Der BSI-Lagebericht 2024 zeigt aber auch Fortschritte bei Resilienz und Unterstützungsangeboten
Dennis, Adobe Stock
Sicher und resilient: Wie Sie Ihr Unternehmen digital aufrüsten
Der Cyber Resilience Act (CRA) der EU setzt neue Standards für digitale Produkte und Dienstleistungen. Welche Unternehmen sind betroffen und welche Anforderungen kommen auf sie zu?
Das Europäische Parlament hat im vergangenen Juli den Cyber Resilience Act verabschiedet, der ab Januar 2025 in allen EU-Mitgliedsstaaten in Kraft tritt. Ziel des CRA ist es, die Cybersicherheit aller vernetzten digitalen Produkte und Dienstleistungen zu stärken und so die Widerstandsfähigkeit der europäischen Wirtschaft gegen Cyberangriffe zu erhöhen.
Ziele des Cyber Resilience Acts
Der CRA zielt darauf ab, die Sicherheit digitaler Produkte und Dienstleistungen in der EU zu gewährleisten und die Nutzer vor Cyberrisiken zu schützen. Angesichts zunehmender Cyberbedrohungen und der wachsenden Abhängigkeit von digitalen Technologien fordert der CRA von Unternehmen, die Sicherheit ihrer Produkte und Dienstleistungen über den gesamten Lebenszyklus hinweg zu gewährleisten.
Welche Unternehmen sind betroffen?
Der CRA betrifft eine Vielzahl von Unternehmen unabhängig von ihrer Größe, darunter:
- Hersteller von Hardware- und Softwareprodukten
- Anbieter digitaler Dienste und Plattformen
- Importeure und Händler von IT-Produkten
- Unternehmen, die IoT-Geräte entwickeln und vermarkten
Anforderungen des Cyber Resilience Acts
- Sicherheitsrichtlinien und -prozesse
Unternehmen müssen umfassende Sicherheitsrichtlinien entwickeln und implementieren, die regelmäßige Risikoanalysen, technische und organisatorische Maßnahmen zur Risikominimierung sowie eine kontinuierliche Überprüfung und Aktualisierung der Sicherheitsmaßnahmen umfassen. - Sicherheitsanforderungen für digitale Produkte
Hersteller digitaler Produkte müssen sicherstellen, dass ihre Produkte von Anfang an sicher gestaltet sind, einschließlich sicherer Entwicklungspraktiken, der Implementierung von Sicherheitsfunktionen und regelmäßiger Software-Updates zur Schließung bekannter Sicherheitslücken. - Informationspflichten
Unternehmen müssen ihre Kunden über die Cybersicherheitsmaßnahmen ihrer Produkte informieren und Sicherheitsanleitungen bereitstellen. Bei Sicherheitsvorfällen sind sie verpflichtet, die betroffenen Nutzer und die zuständigen Behörden unverzüglich zu informieren. - Meldepflichten
Im Falle eines Sicherheitsvorfalls müssen Unternehmen diesen innerhalb von 24 Stunden an die zuständigen Behörden melden und eine umfassende Analyse sowie die ergriffenen Maßnahmen zur Behebung der Sicherheitslücke bereitstellen.
Der Gesetzentwurf im Detail
Der CRA verlangt, dass Unternehmen in den Phasen Design, Entwicklung, Produktion sowie während des Inverkehrbringens und der Nutzung ihrer Produkte angemessene Cybersicherheitsmaßnahmen einhalten. Die Europäische Kommission unterscheidet dabei drei Kategorien von Produkten:
- Nicht-kritische Produkte mit digitalen Elementen (z. B. Festplatten, PC-Spiele)
- Kritische Produkte mit digitalen Elementen: Klasse I (z. B. Browser, Passwort-Manager), Klasse II (z. B. Firewalls für industrielle Nutzung, Router)
- Hochkritische Produkte (aktuell noch nicht definiert)
Etwa 90 Prozent der Produkte sollen als nicht-kritisch eingestuft werden. Hersteller kritischer Produkte müssen strengere Anforderungen erfüllen und ihre Konformität durch das „CE-Kennzeichen“ nachweisen. Nationale Behörden überwachen die Umsetzung. Hersteller müssen Sicherheitslücken innerhalb von fünf Jahren nach dem Inverkehrbringen beheben und Nutzer darüber informieren. Bei Sicherheitsvorfällen ist eine Meldung an die europäische Cybersicherheitsagentur (ENISA) innerhalb von 24 Stunden erforderlich.
Herausforderungen und Chancen für Unternehmen
Die Umsetzung des CRA bringt sowohl Herausforderungen als auch Chancen. Die Einhaltung der neuen Sicherheitsanforderungen kann erhebliche Investitionen in Technologie und Schulung erfordern. Unternehmen müssen möglicherweise bestehende Prozesse und Strukturen anpassen.
Gleichzeitig bietet der CRA neue Möglichkeiten: Erhöhte Sicherheit führt zu einer besseren Widerstandsfähigkeit gegenüber Cyberangriffen, wodurch Risiken und Kosten von Sicherheitsvorfällen minimiert werden. Unternehmen, die hohe Sicherheitsstandards einhalten, können das Vertrauen ihrer Kunden und Geschäftspartner stärken und sich so einen Wettbewerbsvorteil verschaffen.
Handlungsbedarf für Unternehmen
Unternehmen sollten sich frühzeitig mit den Anforderungen des CRA auseinandersetzen und geeignete Maßnahmen zur Umsetzung ergreifen. Dazu gehören:
- Implementierung eines Informationssicherheitsmanagementsystems (ISMS)
- Schulung und Sensibilisierung der Mitarbeitenden
- Kontinuierliche Überprüfung und Anpassung der Sicherheitsmaßnahmen
Die Umsetzung des CRA stellt eine Herausforderung dar, bietet jedoch auch die Chance, die Cybersicherheitsstrategie zu stärken, sich besser gegen Bedrohungen zu wappnen und die Wettbewerbsfähigkeit zu erhöhen.
Die Transferstelle Cybersicherheit im Mittelstand bietet mittelständischen Unternehmen Unterstützung in allen Bereichen der Cybersicherheit. Mit niedrigschwelligen Angeboten, praxisorientierten Lernmaterialien und bundesweiten Veranstaltungen möchte die Transferstelle Cybersicherheit helfen, Ihren Betrieb sicher zu digitalisieren.
Weitere Informationen finden Sie auf: transferstelle-cybersicherheit.de
Gut zu wissen
- Der Cyber Resilience Act (CRA) wurde am 24. Juli 2024 vom Europäischen Parlament verabschiedet und tritt ab Januar 2025 in allen EU-Mitgliedstaaten in Kraft. Er zielt darauf ab, die Cybersicherheit digitaler Produkte und Dienstleistungen in der EU zu erhöhen
- Der CRA betrifft alle Unternehmen, die digitale Produkte herstellen, importieren oder vertreiben
- Mit seiner Verabschiedung müssen Unternehmen künftig Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden und bekannte Sicherheitslücken bis zu fünf Jahre nach dem Inverkehrbringen beheben
