Cyber Resilience Act

Der CRA betrifft Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Betroffen sind fast alle digitalen und vernetzten Produkte, beispielsweise Hardware wie smarte Haushaltsgeräte oder Smartphones, Software sowie industrielle und kritische Systeme. Aufgrund der mittlerweile praktisch universellen Implementierung von digitalen Systemen in Produkten betrifft diese Richtlinie große Teile der Wirtschaft. Am 10. Dezember 2024 ist der CRA offiziell in Kraft getreten, trotz einer Übergangsfrist von 36 Monaten gibt es Bestimmungen, die früher gelten.

Welche Fristen gelten?

• Die meisten Vorschriften müssen erst ab dem 11. Dezember 2027 vollständig umgesetzt sein.
• Ab 11. Juni 2026: Meldepflichten für Hersteller, Konformitätsbewertungsstellen können die Erfüllung der Anforderungen des CRA bewerten
• Ab 11. September 2026: Pflicht zur Meldung von ausgenutzten Schwachstellenschwerwiegenden Sicherheitsvorfällen an nationale Behörden

Welche Sanktionen drohen bei Nicht-Einhaltung?

• Bis zu 15 Millionen Euro oder
• Bis zu 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Ein Verstoß liegt vor, wenn zentrale Anforderungen wie Risikomanagement, Sicherheitsupdates oder Schutzmaßnahmen nicht eingehalten werden, sicherheitsrelevante Vorfälle oder Schwachstellen nicht gemeldet werden oder die sichere Entwicklung und Bereitstellung von Software bzw. Hardware missachtet wird.

Der EU Cyber Resilience Act (CRA) schafft neue Verhältnisse und integriert Cybersicherheit in den gesamten Lebenszyklus eines Produkts. Herstellende müssen Sicherheitsmaßnahmen von Beginn an in die Produktarchitektur einbauen, Standardeinstellungen müssen ebenfalls gewisse Sicherheitsvoraussetzungen erfüllen. Weiters sind Organisationen zu regelmäßigen Sicherheitsupdates, ausführlicher Dokumentation sämtlicher Maßnahmen, voller Transparenz gegenüber Kund*innen und dem sofortigen Melden von kritischen Schwachstellen und Sicherheitsvorfällen verpflichtet. Grundsätzlich unterscheidet der CRA zwischen normalen Produkten, wichtigen Produkten und kritischen Produkten, die Sicherheitskriterien werden dabei zunehmend strikter. Diese strengen Vorschriften, die ab Dezember 2027 gelten, stellen eine große Herausforderung für Unternehmen dar – vor allem da Bußgelder bei Nichteinhalten der Vorschriften bis zu 15 Mio. EUR oder 2,5% des weltweiten Jahresumsatzes betragen können.

Der Trend zeigt klar: Cybersicherheit ist nicht mehr eine „Nice to Have“-Option, sondern eine Notwendigkeit. Um im Produktions- und Wartungsbereich effektiv und kosteneffizient Sicherheit garantieren zu können, ist es notwendig, eine ganzheitliche Sicherheitskultur zu schaffen. Die Implementierung von Managementsystemen ist der beste Weg, um Ihre Organisation langfristig auf die rechtlichen Herausforderungen im Bereich Cybersicherheit vorzubereiten.

Die Sicherheit eines Produkts hängt direkt mit den darin eingebetteten internen Prozessen einer Organisation zusammen. Ein zertifiziertes Informationssicherheitssystem nach ISO 27001 beugt Cyberangriffen vor, etabliert eine Kultur der Informationssicherheit im Unternehmen und ist dementsprechend eine starke Antwort auf den EU Cyber Resilience Act.

Der EU Cyber Resilience Act nimmt nicht nur den*die Endherstellende*n in die Pflicht, sondern alle Akteur*innen in der Lieferkette. Durch eine objektiv geprüfte Zertifizierung zeigen Sie Geschäftspartner*innen, dass sie die neuen gesetzlichen Rahmenbedingungen ernst nehmen und es sicher ist, mit Ihnen zusammenzuarbeiten.

Um bei der neuen Rechtslage langfristig zu wirtschaften, ist es unabdingbar, Cloudsicherheit ernst zu nehmen. Ein Durchbruch in Ihrer Cloud sowie der damit einhergehende potenzielle Verlust kritischer Daten kann ganze Produktlinien gefährden. Im Falle mangelnder Sicherheit (beispielsweise durch das Nachaußendringen vertraulicher Daten im Zuge eines Hacking-Angriffs) können Behörden Ihr Produkt vom Markt nehmen.

Investieren Sie in Ihre Zukunft – Holen Sie sich die Zertifizierung für Ihr Cloud Computing nach ISO 27017 & ISO 27018.

Aufgrund der weltweit rapide ansteigenden Cyberangriffe müssen Organisationen – auch wenn diese bereits weitgehende Cybersecurity-Maßnahmen eingeführt haben – auf das Schlimmste vorbereitet sein. Im Fall eines erfolgreichen Angriffs legt ein zertifiziertes Business Continuity Managementsystem nach ISO 22301 klare Schritte und Notfallpläne dar, um eine Ausbreitung des Angriffs zu verhindern, kritische Systeme zu schützen und Organisationen vor Großschäden zu bewahren. Die strenge rechtliche Realität des EU AI Act unterstreicht die Relevanz solcher Systeme und erhöht den Mehrwert einer Implementierung eines Business Continuity Managementsystems nochmals deutlich.

Das Team von CIS steht Ihnen bei Fragen gerne zur Verfügung!