IT-Sicherheit: Der Start des Cyber Resilience Acts

Nach langen Verhandlungen zwischen Politik, Wirtschaft und Verbänden wurde der Cyber Resilience Act (CRA) Ende 2024 verabschiedet. Unternehmen in der EU müssen bis Ende 2027 sicherstellen, dass sie den neuen Anforderungen gerecht werden. Doch was bedeutet das konkret, und welche Konsequenzen ergeben sich für den Markt? Ein Blick hinter die Kulissen, warum der CRA so umstritten war und welche Maßnahmen Unternehmen jetzt ergreifen sollten.

Cybersicherheit als europäische Priorität

Die EU hat bereits mit dem Cybersecurity Act von 2019 und der Sicherheitsrichtlinie NIS2 Schritte zur Stärkung der Cybersicherheit unternommen. Der CRA geht noch weiter, indem er einheitliche Sicherheitsvorgaben für digitale Produkte schafft. Angesichts der zunehmenden Cyberangriffe soll so ein verlässlicher Schutzstandard etabliert werden. Doch während Europa diesen Kurs festlegt, bleibt der internationale Kontext unklar. In den USA wurde beispielsweise das ‚Cyber Safety Review Board‘ nach dem letzten Regierungswechsel umgehend aufgelöst. Es bleiben also Fragen, was die globale Koordination angeht.

Auch bei der Entstehung des Cyber Resilience Acts mussten erst einige Hürden aus dem Weg geräumt warden. Die Ausarbeitung des CRA war von heftigen Debatten geprägt, insbesondere im Hinblick auf Open-Source-Software. Ursprünglich sollte die Verordnung auch nicht-kommerzielle Projekte denselben Pflichten unterwerfen wie kommerzielle Anbieter. Dies hätte weitreichende Folgen für das Open-Source-Ökosystem in Europa gehabt, da viele Entwickler sich gezwungen gesehen hätten, ihre Software nicht mehr öffentlich zugänglich zu machen. Nach intensiven Diskussionen wurde eine differenziertere Lösung gefunden, bei der nicht-kommerzielle Open-Source-Projekte regulatorische Erleichterungen erhalten. Dafür wurde als Sonderrolle die Bezeichnung ‘Open Source Steward’ eingeführt. Es bleibt zu hoffen, dass sich dieser Kompromiss positiv auf die Innovationskraft der digitalen Wirtschaft auswirkt.

Ein weiteres Problem besteht aktuell aber noch in der internationalen Wettbewerbsfähigkeit europäischer Unternehmen. Während europäische Firmen bald strengere Sicherheitsvorgaben einhalten müssen, unterliegen Anbieter aus Drittstaaten oft weniger restriktiven Regeln. Dies könnte zu Wettbewerbsverzerrungen führen, wenn ausländische Anbieter mit geringeren Sicherheitsstandards auf den europäischen Markt drängen. Eine enge Abstimmung mit anderen Wirtschaftsräumen bleibt daher ein zentrales Anliegen.

Die praktische Umsetzung der neuen Regeln stellt insbesondere kleinere Unternehmen vor Herausforderungen. Viele haben bisher kaum Erfahrungen mit systematischen Sicherheitsanalysen oder einer detaillierten Dokumentation ihrer Software-Lieferkette – die Ressourcen dafür sind vielerorts schlichtweg nicht vorhanden. Es ist im Moment noch unklar, inwieweit die EU-Unternehmen mit konkreten Anleitungen unterstützen wird oder ob sie weitgehend selbst Wege finden müssen, um den Vorgaben zu entsprechen. Während der ersten Sitzung der Expertengruppe in Brüssel wurde das Thema intensiv diskutiert: Während einige Teilnehmer für möglichst flexible Anforderungen plädierten, forderten andere klare Richtlinien, um Unsicherheiten zu minimieren. Klar ist aber jetzt schon, dass Unternehmen sich nicht zu lange Zeit lassen sollten, sich auf die neuen Regeln einzustellen.

Bereits ab September 2026 beginnt die Berichtspflicht über Sicherheitsvorfälle und Schwachstellen. Unternehmen müssen ihre internen Prozesse bis dahin so gestalten, dass sie Bedrohungen frühzeitig erkennen und angemessen darauf reagieren können. Eine umfassende Transparenz über die gesamte Software-Lieferkette hinweg ist dabei unerlässlich. Wer jetzt beginnt, systematisch zu erfassen, welche Softwarekomponenten genutzt werden und welche Risiken damit verbunden sind, wird langfristig im Vorteil sein.

Auswirkungen auf Unternehmen und künftige Entwicklungen

Erst auf lange Sicht wird sich zeigen, ob der CRA wirklich zur Stärkung der Cybersicherheit beiträgt oder ob er vor allem zu mehr bürokratischem Aufwand führt. Während die Regulierung viele Unternehmen vor neue Herausforderungen stellt, könnten diejenigen, die sich frühzeitig anpassen, langfristige Vorteile erzielen. Wer jetzt in ein durchdachtes Schwachstellenmanagement investiert und seine Sicherheitsmaßnahmen dokumentiert, kann sich nicht nur auf regulatorische Anforderungen vorbereiten, sondern auch das Vertrauen von Kunden und Partnern stärken.

Neben den organisatorischen Herausforderungen gibt es auch technische Aspekte zu beachten. Die Anforderungen an die Software-Supply-Chain bedeuten, dass Unternehmen eine lückenlose Nachvollziehbarkeit ihrer Komponenten sicherstellen müssen. Das betrifft nicht nur den eigenen Code, sondern auch Drittanbieter-Software und Open-Source-Bibliotheken. Die Dokumentation aller verwendeten Komponenten, die häufig aus vielen verschiedenen Quellen kommen, wird daher für viele Unternehmen eine zentrale Aufgabe sein. Sicherheitslücken oder Schwachstellen müssen nicht nur identifiziert, sondern auch transparent kommuniziert werden. Auch das stellt insbesondere kleine Firmen mit begrenzten Ressourcen vor Herausforderungen, da umfangreiche Sicherheitsanalysen und Dokumentationen Zeit und Expertise erfordern.

Unternehmen sollten daher jetzt beginnen, Prozesse zu entwickeln, um ihre IT-Sicherheitsmaßnahmen langfristig mit den neuen regulatorischen Anforderungen in Einklang zu bringen. Dazu gehört eine regelmäßige Überprüfung der genutzten Software auf potenzielle Sicherheitslücken, der Aufbau eines effektiven Schwachstellenmanagements sowie eine kontinuierliche Schulung der Mitarbeiter in Fragen der Cybersicherheit. Denn Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der immer wieder an neue Bedrohungslagen angepasst werden muss. Und dazu gehört der permanente und intensive Austausch aller Abteilungen – von der IT bis zur Geschäftsführung. Bedrohungen aus der digitalen Welt werden sich zwar nie vollständig ausschalten lassen, aber zumindest ist das ein Weg, um sie einzudämmen.

Der CRA wird ein Lackmustest für die europäische Cybersicherheitsstrategie sein. Einerseits könnte er dazu beitragen, digitale Infrastrukturen nachhaltiger zu schützen. Andererseits besteht die Gefahr, dass Unternehmen mit einem hohen administrativen Aufwand belastet werden, ohne dass sich die Sicherheitslage erheblich verbessert. Die kommenden Jahre werden zeigen, ob die Regulierung in der Praxis tragfähig ist oder ob Anpassungen nötig sein werden. Unternehmen, die sich frühzeitig mit den neuen Anforderungen auseinandersetzen, könnten langfristig jedoch einen Wettbewerbsvorteil daraus ziehen. Entscheidend wird sein, dass Wirtschaft, Politik und Regulierungsbehörden weiterhin im Dialog bleiben, um praktikable Lösungen zu finden, die Sicherheit und Innovation gleichermaßen fördern. Und dafür werden wir uns in der Expertengruppe weiterhin einsetzen.