Cyber Resilience Act. Was bedeutet das für uns und was kommt auf uns zu?
In unserer aktuellen Podcast-Episode haben wir mit Dr. Lutz Keppeler und Markus Lennartz, der Rechtsanwaltskanzlei Heuking gesprochen. Sie sind Fachanwälten und Experten für IT-Sicherheit und Compliance. In diesem Gespräch wurde wurde einmal mehr deutlich, wie groß die Herausforderungen für Unternehmen sind.
Wir hören oft in Gesprächen mit unseren Kunden, wie herausfordernd die Umsetzung dieser Anforderungen sein kann. Insbesondere für Unternehmen, die sich in einem dynamischen Marktumfeld behaupten müssen. Doch wer sich frühzeitig auf diese Standards einstellt, schafft nicht nur die Grundlage für rechtliche Sicherheit, sondern stärkt auch sein Vertrauen bei Kunden und Partnern. Dies wird langfristig ein Wettbewerbsvorteil sein.
Die digitale Welt entwickelt sich rasant weiter, und damit wachsen auch die Anforderungen an die Sicherheit von Software und vernetzten Produkten. Während die Datenschutzgrundverordnung (DSGVO) bereits viele Unternehmen vor Herausforderungen stellte, wird die nächste Regulierungswelle nicht weniger anspruchsvoll. Es ist vorauszusehen, dass sie noch tiefgreifendere Auswirkungen haben könnte. Denn neben der DSGVO stehen uns nun zahlreiche neue Gesetzgebungen ins Haus, die das digitale Wirtschaftsumfeld erheblich verändern werden. Ein zentraler Baustein dieser Entwicklung ist der Cyber Resilience Act (CRA).
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals umfassende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen stellt. Dabei stehen nicht nur physische Geräte wie Smartphones, Router oder Industriesteuerungen im Mittelpunkt, sondern auch reine Softwareprodukte. Damit wird erstmals auf europäischer Ebene ein einheitlicher Rechtsrahmen geschaffen, der Hersteller, Importeure und Händler in die Pflicht nimmt. Ziel ist es, digitale Produkte sicherer zu machen, um Verbraucher und Unternehmen vor den immer komplexeren Cyberbedrohungen zu schützen.
Warum der CRA für Unternehmen so wichtig ist
Der CRA hat eine enorme Reichweite, denn er betrifft nahezu jedes Unternehmen, das digitale Produkte entwickelt, herstellt oder vertreibt. Anders als etwa die NIS-2-Richtlinie, die auf Organisationsebene ansetzt, zielt der CRA direkt auf das einzelne Produkt ab. Das bedeutet, dass die Anforderungen nicht nur die internen Prozesse eines Unternehmens betreffen, sondern auch die eigentliche Produktentwicklung und -pflege.
Zur Verdeutlichung: Während NIS-2 vorschreibt, dass Unternehmen ihre Mitarbeiter regelmäßig im Umgang mit IT-Sicherheit schulen müssen, geht der CRA noch einen Schritt weiter. Hier wird verlangt, dass die Produkte selbst hohen Sicherheitsstandards entsprechen, zum Beispiel durch regelmäßige Sicherheitsupdates, die Implementierung sicherer Entwicklungsprozesse und die Bereitstellung einer sogenannten Software Bill of Materials (SBOM), die alle verwendeten Softwarekomponenten offenlegt.
Welche Verpflichtungen ergeben sich konkret?
Unternehmen müssen im Rahmen des CRA unter anderem folgende Anforderungen erfüllen:
- Sicherheitsanforderungen: Produkte dürfen nicht mit bekannten Sicherheitslücken auf den Markt gebracht werden.
- Risikobewertung: Hersteller müssen für jedes Produkt eine umfassende Risikoanalyse durchführen.
- Technische Dokumentation: Es muss eine vollständige technische Dokumentation erstellt werden, die Sicherheitsmaßnahmen und Tests beschreibt.
- Überwachungs- und Meldepflichten: Sicherheitsvorfälle müssen dokumentiert und an Behörden gemeldet werden.
- CE-Kennzeichnung: Nur Produkte, die den CRA-Anforderungen entsprechen, dürfen mit dem europäischen CE-Zeichen versehen werden.
Was bedeutet das für europäische Anbieter?
Europäische Unternehmen stehen damit vor einer doppelten Herausforderung, denn einerseits müssen sie die regulatorischen Anforderungen erfüllen, die in Europa deutlich strenger sind als in anderen Märkten und andererseits müssen sie global wettbewerbsfähig bleiben. Aber gerade diese strengen Vorschriften könnten sich langfristig als Vorteil erweisen. Wer jetzt in sichere und konforme Produkte investiert, kann dies als Qualitätsmerkmal nutzen und sich so gegenüber internationalen Wettbewerbern abheben.
Fazit zum CRA
Der Cyber Resilience Act markiert einen Paradigmenwechsel in der digitalen Sicherheitsstrategie der EU. Wer frühzeitig die notwendigen Anpassungen vornimmt, kann sich nicht nur rechtlich absichern, sondern auch als vertrauenswürdiger Anbieter positionieren. Für Unternehmen, die global agieren oder sensible Daten verarbeiten, wird dies in den kommenden Jahren entscheidend sein. Europäische Anbieter haben hier die Chance, sich durch Qualität und Sicherheit vom Wettbewerb abzuheben – ein klarer Vorteil in einer zunehmend vernetzten Welt.
Bleiben Sie also vorbereitet und nutzen Sie die kommenden Monate, um Ihre Produkte fit für die neuen Anforderungen zu machen. Denn wie die DSGVO gezeigt hat.
Wer früh reagiert, hat langfristig die Nase vorn.
Hier geht es zur Episode 3 – Cyber Resilience Act (CRA). Was bedeutet das für Untenehmen
Sven Mawby im Gespräch mit Dr. Lutz Keppeler und Markus Lennartz von der Rechtsanwaltskanzlei Heuking..
