Thought Leadership
Die Uhr tickt: Der Cyber Resilience Act (CRA) ist in Kraft getreten, und innerhalb der nächsten zwei Jahre müssen Unternehmen dessen Vorgaben umsetzen. Wer damit noch nicht begonnen hat, könnte in Zeitnot geraten.
Doch was genau kommt auf die Unternehmen zu? Worüber diskutiert die Expertengruppe in Brüssel? Und warum war der CRA zu Beginn so umstritten?
Den 11. Dezember 2027 sollten sich Hersteller von Hard- und Software rot im Kalender markieren, denn ab diesem Tag müssen sie die Vorgaben des Cyber Resilience Acts angewenden. Schon rund ein Jahr zuvor, im September 2026, beginnt die Berichtspflicht über Sicherheitsvorfälle und potentielle Schwachstellen. Unternehmen müssen ihre internen Prozesse bis dahin so gestalten, dass sie Bedrohungen frühzeitig erkennen und reagieren können. Eine umfassende Transparenz über die gesamte Software-Lieferkette hinweg ist dabei enorm wichtig. Wer jetzt beginnt, systematisch zu erfassen, welche Softwarekomponenten genutzt werden und welche Risiken damit verbunden sind, ist damit auf der sicheren Seite.
Weil mit der Umstellung eine sorgfältige Analyse der eigenen Prozesse und Systeme erforderlich ist, sollte man Zeit einplanen. Wo es bisher noch keine systematische Dokumentation der Softwareentwicklungs- und Sicherheitspraktiken gab, muss eine lückenlose Nachweisführung etabliert werden. Es gilt, detailliert zu erfassen, welche Softwarekomponenten und Drittanbieter-Lösungen im Einsatz sind und welche Sicherheitsmaßnahmen implementiert wurden. Welche Code-Komponenten kommen woher? Wer war an der Entwicklung beteiligt? Gerade bei Open Source-Anwendungen kann die Zahl der Beteiligten ziemlich groß sein und mehrere Jahre zurückreichen.
Die erste Sitzung der Expertengruppe
Auch wenn die Stoßrichtung steht, sind beim CRA noch Fragen offen. In Brüssel hat sich die Expertengruppe nun das erste Mal zusammengefunden, und wir von Stackable waren dabei. Wenige Wochen zuvor hätte ich das nicht im Traum erwartet. Wir hatten uns auf gut Glück beworben und uns als relativ junges und vergleichsweise kleines Unternehmen nicht ernsthafte Hoffnungen gemacht, wirklich dabei zu sein. Umso größer war die Freude, als die Einladung kam. Nun mit Experten von etablierten Branchengrößen wie Siemens oder Cisco an einem Tisch zu sitzen und die Europäische Kommission mit Know-how zu versorgen, hat mir wertvolle Einblicke gegeben, wie Gesetze in der EU entstehen, verhandelt und letztlich verabschiedet werden.
Und worüber haben wir nun diskutiert? Ein wichtiger Punkt, bei dem die Meinungen auseinander gingen, war das Risikomanagement. In meinem Berufsleben hatte ich damit bisher nur sporadisch zu tun. Dass es anderen Unternehmern, vor allem bei Startups und kleineren Firmen, ebenso zugeht, wusste ich bereits. Es ist vielen nicht klar, an welchen Szenarien und Regeln man sich ausrichten muss. Deshalb sprachen sich auch manche Teilnehmer der Expertengruppe dafür aus, dass die Kommission Anleitungen und Fahrpläne herausgeben soll, an denen sich Unternehmen orientieren können. Andere Teilnehmer plädierten dafür, die Vorgaben so gering wie möglich zu halten, damit das Thema nicht zu kompliziert wird. Darüber werden wir in den kommenden Wochen weiter beraten.
Ein weiteres wichtiges Thema ist die internationale Abstimmung. Europa geht mit dem CRA einen ambitionierten Weg, während andere Teile der Welt noch keine vergleichbaren Regularien entwickelt haben. Das könnte dazu führen, dass Firmen aus Europa einen Wettbewerbsnachteil haben, da sie strengere Sicherheitsvorgaben erfüllen müssen. Wie sich die Abstimmung und Zusammenarbeit mit anderen Wirtschaftsräumen gestaltet, wird uns in der Expertengruppe auch noch weiter beschäftigen.
Ein Ausrufezeichen für die europäische IT-Sicherheit
Diskussionsbedarf hat es beim CRA schon von Anfang an gegeben. Vor allem das Thema Open Source hat zu intensiven Debatten zwischen Politik, Wirtschaft und Verbänden geführt und war auch ein Grund, warum wir uns für die Expertengruppe beworben haben. Quelloffene Software ist unserer Meinung nach ein wichtiges Puzzleteil auf dem Weg hin zu einem sicheren und souveränen Europa.
In der ersten Fassung des CRA stand diese Souveränität auf dem Spiel. Nach diesem frühen Entwurf hätten Open Source-Entwickler und Stiftungen dieselben Vorgaben erfüllen müssen wie kommerzielle Hersteller. Das europäische Open Source-Ökosystem stand für einen Moment auf der Kippe, da sich etliche Anbieter aus dem Binnenmarkt zurückgezogen hätten. Letztendlich wurde dann aber doch eine für alle zufriedenstellende Lösung gefunden: Die Unterscheidung zwischen kommerzieller und nicht-kommerzieller Nutzung wurde eindeutig formuliert, außerdem gibt es nun die Sonderstellung des ‚Open Source-Stewards‘, der weniger Verpflichtungen erfüllen muss.
So wie beim Thema Open Source werden wir auch bei den offenen Punkten eine gute Lösung finden – da bin ich sicher. Der CRA bietet enorme Vorteile in Sachen Cybersecurity. Dass es leider auch anders geht, zeigen die USA aktuell: Dort wurde von der aktuellen Administration das ‚Cyber Safety Review Board‘ in einer der ersten Amtshandlungen wieder aufgelöst. Deshalb ist es umso wichtiger, dass Europa hier geschlossen vorangeht.
Für die europäische Cybersicherheit ist der Cyber Resilience Act ein wahres Ausrufezeichen. Jetzt muss es uns noch gelingen, einen gesunden Mittelweg aus Effizienz und Transparenz zu finden, der die europäischen IT-Unternehmen bestmögliche Unterstützung bietet. Genau dafür werden wir uns in den kommenden Wochen und Monaten in der Expertengruppe einsetzen.
