Auf viele Unternehmen kommen neue Anforderungen in der Cybersicherheit zu. Der Cyber Resilience Act der EU, der am 20. November im Amtsblatt veröffentlicht wurde, tritt am 9. Dezember in Kraft. Da es sich um eine europäische Verordnung handelt, ist diese unmittelbar für alle Mitgliedstaaten verbindlich. Das unterschiedet sie von der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2), die als Richtlinie noch in nationales Recht umgesetzt werden muss. Der Zeitplan dafür ist in mehreren Ländern, darunter Deutschland, in Verzug.

Während die NIS-2 auf Mindestsicherheitsmaßnahmen in Unternehmen abzielt, handelt es sich beim Cyber Resilience Act (CRA) um eine produktbezogene Verordnung. „Der CRA wird mindestens so große Auswirkungen haben wie NIS-2“, erwartet Dennis-Kenji Kipker, Gründer des Cyberintelligence Institute in Frankfurt. Von Ende 2027 an müssen alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, den Anforderungen des CRA entsprechen – dazu kann eine Smartwatch ebenso zählen wie eine Firewall.

Ein wichtiges Konzept heißt „Secure by Design“: „Bereits in der Produktentwicklung müssen mögliches Cybersicherheitsrisiken mitgedacht und möglichst minimiert werden“, sagt Bernhard Steiner vom Softwareunternehmen Ivanti. Durch den Konfigurationsansatz „Secure by Default“ können zudem beispielsweise schwache Standardpasswörter wie „admin“ komplett ausgeschlossen werden. Eine neue Meldeplattform soll künftig für mehr Transparenz sorgen, wenn neue Schwachstellen auftreten.

Wer die CRA-Anforderungen nicht erfüllen kann, wird es nach 2027 schwer haben, sein Produkt auf dem EU-Binnenmarkt noch zu platzieren. Bei der CRA-Konformität sind zudem nicht nur die Hersteller in der Pflicht: „Die Anforderungen, die an Importeure und Händler gestellt werden, sind durchaus vergleichbar mit denen, die wir eben für die Hersteller haben“, sagt Kipker. Der CRA werde daher auch Thema für viele Unternehmen, die sich bislang noch gar nicht damit befasst haben.

Während der CRA als Verordnung 20 Tage nach Veröffentlichung im Amtsblatt in Kraft treten kann, ist der ursprünglich für Oktober 2024 angepeilte Termin zur Umsetzung der NIS-2 in deutsches Recht mittlerweile verstrichen. Als nächstmöglicher Zeitpunkt zur Umsetzung der Richtlinie, die als weiterer wichtiger Baustein der EU im Kampf gegen Cyberkriminalität gilt, ist nun März 2025 avisiert.

Die Deutschsprachige SAP-Anwendergruppe (DSAG) sieht in der Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-2) „eine bedeutende Chance, das Sicherheitsniveau in der deutschen und europäischen Unternehmenslandschaft zu erhöhen“. Die NIS2-Richtlinie umfasst künftig neben Betrieben der kritischen Infrastrukturen (KRITIS) auch 6.000 Betreiber kritischer Anlagen und 24.000 „wichtige und besonders wichtige Einrichtungen“ in Deutschland. Dies schließt Unternehmen aus Fertigung oder Dienstleistung ein, die in kritischen Wertschöpfungsketten tätig sind.