NACHTRAG:
- Was macht man eigentlich mit alter Software/Maschinen, wenn der Cyber Resilence Act aktiv wird? Grade im Bereich von Produktionsmaschinen gibt es machmal alte Systeme, die nicht mehr seitens Hersteller gepflegt werden? Die mal einfach so austauschen kann grade bei Produktionsmaschinen sehr teuer werden.
- Microsoft
Access mit
ActiveX Komponenten kann auch ein Problem werden. Woher die Komponentenliste bekommen und die darin verwendeten Komponenten?
- Auch ist nicht aufgeführt, was Firmen mit alten Verwaltungsprogrammen wie z.B. Warenwirtschaft machen, die zwar noch ausreicht, aber mal individuell erstellt wurde oder wo der Hersteller das Produkt aufgegeben hat. Grade bei Firmen, die kaum Budget für aktuelle Software haben und Buchhaltung/Lohnabrechnung beim Steuerberater haben, kann das ein Problem werden.
Scheint so, dass da irgendwie noch einige Betrachtungspunkte in den Vorgaben für SBOM/Cyber Resilence fehlen. . .
Der CRA betrifft nur Hersteller (bzw. auch Vertreiber) der Produkte mit digitalen Elementen. Für die Anwender formuliert der CRA keine Verpflichtungen, nur Rechte. Vom Grundsatz her kannst Du also Deine alten Systeme weiterverwenden. Im CRA ist dafür sogar eine Ausnahme für die Hersteller gemacht, die dürfen weiterhin Ersatzteile gleicher Bauart für alte Produkte in den Verkehr bringen, auch wenn diese alten Produkte nicht die aktuellen Anforderungen zur Cybersicherheit erfüllen.
Ob man nun tatsächlich die alten Geräte / Software weiterverwenden kann oder sollte, hängt für Unternehmen z.B. auch davon ab, ob sie ggfflls. dem Anwendungsbereich NIS2-Richtlinie (bzw. aktuell noch BSI-Gesetz und Kritis-VO) unterfallen und somit verpflichtet wären, ihren IT-Betrieb nach dem Stand der Technik zu betreiben.
Im Falle von eigenen oder bei Dritten verursachten Cyberschäden steht man natürlich auch nicht so gut da, wenn man alte Hardware und Software einsetzt und somit evtl. allgemeine Sorgfaltsverpflichtungen verletzt hat...