Sicheres Gerätelebenszyklusmanagement für EU-Cyber-Resilienz-Konformität

Vernetzte Geräte, die auf den europäischen Markt gelangen, müssen künftig strenge Cybersicherheitsstandards gemäß dem EU Cyber Resilience Act erfüllen. Als Reaktion darauf hat Arrow Electronics seine Engineering-Services mit den Sicherheitstechnologien von NXP^® Semiconductors abgestimmt, um Hersteller bei der Vorbereitung auf die Einhaltung der Vorschriften zu unterstützen.

Cybersicherheit über den gesamten Produktlebenszyklus hinweg integrieren
Der EU Cyber Resilience Act (CRA) führt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein, die in der Europäischen Union verkauft werden. Die vollständige Umsetzung ist für den 11. Dezember 2027 vorgesehen. Hersteller müssen dann nachweisen, dass Cybersicherheit über den gesamten Produktlebenszyklus hinweg integriert ist – von Design und Entwicklung bis hin zu Bereitstellung und Updates.

Um diesen Übergang zu unterstützen, kombiniert Arrow die Halbleiter-Sicherheitstechnologien von NXP mit den Engineering-Kompetenzen von eInfochips, einem Unternehmen von Arrow. Der koordinierte Ansatz verbindet frühe Risikoanalysen, sicheres Produktdesign und Geräte-Provisioning zu einem strukturierten Entwicklungsprozess.

Das Verfahren soll Herstellern ermöglichen, Cybersicherheitsanforderungen direkt in ihre digitale Lieferkette zu integrieren, anstatt sie erst in späten Entwicklungsphasen zu berücksichtigen.

Risikoanalyse nach industriellen Sicherheitsstandards
Der Engineering-Prozess beginnt mit einer gemeinsamen Cybersicherheits-Risikoanalyse zwischen eInfochips und dem jeweiligen Hersteller. Dazu gehören Threat Modelling sowie die Definition von Cybersicherheitsanforderungen, die sich am industriellen Sicherheitsstandard IEC 62443-4-1 orientieren. Das Ergebnis ist ein dokumentiertes Cybersicherheits-Framework und ein Entwicklungsplan, der die Produktentwicklung über den gesamten Lebenszyklus hinweg steuert.

eInfochips unterstützt Hardware-Design, Firmware-Entwicklung sowie zugehörige Cloud- und Mobile-Anwendungen und integriert Cybersicherheitsmaßnahmen in jede dieser Ebenen. Dazu gehören Threat Modelling, Risikoanalysen, sichere Programmierung sowie Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST) und PAN-Tests. Diese Engineering-Aktivitäten unterstützen Projekte, die auf Konformität mit IEC 62443, RED3.3 und dem EU Cyber Resilience Act abzielen.

Hardwarebasierte Vertrauensanker für sichere Geräte
Auf Geräteebene stellt NXP hardwarebasierte Sicherheitstechnologien bereit, die eine sogenannte Hardware-Root-of-Trust schaffen. Dazu gehören EdgeLock^® Secure Enclave sowie EdgeLock Secure Elements und Authenticators.

Diese Komponenten schützen Geräte-Zugangsdaten, sichern sensible Daten und unterstützen Sicherheitsfunktionen über den gesamten Lebenszyklus hinweg, darunter Authentifizierung, Zugriffskontrolle und sichere Updates. Die Secure Enclave stärkt zudem die Plattformintegrität, indem sie kritische Systemfunktionen absichert.

Diese Mechanismen adressieren mehrere technische Anforderungen des Cyber Resilience Act, darunter Geräteauthentifizierung, Datenschutz, Zertifizierungsunterstützung sowie die Integrität von Software-Updates.

Sicheres Provisioning vor der Bereitstellung
Nach Abschluss der Entwicklung erfolgt das sichere Provisioning im Hauptdistributionszentrum von Arrow in Venlo, Niederlande. In dieser Phase werden Geräteidentitäten eingerichtet und Sicherheitskonfigurationen angewendet, bevor die Produkte in Betrieb gehen.

Der Provisioning-Prozess nutzt den cloudbasierten Dienst EdgeLock 2GO von NXP für Credential-Management und Schlüssel-Injection. Die Plattform ermöglicht das sichere Einspielen kryptografischer Schlüssel, Zertifikate und Lifecycle-Credentials in großem Maßstab.

Dieses Provisioning-Modell unterstützt CRA-relevante Anforderungen wie sichere Updates, Schwachstellenmanagement und Geräteüberwachung über den gesamten Betriebslebenszyklus hinweg.

Präsentation auf der embedded world
Arrow Electronics präsentierte diesen koordinierten Ansatz für Cybersicherheit und Lifecycle-Security-Management auf der embedded world, die vom 10. bis 12. März 2026 in Nürnberg stattfand, am Stand 4A-342. Die Demonstration zeigte, wie Risikoanalyse, sicheres Design und Provisioning in einen wiederholbaren Prozess integriert werden können, um konforme vernetzte Produkte gemäß den Anforderungen des Cyber Resilience Act zu entwickeln.

www.arrow.com

Edited by industrial journalist, Aishwarya Mambet — AI-powered.