Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist eine zentrale Verordnung der EU, durch die die Cybersicherheit von Produkten mit digitalen Elementen verbessert wird. Darunter fallen Hardware-, Software- sowie IoT-Produkte. Ziel des CRA ist die Einführung von Mindeststandards für die Cybersicherheit digitaler Produkte und ist somit vergleichbar mit der DSGVO allerdings für die Produktsicherheit.
Auch die NIS2-Richtlinie zielt auf die Stärkung der Cybersicherheit innerhalb Europas ab. Diese gilt allerdings vorwiegend für Infrastrukturen und Organisationen - beispielsweise das Gesundheitswesen – und grenzt sich somit vom Cyber Resilience Act ab.
Für wen gilt der CRA?
Der CRA-EUgilt in erster Linie für Hersteller, Importeure und Händler. Diese sind angehalten bereits im Entwicklungsprozess die Cybersicherheit im Blick zu behalten, mögliche Risiken offen zu legen sowie zu bewerten.
Auch für B2B-Software-Anbieter gelten die CRA-Anforderungen. Je nach Ausgestaltung werden Betriebsmodelle in „wichtige“ oder „kritische“ Produkte eingestuft. Regelt Software beispielsweise den Zugang zu sensiblen Daten oder wird in sensiblen Bereichen wie Chipkarten eingesetzt ist eine externe Prüfung erforderlich.
Anforderungen des CRA
Um Cybersicherheit nachhaltig abzudecken, kommen mit dem Cyber Resilience Act neue Pflichten auf Unternehmen und insbesondere auf Software-Anbieter zu. Hier ein Überblick über Anforderungen, die Hersteller direkt betreffen:
- Security by Design & Default: Sicherheit ist oberste Priorität und muss von Beginn an in der Planung sowie in die Produktarchitektur integriert sein und nicht erst nachträglich ergänzt werden.
- Schwachstellenmanagement & Updates: Schwachstellen müssen systematisch identifiziert, bewertet und behoben werden. Zusätzlich müssen Sicherheitsupdates über einen definierten Supportzeitraum von mindestens fünf Jahren erfolgen.
- Transparenz für Nutzer: Relevante Produktinformationen müssen für Nutzer verständlich bereitgestellt und Sicherheitsvorfälle sowie eingeleitete Gegenmaßnahmen kommuniziert werden.
- Technische Dokumentation: Dem Produkt muss eine vollständige Dokumentation aller verwendeten Softwarekomponenten durch Software Bill of Materials (SBOM) angehängt werden.
- CE-Kennzeichnung für Cybersicherheit: Händler und Importeure müssen sicherstellen, dass das von ihnen vertrieben oder bezogene Produkt mit einer CE-kennzeichnung versehen wurde.
- Meldepflicht bei Sicherheitsvorfällen: Wurden Schwachstellen aktiv ausgenutzt, muss eine Erstmeldung auf der neuen Meldeplattform der ENISA innerhalb von 24 Stunden erfolgen. Nach dem dritten Tag muss eine Folgemeldung und nach 14 Tagen ein Abschlussbericht eingereicht werden.
- Risikobewertung, Produktlebenszyklus: Es muss eine regelmäßig aktualisierte Risikobewertung durch den Hersteller erfolgen, in der mögliche Cybersicherheitsrisiken adressiert werden.
- Konformitätserklärung: Hersteller und Software-Anbieter müssen durch eine Konformitätserklärung belegen, dass ihre Produkte alle CRA-Anforderungen erfüllen.
Mit dem Cyber Resilience Act kommen viele neue Pflichten auf Unternehmen zu, ein Überblick über entscheidende Fristen ist wichtig. © GFOS Group
Wann kommt der Cyber Resilience Act?
Die Umsetzung der Cyber Resilience Verordnung erfolgt schrittweise. Der CRA trat bereits am 10. Dezember 2024 formell in Kraft. Seit diesem Tag können Unternehmen ihre Prozesse an die neuen Anforderungen anpassen.
Ab dem 11. September 2026 kommen erste Pflichten auf Hersteller zu, darunter die Meldepflicht über alle aktiv ausgenutzten Sicherheitslücken.
Am 11. Dezember 2027 wird schließlich die vollständige Anwendung der Verordnung greifen. Ab diesem Tag müssen Unternehmen alle Anforderungen des CRA erfüllen.
Folgen für Unternehmen
Der Cyber Resilience Act wirkt sich vor allem auf klassische On-Premise-Betriebsmodelle aus. Auf Software-Betreiber kommen mehr Pflichten zu, aber auch der Kunde trägt Verantwortung: Sicherheitsmaßnahmen müssen lokal umgesetzt, getestet und freigegeben werden. Zusätzlich ziehen Aktualisierungen regelmäßige Abstimmungen, neue Praxiserprobungen sowie mögliche Anpassungen nach sich. Dies kostet Zeit und erhöht die Risiken im Sicherheitsmanagement. Denn während der Hersteller die Sicherheit des Produkts verantwortet, liegt die Verantwortung für den sicheren Betrieb beim Kunden.
Aus diesem Grund setzten viele Softwarehersteller zunehmend auf SaaS-Lösungen – wie z.B. eine HR-SaaS-Software. Die Umstellung auf SaaS-Modelle vereinfacht sicherheitsrelevante Anpassungen, da diese über alle Instanzen hinweg umgesetzt werden. Somit entfallen Abstimmungsprozesse. Die Wartung, das Monitoring und die Sicherheit liegen nicht mehr beim Kunden, sondern sind integraler Bestandteil des Betriebsmodells. Die Nutzung eines SaaS-Modells – z.B. zur Zeiterfassung - reduziert somit das Cyber-Risiko.
Handlung erforderlich: Betriebsmodelle hinterfragen
Mit der Cyber Resilience Verordnung stehen Unternehmen nun unter Druck: Bis spätestens Ende 2027 müssen On-Premise-Betriebsmodelle strategisch neu gedacht werden und eine zukunftsfähige Architektur erhalten. Software-Nutzer geraten immer stärker in das Blickfeld von Compliance-Prüfungen, weshalb die Fähigkeit, Sicherheitsmaßnahmen schnell sowie nachhaltig umzusetzen, zu einem entscheidenden Erfolgsfaktor wird.
Darum lohnt sich der Umstieg auf SaaS-Lösungen
Durch ihre nachhaltig zukunftsfähige Architektur ziehen Kunden einen großen Mehrwert aus SaaS-Modellen. Hier ein Überblick:
- Erhöhte Sicherheit: Dadurch, dass alle sicherheitsrelevanten Maßnahmen - wie Updates zu neuen Features - zentral gesteuert und umgesetzt werden, wird das Cyber-Risiko verringert.
- Entlastung der Mitarbeiter: SaaS-Lösungen erhöhen die Transparenz, sodass Abstimmungsaufwände zwischen der IT, den Fachbereichen und externen Partnern geringer ausfallen.
- Mehr Effizienz und Transparenz: Compliance Anforderungen lassen sich einfacher dokumentieren, wodurch regulatorische Anforderungen effizient erfüllt werden.
- Bessere Planbarkeit: Die Kosten einer SaaS-Lösung sind bedarfsgerecht und somit langfristig planbar. Software-Betreiber erweitern die Lösungen bei Bedarf jederzeit flexibel.
Cybersicherheit leicht gemacht mit GFOS
SaaS-Lösungen sind die Betriebsmodelle der Zukunft. Gerne finden wir für Sie und Ihre Anforderungen die passgenaue Software. Entdecken Sie die SaaS-Bundles von GFOS und gestalten Sie eine nachhaltig sichere Arbeitswelt.