Cyber Resilience Act: Was Unternehmen jetzt wissen müssen

Offene Fragen bei Open Source und Risikoanalyse

Mit dem CRA hat die EU einen verbindlichen Rechtsrahmen geschaffen, der grundlegende Sicherheitsanforderungen für vernetzte Produkte definiert. Ziel ist es, Cybersicherheit als festen Bestandteil digitaler Wertschöpfung zu verankern – vergleichbar mit dem CE-Siegel für Produkte oder Normen für Elektrogeräte. Hersteller müssen künftig über den gesamten Lebenszyklus hinweg Maßnahmen zur Risikominimierung dokumentieren, Schwachstellen kommunizieren und gegebenenfalls Updates bereitstellen.

Produkte mit höherem Gefährdungspotenzial – klassifiziert als „important“ oder „critical“ – unterliegen zudem einer Pflicht zur externen Zertifizierung. Die Abgrenzung dieser Produktkategorien ist aktuell eines der umstrittensten Themen innerhalb der Expertengruppe. Eine neue Liste liegt vor, der sogenannte Comitology-Prozess beginnt – sprich: Die Mitgliedsstaaten übernehmen nun die Kontrolle über die weitere Konkretisierung. Parallel wird eine technische Beschreibung für Remote-Datenverarbeitungslösungen und eine Guidance entwickelt – beides hochrelevante, aber komplexe Themen, bei denen wir noch einige Detailfragen klären müssen.

Ein weiteres Dauerthema ist der Umgang mit Open-Source-Komponenten. Die finale Fassung des CRA stellt klar, dass nicht-kommerzielle Entwickler nicht denselben Verpflichtungen wie klassische Hersteller unterliegen. Mit der Rolle des sogenannten Open Source-Steward wurde eine Zwischenposition eingeführt, die eine gewisse Verantwortung anerkennt, ohne die Innovationskraft quelloffener Projekte zu gefährden. Dennoch ist aktuell noch unklar, ab wann ein Projekt als kommerziell gilt, wie mit Forks umzugehen ist oder was es bedeutet, wenn lediglich Support angeboten wird. Hier arbeitet die Kommission an einer Guidance, die derzeit in der Expertengruppe diskutiert wird. Auch der Umgang mit SBOMs, Software Bill of Materials, soll bis zum nächsten Treffen im Oktober 2025 weiter konkretisiert werden.

Eine weitere große Baustelle bleibt auch die verpflichtende Risikobewertung. Viele Unternehmen, insbesondere Start-ups und mittelständische Anbieter, haben bislang keine Erfahrung mit systematischem Risk Assessment. Im Gremium wurde schon beim ersten Treffen intensiv diskutiert, ob es einfache Mindeststandards geben sollte oder ob ein detaillierter Rahmen von der Kommission vorgegeben werden muss. Klar ist: Ohne klare Vorgaben werden viele Unternehmen überfordert sein. Die Kommission hat dies erkannt und plant, eine entsprechende Guidance zu entwickeln.

Tipps für Unternehmen

Unternehmen sollten bereits jetzt mit einer Bestandsaufnahme beginnen: Welche digitalen Produkte werden angeboten? Welche Open- Source-Komponenten oder Drittanbietersoftware sind integriert? Welche Sicherheitsmaßnahmen sind dokumentiert – und reichen diese aus, um auch regulatorischen Anforderungen standzuhalten? Wer bislang keine systematische Nachweisführung betrieben hat, sollte Strukturen schaffen, um Sicherheitspraktiken, Updates und Schwachstellenmanagement kontinuierlich zu dokumentieren. Ebenso wichtig ist eine realistische Einschätzung, ob das eigene Produkt in eine der risikobehafteten Kategorien fällt und daher zertifiziert werden muss – denn spätestens ab 2027 wird dies verpflichtend. Auch für Produkte, die über als „nicht-kritisch“ eingestuft werden, müssen Belege nachvollziehbar und revisionssicher vorliegen.

„Der CRA ist kein fertiges Regelwerk, sondern ein dynamischer Prozess, der immer weiter konkretisiert wird. Mit den grundlegenden Anforderungen sollten sich Unternehmen aber jetzt schon beschäftigen, um in Sachen Cybersicherheit den entscheidenden Schritt voraus zu sein.“

Lars Francke, Stackable

Ein weiterer Schlüssel zur erfolgreichen Umsetzung liegt in der Standardisierung. Normen und technische Spezifikationen sollen künftig als Grundlage für die Bewertung der CRA-Konformität dienen – sowohl bei der Selbsterklärung als auch bei der externen Zertifizierung. Aktuell arbeitet eine Gruppe von Expertinnen und Experten an Standards, unter anderem für das Schwachstellenmanagement und die Risikoanalyse. Ein erster Entwurf wurde bereits vorgestellt, der allerdings noch sehr komplex war. Ziel ist es nun, praxistaugliche und breit anwendbare Standards zu schaffen, die auch für kleinere Anbieter verständlich und umsetzbar sind.

Die Zeit bis zum Inkrafttreten mag lang erscheinen, sie ist es aber nicht. Unternehmen, die sich frühzeitig mit den Anforderungen vertraut machen, gewinnen nicht nur Rechtssicherheit, sondern auch Vertrauen bei Kunden und Partnern. Der CRA schafft neue Herausforderungen, bietet aber auch die Chance, Cybersicherheitv strukturell im Unternehmen zu verankern. Für viele wird dies ein Kulturwandel – aber einer, der sich langfristig auszahlen kann.

Hinzu kommt: Während Europa mit dem CRA einen ambitionierten Weg geht, fehlen in anderen globalen Wirtschaftsräumen vergleichbare Regelungen. Das birgt das Risiko regulatorischer Asymmetrien. Europäische Anbieter könnten gegenüber weniger stark regulierten Wettbewerbern benachteiligt sein – etwa bei Ausschreibungen, bei internationalen Partnerschaften oder auf globalen Plattformen. Die Expertengruppe hat daher betont, dass eine stärkere internationale Koordinierung notwendig ist, auch um Fragmentierung zu vermeiden und gegenseitige Anerkennung von Standards zu ermöglichen.

Bis zur nächsten Sitzung der Expertengruppe im Oktober sollen zentrale Punkte wie SBOMs, die Behandlung substanzieller Produktänderungen und die Rolle von Kleinunternehmen weiter diskutiert werden. Das zeigt: Der CRA ist kein fertiges Regelwerk, sondern ein dynamischer Prozess, der immer weiter konkretisiert wird. Mit den grundlegenden Anforderungen sollten sich Unternehmen aber jetzt schon beschäftigen, um in Sachen Cybersicherheit den entscheidenden Schritt voraus zu sein.

Über den Autor:
Lars Francke ist Mitgründer und CTO von Stackable, sowie Mitglied der Expertengruppe zum Cyber Resilience Act.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.