Im Gegensatz zur NIS2-Richtlinie, die sich auf die Sicherheit von Organisationen konzentriert, gilt der CRA für die Produkte selbst. Sein Anwendungsbereich ist sehr weit gefasst: Anwendungen, vernetzte Geräte, Software, Firmware, Hardwarekomponenten, jedes Produkt mit digitalen Elementen ist betroffen, mit Ausnahme reiner Cloud-Dienste (durch NIS2 abgedeckt), Medizinprodukte und Fahrzeuge, die bereits durch spezifische Vorschriften geregelt sind.
Der Cyber Resilience Act (CRA) ordnet Produkte in drei Kritikalitätsstufen ein, die das anzuwendende Konformitätsbewertungsverfahren bestimmen: "Standard"-Produkte (Selbstbewertung), "wichtige" Produkte der Klassen I und II (strengere Bewertung, möglicherweise durch Dritte) und "kritische" Produkte (verpflichtende europäische Zertifizierung).
Hersteller, Softwareherausgeber, Anwendungsentwickler und Hardwarehersteller tragen den Großteil der Verpflichtungen. Importeure und Händler sind ebenfalls betroffen und müssen die Konformität vor dem Inverkehrbringen überprüfen.
Die Sanktionen orientieren sich an der DSGVO: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes bei Nichteinhaltung der wesentlichen Cybersicherheitsanforderungen. Die Marktüberwachungsbehörden können zudem die Rücknahme nicht konformer Produkte vom europäischen Markt anordnen.
Anhang I des Cyber Resilience Act definiert die Anforderungen, die Produkte erfüllen müssen. Sie müssen insbesondere ohne bekannte ausnutzbare Schwachstellen auf den Markt gebracht werden, mit einer sicheren Standardkonfiguration. Mehrere dieser Anforderungen betreffen unmittelbar die Anwendungssicherheit, das Kerngeschäft von Yagaan, powered by Pradeo.
Der CRA verlangt, dass Cybersicherheit ab der Konzeptionsphase integriert wird. Ein Produkt muss ohne bekannte ausnutzbare Schwachstellen auf den Markt gebracht werden, mit einer sicheren Standardkonfiguration, robusten Authentifizierungsmechanismen und einer minimierten Angriffsfläche. Sicherheit ist kein nachträglicher Zusatz mehr, sie wird zur gesetzlichen Pflicht von Beginn der Entwicklung an.
Yagaan erfüllt diese Anforderung mit seiner Static Application Security Testing (SAST) -Lösung, die sich direkt in CI/CD-Pipelines integriert, um den Quellcode bei jeder Iteration zu analysieren und Schwachstellen vor der Produktionsfreigabe zu identifizieren. Das Tool nutzt maschinelles Lernen, um Schwachstellen nach ihrer tatsächlichen Kritikalität zu priorisieren und kontextbezogene Hilfe zur Behebung zu bieten.
Der CRA verlangt einen strukturierten Prozess zur Erkennung, Behebung und Kommunikation von Schwachstellen während des gesamten Produktlebenszyklus oder mindestens fünf Jahre nach dem Inverkehrbringen. Ab dem 11. September 2026 müssen Hersteller der ENISA jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden nach Entdeckung melden, einen vollständigen Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb von 14 Tagen vorlegen.
Der In-App Protection von Yagaan erfüllt diese Anforderung direkt, indem er Ausnutzungsversuche auf die bereitgestellte Anwendung in Echtzeit erkennt und so die Identifizierung und Abwehr von Angriffen in der Produktionsumgebung ermöglicht.
Und vor der Produktionsphase ermöglicht die Integration von Yagaan Static Application Security Testing (SAST) in den Entwicklungszyklus die Erkennung von Schwachstellen im Quellcode, ganz im Sinne dieser Verpflichtung zur Aufrechterhaltung der Sicherheit. Indem Softwareanbieter Fehler bereits während der Entwicklung identifizieren und beheben, anstatt erst später, verringern sie das Risiko, nach der Veröffentlichung des Produkts ausnutzbare Schwachstellen melden zu müssen.
Der CRA verlangt die Erstellung eines SBOM (Software Bill of Materials), eines vollständigen Verzeichnisses aller im Produkt integrierten Softwarekomponenten, einschließlich Drittanbieter-Bibliotheken und Open-Source-Abhängigkeiten. Dieses SBOM muss den Überwachungsbehörden auf Anfrage zur Verfügung stehen.
Für mobile Anwendungen, die im Sinne des CRA digitale Produkte sind, ermöglicht Yagaan Mobile Application Security Testing (MAST) die Sicherheitsüberprüfung von Anwendungen anhand ihres Binärcodes (Android und iOS), wobei integrierte Drittanbieterkomponenten und deren Schwachstellen identifiziert werden. Dies umfasst sowohl intern entwickelte Anwendungen als auch solche von Zulieferern und trägt zur vom Verordnung geforderten Rückverfolgbarkeit bei.
Der CRA verlangt, dass digitale Produkte ihre Angriffsfläche minimieren und gegen unbefugten Zugriff geschützt sind.
Yagaan trägt mit zwei komplementären Lösungen zu diesen Anforderungen bei. Das Shielding schützt den Anwendungscode vor Reverse Engineering, Klonen und Manipulation und reduziert konkret die für einen Angreifer ausnutzbare Angriffsfläche. Der In-App Protection gewährleistet den Echtzeitschutz der Anwendung während der Ausführung und erkennt und neutralisiert Angriffe direkt auf dem Endgerät.
Die erste verbindliche Frist des Cyber Resilience Act steht in wenigen Monaten bevor. Für Anwendungsentwickler erfordert die Konformität die Integration von Sicherheit in den Entwicklungszyklus und ein strukturiertes Schwachstellenmanagement in ihren Anwendungen.
Yagaan, powered by Pradeo, unterstützt Organisationen bei diesem Prozess mit einer vollständigen Suite für Anwendungssicherheit, von der Entwicklung bis zur Ausführung.