Der BSI-Lagebericht 2024 zeigt aber auch Fortschritte bei Resilienz und Unterstützungsangeboten
Dennis, Adobe Stock
Der Cyber Resilience Act (CRA) der EU setzt neue Standards für digitale Produkte und Dienstleistungen. Welche Unternehmen sind betroffen und welche Anforderungen kommen auf sie zu?
Das Europäische Parlament hat im vergangenen Juli den Cyber Resilience Act verabschiedet, der ab Januar 2025 in allen EU-Mitgliedsstaaten in Kraft tritt. Ziel des CRA ist es, die Cybersicherheit aller vernetzten digitalen Produkte und Dienstleistungen zu stärken und so die Widerstandsfähigkeit der europäischen Wirtschaft gegen Cyberangriffe zu erhöhen.
Der CRA zielt darauf ab, die Sicherheit digitaler Produkte und Dienstleistungen in der EU zu gewährleisten und die Nutzer vor Cyberrisiken zu schützen. Angesichts zunehmender Cyberbedrohungen und der wachsenden Abhängigkeit von digitalen Technologien fordert der CRA von Unternehmen, die Sicherheit ihrer Produkte und Dienstleistungen über den gesamten Lebenszyklus hinweg zu gewährleisten.
Der CRA betrifft eine Vielzahl von Unternehmen unabhängig von ihrer Größe, darunter:
Der CRA verlangt, dass Unternehmen in den Phasen Design, Entwicklung, Produktion sowie während des Inverkehrbringens und der Nutzung ihrer Produkte angemessene Cybersicherheitsmaßnahmen einhalten. Die Europäische Kommission unterscheidet dabei drei Kategorien von Produkten:
Etwa 90 Prozent der Produkte sollen als nicht-kritisch eingestuft werden. Hersteller kritischer Produkte müssen strengere Anforderungen erfüllen und ihre Konformität durch das „CE-Kennzeichen“ nachweisen. Nationale Behörden überwachen die Umsetzung. Hersteller müssen Sicherheitslücken innerhalb von fünf Jahren nach dem Inverkehrbringen beheben und Nutzer darüber informieren. Bei Sicherheitsvorfällen ist eine Meldung an die europäische Cybersicherheitsagentur (ENISA) innerhalb von 24 Stunden erforderlich.
Die Umsetzung des CRA bringt sowohl Herausforderungen als auch Chancen. Die Einhaltung der neuen Sicherheitsanforderungen kann erhebliche Investitionen in Technologie und Schulung erfordern. Unternehmen müssen möglicherweise bestehende Prozesse und Strukturen anpassen.
Gleichzeitig bietet der CRA neue Möglichkeiten: Erhöhte Sicherheit führt zu einer besseren Widerstandsfähigkeit gegenüber Cyberangriffen, wodurch Risiken und Kosten von Sicherheitsvorfällen minimiert werden. Unternehmen, die hohe Sicherheitsstandards einhalten, können das Vertrauen ihrer Kunden und Geschäftspartner stärken und sich so einen Wettbewerbsvorteil verschaffen.
Unternehmen sollten sich frühzeitig mit den Anforderungen des CRA auseinandersetzen und geeignete Maßnahmen zur Umsetzung ergreifen. Dazu gehören:
Die Umsetzung des CRA stellt eine Herausforderung dar, bietet jedoch auch die Chance, die Cybersicherheitsstrategie zu stärken, sich besser gegen Bedrohungen zu wappnen und die Wettbewerbsfähigkeit zu erhöhen.
Die Transferstelle Cybersicherheit im Mittelstand bietet mittelständischen Unternehmen Unterstützung in allen Bereichen der Cybersicherheit. Mit niedrigschwelligen Angeboten, praxisorientierten Lernmaterialien und bundesweiten Veranstaltungen möchte die Transferstelle Cybersicherheit helfen, Ihren Betrieb sicher zu digitalisieren.
Weitere Informationen finden Sie auf: transferstelle-cybersicherheit.de
Dieser Artikel stammt aus unserer Verbandszeitschrift Mittelstand.
Lesen Sie jetzt mehr: