DINAcon 2024

Der Cyber Resilience Act (CRA) der EU schreibt vor, dass ab 2027 nur noch cybersichere Produkte auf den Markt gebracht werden dürfen. Er zielt auf Geräte ab, die Software enthalten und über eine Datenschnittstelle verfügen, wie zum Beispiel IoT-Geräte oder industrielle Steuerungssysteme. Daher betrifft er praktisch alle Hersteller von Geräten und Maschinen mit elektronischen Komponenten. Die Hersteller sind verpflichtet, die Software mindestens fünf Jahre lang kontinuierlich auf Sicherheitslücken zu prüfen und Updates bereitzustellen. Bei Nichteinhaltung drohen hohe Geldstrafen und Marktverbote.

Der CRA hat grosse Auswirkungen darauf, wie Geräte entwickelt und gepflegt werden. Hersteller müssen ihre Entwicklungs- und Wartungsprozesse anpassen, um den neuen Anforderungen gerecht zu werden. Entsprechend gross sind die Aufregung und die Unsicherheit in der Industrie.

Open-Source Software ist mittlerweile Bestandteil fast aller Geräte mit Software. Besonders kleine Hersteller profitieren davon, wenn Software von der Community erstellt und verteilt wird. Dies ermöglicht es kleinen Schweizer KMU, Geräte und Maschinen zu produzieren, die international einen hohen Status geniessen. Dank Open-Source Software kann die Software-Abteilung aus nur wenigen Mitarbeitern bestehen.

Als exportorientiertes KMU-Land ist die Schweiz somit direkt vom CRA betroffen und muss sich den neuen Anforderungen anpassen. KMUs sollten jetzt beginnen, ihre Produkte und Prozesse zu überprüfen und sicherzustellen, dass sie den neuen Anforderungen entsprechen.

Im Vortrag stelle ich den Cyber Resilience Act vor, erläutere die Herausforderungen für Schweizer KMU und zeige auf, wie diese durch eine lokale Open-Source Community bewältigt werden können.