IBF Solutions weist auf den Praxisleitfaden zu „Security by Design and Default“ der Agentur der Europäischen Union für Cybersicherheit für kleine und mittlere Unternehmen (KMU) hin: „Mit dem „Secure by Design and Default Playbook“ konkretisiert die ENISA erstmals, wie Hersteller von Produkten mit digitalen Elementen die Anforderungen des Cyber Resilience Act (CRA) technisch und organisatorisch umsetzen können.
Der Praxisleitfaden ist insbesondere an Software- und IoT-Hersteller adressiert und verfolgt das Ziel, Cyber Security systematisch über den gesamten Produktlebenszyklus zu verankern. In unserer Kurzinformation haben wir die wichtigsten Inhalte des Dokuments kompakt zusammengefasst.
Welche Ziele verfolgt das ENISA Playbook und wie ist es aufgebaut?
Der ENISA-Ansatz basiert auf der konsequenten Integration von Security bereits in frühen Entwicklungsphasen, die in der technischen Terminologie auch als „Shift Left“ bezeichnet wird. Sicherheitsanforderungen beginnen somit nicht erst bei Tests oder im Betrieb, sondern bereits bei der Anforderungsdefinition, dem Architekturdesign und der Technologieauswahl. Dieser lebenszyklusorientierte Ansatz umfasst die Phasen Entwicklung, Bereitstellung, Betrieb, Wartung und Außerbetriebnahme.
Das sogenannte „Playbook“ strukturiert die Anforderungen in 22 Prinzipien, die in die Kategorien „Secure by Design“ und „Secure by Default“ unterteilt sind. Diese werden durch konkrete technische Maßnahmen, Nachweisanforderungen und Freigabekriterien umgesetzt.
Zu den zentralen technischen Anforderungen zählen standardisierte Bedrohungsmodellierung, sichere Softwarearchitekturen nach etablierten Prinzipien (zum Beispiel Least Privilege, Defense-in-Depth), sichere Standardkonfigurationen sowie kontinuierliches Schwachstellenmanagement. Ergänzt werden diese durch Anforderungen an Monitoring, Incident Response (Reaktion auf Zwischenfälle) und Wiederherstellungsfähigkeit. Dadurch wird Resilienz als integraler Bestandteil des operativen Betriebs verstanden. Ein innovatives Element ist das „Machine-Readable Security Manifest“ (MRSM). Es ermöglicht die strukturierte, maschinenlesbare Dokumentation von Sicherheitsmaßnahmen und deren Nachweis. Dadurch wird Compliance automatisierbar und skalierbar, was einen entscheidenden Schritt für die regulatorische Nachweisführung darstellt.
Neben technischen Maßnahmen betont die ENISA auch organisatorische Aspekte wie klare Verantwortlichkeiten, die Integration von Security in Produktentscheidungen und die Absicherung von Lieferketten. Sicherheit wird somit als interdisziplinäre Aufgabe zwischen Entwicklung, Betrieb und Management positioniert.
Insgesamt markiert das Playbook einen Paradigmenwechsel: Cybersecurity entwickelt sich von einer nachgelagerten Zusatzfunktion zu einem integralen, überprüfbaren Bestandteil des gesamten Produktlebenszyklus‘. Für Hersteller bedeutet dies nicht nur erhöhte regulatorische Anforderungen, sondern auch die Notwendigkeit, ihre Entwicklungsprozesse grundlegend neu auszurichten.
Die Kernaussage lautet: Cybersecurity ist ein kontinuierlicher Prozess und kein einmaliges Feature.“