauenswürdigen Partnern

Zusammenarbeit mit Anbietern, die Cyber-Resilienz bereits in ihre Plattformen integriert haben.

Entlastung von technischer Komplexität und beschleunigte Umsetzung.

Compliance durch Vertrauen

Pure Storage betrachtet die CRV als mehr als nur eine Vorschrift – es ist die Bestätigung einer Philosophie, für die sich das Unternehmen seit Jahren einsetzen: Resilienz als Service. Die jüngsten Innovationen und Partnerschaften sind genau auf diese neue, von Compliance geprägte Ära zugeschnitten:

  • Cyber Recovery and Resilience SLA: Garantiert eine saubere Datenwiederherstellung und verifizierte Wiederherstellungspunkte.
  • SafeMode Immutable Snapshots: Schützen Daten vor Löschung oder Änderung, selbst durch Administratoren.
  • KI-gesteuerte Anomalieerkennung: Hilft bei der Identifizierung von Ransomware-Signaturen und verdächtigen Aktivitäten in Echtzeit.
  • Einheitliche Verwaltung und Transparenz bei Audits: Vereinfacht die Governance in Hybrid- und Multi-Cloud-Umgebungen.
  • Erweiterte Partnerschaften mit Veeam, Rubrik, Commvault und anderen: Bieten End-to-End-Schutz über den gesamten Datenlebenszyklus.

Diese Partnerschaften und Technologien sind mehr als nur Punkte, die es in der Compliance-Checkliste abzuhaken gilt. Vielmehr helfen sie Unternehmen aktiv dabei, sich nach realen Angriffen schneller und besser zu erholen. Ein eindrucksvolles Beispiel für diese Ausfallsicherheit in der Praxis stammt von einem Kunden von Pure Storage, der mit einem massiven Ransomware-Vorfall konfrontiert war.

Vor einigen Jahren migrierte NTT Managed Cloud Services mehrere tausend Systeme für einen Kunden, als dieser von einem Ransomware-Angriff betroffen war. Rund 2.000 Systeme wurden angegriffen, und die auf FlashArray migrierten Systeme konnten innerhalb von „30 bis 60 Minuten“ wiederhergestellt werden. Die noch nicht migrierten Systeme benötigten „Wochen“, um wiederhergestellt zu werden.

Durch die Pure Storage-Plattform profitieren Unternehmen nicht nur von Leistung und Effizienz, sondern auch von integrierten Schutz-, Validierungs- und Wiederherstellungsfunktionen, die sich nahtlos in die Absicht der CRV einfügen: Unternehmen sollen sich auf Innovationen konzentrieren können und nicht auf die Reaktion auf Vorfälle.

Fazit

Die Cyberresilienz-Verordnung der EU erhöht die Mindestanforderungen an die Cybersicherheit für alle – und das ist gut so. Für Unternehmen, die dies jedoch als Last-Minute-Sprint zur Compliance betrachten, könnte dies zu Störungen führen. Unternehmen sollten daher jetzt damit beginnen, Resilienz als zentrales Designprinzip zu betrachten und mit vertrauenswürdigen Technologieanbietern zusammenzuarbeiten. Auf diese Wiese werden sie nicht nur auf die CRV vorbereitet sein, sondern auch besser in der Lage sein, sich auf alle neuen Vorschriften einzustellen, die in Zukunft noch kommen werden.