Ob zu Hause, im Auto oder in der Firma – smarte Geräte machen unser Leben komfortabler und effizienter. Doch was passiert, wenn diese Geräte nicht ausreichend gesichert sind? Stell dir vor, ein Fremder könnte dein smartes Türschloss öffnen, deine Überwachungskamera deaktivieren oder sogar auf vernetzte Produktionsanlagen zugreifen. Ein solches Szenario ist nicht nur beunruhigend, sondern kann auch ernsthafte Konsequenzen haben – sowohl für Privatpersonen als auch für Unternehmen. Genau aus diesem Grund wurde der Cyber Resilience Act (CRA) ins Leben gerufen. Dieses neue EU-Gesetz soll digitale Produkte sicherer machen und vor Cyberangriffen schützen.
Was der Cyber Resilience Act wirklich bedeutet:
Der Cyber Resilience Act: Was passiert jetzt?
Seit dem 11. Dezember 2024 ist das Gesetz offiziell in Kraft, aber es gibt verschiedene Übergangsfristen, damit Unternehmen genügend Zeit haben, sich an die neuen Vorgaben anzupassen:
- Ab dem 11. Juni 2026: Erste Prüfstellen beginnen mit der Kontrolle, ob Produkte die neuen Sicherheitsstandards erfüllen.
- Ab dem 11. September 2026: Hersteller sind verpflichtet, bekannte Sicherheitslücken und Schwachstellen zu melden.
- Ab dem 11. Dezember 2027: Alle neuen digitalen Produkte, die auf den Markt kommen, müssen vollständig den CRA-Anforderungen entsprechen.
Das bedeutet, dass Unternehmen zwar noch Zeit haben, aber die Umsetzung nicht auf die lange Bank schieben sollten. Wer frühzeitig handelt, kann spätere Probleme und hohe Kosten vermeiden!
Was müssen betroffene Unternehmen jetzt tun?
Mit dem CRA setzt die EU ein klares Zeichen: Sicherheit darf kein nachträglicher Gedanke mehr sein. Unternehmen müssen daher folgende Maßnahmen ergreifen:
- Sicherheitsmaßnahmen bereits in der Entwicklungsphase berücksichtigen: Produkte müssen so konzipiert werden, dass sie gegen Cyberangriffe gewappnet sind.
- Regelmäßige Updates bereitstellen: Sicherheitslücken müssen schnellstmöglich durch Updates geschlossen werden.
- Nachweise über die Produktsicherheit erbringen: Unternehmen müssen dokumentieren, dass ihre Produkte den Sicherheitsanforderungen entsprechen.
- Bekannte Schwachstellen und Vorfälle melden: Es gibt eine gesetzliche Pflicht zur Meldung von Sicherheitsproblemen.
- Zertifizierungen einholen: Produkte müssen auf ihre Cybersicherheit geprüft und zertifiziert werden.
Diese Anforderungen gelten nicht nur für große IT-Konzerne, sondern auch für kleinere und mittelständische Unternehmen, die digitale Produkte herstellen oder vertreiben.
Welche Herausforderungen gibt es?
Der CRA bringt eine Reihe von Verbesserungen mit sich, stellt Unternehmen aber auch vor einige Herausforderungen:
- Unklare Anforderungen: Viele Unternehmen wissen noch nicht genau, was sie konkret tun müssen, um die Vorgaben zu erfüllen.
- Mangel an Fachkräften: IT-Sicherheitsexperten sind gefragt, aber es gibt nicht genügend qualifizierte Fachkräfte auf dem Markt.
- Noch offene Zertifizierungsprozesse: Die genauen Prüfverfahren für die Zertifizierung müssen noch vollständig ausgearbeitet werden.
- Finanzielle Belastung für kleinere Unternehmen: Gerade kleinere Firmen könnten Schwierigkeiten haben, die neuen Vorschriften finanziell und organisatorisch umzusetzen.
Fazit: Wer nicht handelt, riskiert hohe Strafen!
Unternehmen, die die neuen Sicherheitsanforderungen nicht einhalten, müssen mit empfindlichen Strafen rechnen. Verstöße gegen den CRA können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden. Das zeigt, wie ernst die EU das Thema Cybersicherheit nimmt. Deshalb sollten Unternehmen jetzt aktiv werden, ihre Produkte überprüfen, interne Prozesse anpassen und ihr Personal entsprechend schulen.
Wenn Sie mehr zum Thema Cyber Resilience Act erfahren möchten, dann können Sie auch auf den folgenden Veranstaltungen weitere Informationen sammeln:
Live-Online-Seminar: Bitkom Akademie: Cyber Resilience Act – Schutz in der digitalen Ära
Wann: 12. März 2025 (Live-Online-Seminar)
Wer: Sophie Powierski, Compliance Beraterin
Inhalt: Erhalten Sie praxisnahe Einblicke in die Umsetzung und Compliance sowie die damit verbundenen Herausforderungen und Chancen.
Wo: Online Seminar der Bitkom Akademie
Deep Dive auf der SecIT by Heise: Bitkom Akademie: Cyber Resilience Act: Sicherheitsgarantie oder Angriffsziel?
Wann: 19. März 2025, 11:30 Uhr
Wer: Ron Kneffel, Head of IT Security, und Janine Richter, Head of Compliance
Inhalt: Im Deep Dive der Bitkom Akademie hinterfragen Ron Kneffel und Janine Richter, ob der Cyber Resilience Act wirklich als Schutzschild fungiert oder ob er die Angriffsflächen in der Cyberwelt noch vergrößern könnte und geben Tipps für die erfolgreiche Umsetzung.
Wo: Deep-Dive Raum 16, SecIT by Heise
Nutzen Sie diese Gelegenheiten, um sich umfassend über den CRA zu informieren, gezielt Fragen zu stellen und wertvolle Empfehlungen aus erster Hand zu erhalten. Wer sich jetzt vorbereitet, kann nicht nur hohe Strafen vermeiden, sondern auch das Vertrauen der Kunden in sichere digitale Produkte stärken!
Autorin
Sophie Powierski
Jobs
Ihr Ansprechpartnerin
Gerne erzählen wir Ihnen mehr zu diesem Thema.
