Zum Inhalt springen

Unsere Fachexpert:innen

Michelle Michael

Die strategische Normgeberin: Für Produktsicherheit, die vorausdenkt

Internationale Gremienarbeit, neue Prüfanforderungen und Security by Design – Michelle gestaltet die Regeln, nach denen digitale Produkte künftig bewertet werden.

Michelle Michael

Fachexpertin für Secure Digital Solutions

“CRA definiert das regulatorische Ziel, IEC 62443 liefert den technischen Rahmen. Unsere Aufgabe bei TÜVIT ist es, beides systematisch zusammenzuführen.”


Kontakt:
+49 201 8999 629
E-Mail schreiben

LinkedIn

Michelle, wenn dich jemand fragt: „Was machst du eigentlich bei TÜVIT?“ – was antwortest du?

Das ist gar nicht so leicht zusammenzufassen, denn mein Job ist sehr komplex. Zuallererst arbeite ich als Project Lead im Bereich Industrial Security. Parallel habe ich leitende Rollen in verschiedenen Gremien. Dabei treibe ich die Themen voran, definiere Verfahren und bringe die Ergebnisse bei TÜVIT ein.

Man kann also sagen, dass ich als Expertin verantwortlich für Prüfverfahren und Normen bin.

Der Cyber Resilience Act ist aktuell in aller Munde. Was ist sein Kern, und warum sollten Hersteller jetzt aktiv werden?

Gemäß dem Cyber Resilience Act (CRA) fallen alle Produkte mit digitalen Elementen, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, in dessen Geltungsbereich. Hersteller müssen nachweisen, dass ihre Produkte risikobasiert nach „Security by Design“ und „Security by Default“ entwickelt werden, ohne bekannte ausnutzbare Schwachstellen in Verkehr gebracht werden und über den gesamten Support-/Lebenszyklus mit Sicherheitsupdates, Vulnerability-Handling und transparenter Dokumentation abgesichert sind.

Ab dem 11. Dezember 2027 dürfen Produkte mit digitalen Elementen nur noch dann erstmals auf dem EU-Markt in Verkehr gebracht werden, wenn sie die CRA-Anforderungen erfüllen und ordnungsgemäß CE-gekennzeichnet sind.

Wie begleitest du Unternehmen dabei, Security by Design und Security by Default von Anfang an in ihren Entwicklungsprozess zu integrieren?

Wir unterstützen Hersteller end-to-end auf dem Weg zur CRA-Konformität: von Scope-/Produktklassifizierung, über Threat- & Risk-Analysen (TARA), Gap-Analysen und SDLC-Reifegradaufbau bis zur auditfähigen technischen Dokumentation und Vorbereitung der Konformitätsbewertung. Als TÜVIT bringen wir dabei die typische Kombination aus Unabhängigkeit, Prüfmethodik und Industrie-Know-how (u. a. OT/ICS) ein und können die Anforderungen systematisch mit etablierten Normen und Best Practices verzahnen.

Was reizt dich an dieser Arbeit – und warum ist es für TÜVIT wichtig, bei neuen Standards von Anfang an mit am Tisch zu sitzen?

Mir ist es wichtig, TÜVIT als Frontrunner zu etablieren – sprich, dass wir mit unserer Expertise vorneweg gehen. Das macht mir Spaß, denn ich habe verschiedene Blickwinkel: Auf die Hersteller, auf die Betreiber, andere Zertifizierungsstellen und auf Prüflabore.

Dein Arbeitsbereich ist stetig in Bewegung. Welche Themen siehst du künftig auf dich zukommen?

Ganz klar: Der Cyber Resilience Act. Das ist ein sehr wichtiges Thema, das mich und viele andere künftig beschäftigen wird. Das ist auch gut so denn der CRA ist relevant für Hersteller. Insgesamt ist Cyber Security mehr im Fokus denn je, wenn man die aktuelle Sicherheitslage betrachtet. Das betrifft uns alle.

Whitepaper

Ihr Leitfaden zur CRA-Compliance für Produkte mit digitalen Elementen

Laden Sie sich das Whitepaper “Guidance: A Product Manufacturer's Path to Comply with the Cyber Resilience Act” kostenfrei herunter.

 

Your Path to CRA Compliance PDF - 623 KB