Wenn Sie nur den Whistleblower-Kanal benötigen, können Sie hier zugreifen

Kontakt Verkauf

Über ithikios

Demo anfordern
Demo anfordern
Kostenlos starten
Kontack

Kontack

cra

Cyber Resilience Act: Was sich ändert, was Sie betrifft und wie Sie sich vorbereiten können, ohne Zeit zu verlieren

Jahrelang richtete sich die Frage nach der Cybersicherheit immer an die Organisation:

„Haben wir ausreichende Sicherheitsmaßnahmen?“

Der Cyber Resilience Act (CRA) weitet den Fokus aus. Von nun an geht es auch um das Produkt:

„Ist die Software oder das Gerät, das wir entwickeln, vertreiben oder vermarkten, sicher konzipiert, und wird sie/es während ihrer/seiner gesamten Lebensdauer sicher bleiben?

Dies ist keine kleine Nuance. Es ist ein Paradigmenwechsel, der Hersteller, Entwickler, Händler und Technologieanbieter in ganz Europa betrifft.

Was genau ist die CRA

Der Cyber Resilience Act ist eine europäische Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt, die in der Europäischen Union vermarktet werden.

Ihre Logik ist klar: Zu viele Produkte kommen mit bekannten Schwachstellen auf den Markt, ohne geplante Aktualisierungen und ohne einen formellen Prozess für das Incident Management. Die CRA möchte das ändern.

Zu diesem Zweck führt sie Konzepte ein, die bisher Empfehlungen oder bewährte Praktiken waren, und wandelt sie in Verpflichtungen um:

  • Security by Design: Sicherheit wird nicht am Ende hinzugefügt, sondern ist von Anfang an geplant.
  • Sicherheit durch Voreinstellung: Die Erstkonfiguration muss sicher sein, ohne dass der Benutzer etwas tun muss.
  • Kontinuierliches Schwachstellenmanagement: Identifizierung, Priorisierung, Behebung und Dokumentation während des gesamten Produktlebenszyklus.
  • Benachrichtigungspflichten: Wenn Sie eine aktiv ausgenutzte Schwachstelle entdecken, haben Sie 24 Stunden Zeit, um eine Frühwarnung herauszugeben.
  • Transparenz in Bezug auf den Support: Sie sollten klar angeben, wie lange das Produkt Sicherheitsupdates erhalten wird.

Es geht nicht darum, ein einmaliges Audit zu bestehen. Die CRA macht Sicherheit zu einem lebendigen, nachweisbaren Prozess.

Wer ist betroffen: mehr als man denkt

Das ist der Punkt, an dem viele Unternehmen überrascht sind. Die CRA betrifft nicht nur Hardwarehersteller oder große Plattformen. Sie ist betroffen:

  • Unternehmenssoftware und SaaS-Anwendungen
  • IoT-Geräte und vernetzte Hardware
  • Mobile Anwendungen
  • Cloud-Plattformen
  • Vernetzte industrielle Systeme

Dies gilt nicht nur für Entwickler, sondern auch für diejenigen, die digitale Produkte in Europa vertreiben oder importieren.

Wenn Ihr Unternehmen Software entwickelt, Lizenzen verkauft, Dienstleistungen als SaaS anbietet oder Produkte von Drittanbietern in Ihre Lösungen integriert, trifft die CRA wahrscheinlich auf Sie zu.

Der Kalender: weniger Zeit als es scheint

Die vollständige Umsetzung der Verordnung erfolgt im Dezember 2027, aber es gibt ein früheres Datum, das nicht aus den Augen verloren werden sollte:

11. September 2026 – Meldepflichten für aktiv ausgenutzte Sicherheitslücken und schwerwiegende Vorfälle treten in Kraft.

Das ist in etwas mehr als einem Jahr. Und robuste Benachrichtigungsprozesse, die innerhalb von 24 Stunden funktionieren, lassen sich nicht in ein paar Wochen aufbauen.

Die drei wichtigsten lebensverändernden Auswirkungen des Alltags

(1) Es reicht nicht mehr aus, Software zu entwickeln: Sie müssen sie auch beweisen.

Die CRA fragt nicht, ob Ihr Produkt sicher ist. Sie fragt, ob Sie beweisen können, dass es sicher ist. Das bedeutet, dass Sie über technische Dokumentationen, Schwachstellenprotokolle, eine Update-Historie, formalisierte Verfahren zur Reaktion auf Vorfälle… verfügen und diese jederzeit einer Aufsichtsbehörde oder einem Kunden vorlegen können.

2. Die Lieferkette übernimmt ihre eigene Verantwortung

Eine Sicherheitslücke kann durch eine Open-Source-Bibliothek, eine API eines Drittanbieters, eine eingebettete SaaS-Komponente oder einen Drittanbieter entstehen. Die CRA erweitert die Haftung über Ihren eigenen Code hinaus. Wenn Ihr Produkt Komponenten von Drittanbietern enthält, müssen Sie wissen, welches Risiko von jeder dieser Komponenten ausgeht.

3. Die Reaktionszeiten werden drastisch verkürzt.

24 Stunden, um eine Frühwarnung vor einer aktiv ausgenutzten Sicherheitslücke herauszugeben. Wenn Ihr Prozess zur Verwaltung von Sicherheitsvorfällen auf E-Mails, Anrufen und Tabellen beruht, kann es unmöglich sein, diese Frist einzuhalten.

Welche Kapazitäten müssen Sie haben (oder aufbauen)

Die CRA schreibt keine spezifischen Instrumente vor, aber sie macht deutlich, welche Prozesse vorhanden sein sollten. Nach unserer Erfahrung in der Zusammenarbeit mit Technologieunternehmen sind dies die Bausteine:

Risiko- und Asset-Management Aktuelles Produkt- und Komponenteninventar, Identifizierung von Bedrohungen, Folgenabschätzung und Überwachung des Restrisikos. Ohne dies können Sie nicht wissen, welche Schwachstellen Sie betreffen und wie dringend. –> Risiko-Manager

Lieferkettenmanagement Zulassung von Lieferanten, regelmäßige Bewertungen, Sicherheitsfragebögen, dokumentierte Nachweise. Ein nicht bewerteter Lieferant ist ein ungemessenes Risiko. –> Third Party Manager

Schwachstellenmanagement Identifizierung, Priorisierung, Behebung und Pflege eines prüfbaren Verlaufs. Die Aufsichtsbehörde kann eine solche Historie verlangen. –> Vorfallmanager

Incident Management Erfassung, Klassifizierung, Zuweisung von Verantwortung, Reaktionspläne und Rückverfolgbarkeit. Nicht als Dokument in einer Schublade, sondern als aktiver Prozess, der unter Druck arbeitet. –> Vorfallmanager

Technische Dokumentation und Richtlinien Richtlinien, Verfahren, Aufzeichnungen, Abnahmen, Nachweise. Dokumentation ist keine Bürokratie: Sie ist der Beweis, dass Sie die Dinge richtig machen. –> Policy Manager.

Sicherheit für Kunden kommunizieren Immer mehr Kunden fragen, wie Sie die Sicherheit handhaben, bevor sie einen Vertrag unterschreiben. Eine klare, zentralisierte und aktuelle Antwort – Zertifizierungen, Richtlinien, Nachweise – kann den entscheidenden Unterschied in einem Geschäftsprozess ausmachen. –> Trust Center

CRA ist nicht nur ein Kostenfaktor für Compliance

Von außen betrachtet, mag die CRA nur eine weitere regulatorische Belastung sein. Aber es gibt auch eine andere Art, sie zu lesen.

Unternehmen, die nachweisen können, dass sie die Produktsicherheit rigoros handhaben – mit dokumentierten Prozessen, schnellen Reaktionszeiten und Transparenz gegenüber ihren Kunden – werden einen echten Vorteil gegenüber Wettbewerbern haben, die sich weiterhin auf informelle Prozesse verlassen.

In einem Markt, in dem digitales Vertrauen zunehmend ein Kaufkriterium ist, kann die Einhaltung der CRA zu einem Geschäftsgrund werden.

Die Frage ist nicht nur, ob Sie sich an die CRA halten werden. Es geht darum, ob Sie in der Lage sein werden, dies effizient nachzuweisen, wenn jemand Sie darum bittet.

Bei ithikios haben wir verschiedene Module entwickelt, die Ihnen dabei helfen, die CRA einzuhalten und die Compliance mit dem Trust Center, Incident Manager, Third Party Manager, Risk Manager und Policy Manager nachzuweisen .

Ähnliche Artikel

Compliance Forms: weit mehr als nur ein Online-Formular

Im Bereich Compliance sind Informationen das A und O. Es reicht jedoch nicht aus, sie lediglich zu besitzen: Entscheidend ist, wie sie angefordert, gespeichert, ausgewertet und im Laufe der Zeit...

Leer más

ithikios führt die Authentifizierung über Google ein und erweitert seine Integrationsmöglichkeiten

Wir entwickeln die Plattform kontinuierlich weiter, um einen sicheren Zugriff und die Anbindung an die Systeme unserer Kunden zu erleichtern. Ab sofort können sich Nutzer von ithikios mit ihrem Google-Konto...

Leer más

Möchten Sie unseren Whistleblowing-Kanal ausprobieren?

Machen Sie es von hier aus für 15 Tage, ohne Verpflichtung, ohne Karten,…

Demo anfordern

Möchten Sie sehen, wie ithikios Ihnen helfen kann?

Beginnen Sie heute. Seien Sie innerhalb von Stunden compliant. Und wenn Sie erwachsen sind, ist ithikiosbei Ihnen.

Sollen wir reden?