Cyber-Resilienz-Act (CRA)
Cybersicherheit wird Pflicht: Der Cyber Resilience Act verpflichtet Unternehmen, ihre Produkte während des gesamten Lebenszyklus gegen digitale Risiken abzusichern.
Was der CRA bringt
Der Cyber Resilience Act (CRA), der am 10. Dezember 2024 in Kraft getreten ist, bringt weitreichende Änderungen für Unternehmen in der EU mit sich. Ziel ist es, die Cybersicherheit von Hardware- und Softwareprodukten zu verbessern. Mit einer Übergangsfrist von 36 Monaten wird die Verordnung ab dem 11. Dezember 2027 vollständig gelten.
Der CRA verpflichtet Hersteller, Importeure und Händler, während des gesamten Produktlebenszyklus Cybersicherheit zu gewährleisten. Dies umfasst strenge Anforderungen für Produkte, die auf dem EU-Markt angeboten werden, und soll Risiken sowie Schwachstellen reduzieren. Für Unternehmen bedeutet dies, Beschaffungsprozesse und Sicherheitsstandards anzupassen, insbesondere bei der Nutzung von Open-Source-Lösungen.
Open Source spielt eine zentrale Rolle in der IT-Infrastruktur, ist aber durch die neuen Vorschriften stark gefordert. Viele Open-Source-Projekte werden von ehrenamtlichen Communities getragen, die nicht über die Mittel verfügen, um CRA-Anforderungen zu erfüllen. Dies könnte zu einer Fragmentierung der Communities oder gar zur Aufgabe wichtiger Projekte führen.
Organisationen wie die Linux Foundation und die Apache Software Foundation setzen sich dafür ein, die Open-Source-Gemeinschaft zu schützen. Unternehmen können unterstützen, indem sie sich an Communities beteiligen, Projekte fördern oder CRA-konforme Softwarelösungen entwickeln.
Die Zusammenarbeit zwischen Unternehmen und Open-Source-Communities ist entscheidend, um Innovation und Sicherheit zu verbinden. In einer Zeit, in der Cyber-Resilienz unerlässlich ist, bietet der CRA Chancen für Unternehmen, sich auf sichere und innovative Technologien zu stützen.
Im Rahmen unserer Compliance-Lösungen übertragen wir die Anforderungen des Cyber Resilience Act direkt auf Ihre Produkt- und Entwicklungsprozesse: Wir analysieren Ihre Sicherheitsanforderungen, entwickeln maßgeschneiderte Richtlinien und schulen Ihr Team für rechtssichere Hardware- und Softwarelösungen nach EU-Standards.
Autor
Markus Vatter, Head of Compliance, 01.04.2025
Weiterführende Links
Der Cyber Resilience Act (CRA) ist der Entwurf einer EU-Verordnung zur Stärkung der Cybersicherheit von Produkten mit digitalen Bestandteilen. Er definiert verbindliche Anforderungen an die Cybersicherheit, die für den europäischen Markt von den Herstellern, Importeuren und Händlern solcher Produkte zu erfüllen sind. Die Verordnung ergänzt bestehende rechtliche Vorschriften und soll 2024 formell verabschiedet werden.
Sprechen Sie mit unseren Experten.
Wir beraten Sie gerne und freuen uns auf Ihre Fragen.
