Cyber Resilience Act: Jetzt strategisch angehen

Ansprechpartner

Philip Hauri
Geschäftsleiter Next Industries
philip.hauri@nextindustries.ch

Was Unternehmen tun sollten

Regulatorische Einordnung

Jetzt strategisch angehen

Ab Dezember 2027 gelten in der EU verbindliche Cybersicherheitsanforderungen. Wer Produktportfolio und Lieferkette frühzeitig prüft, sichert sich den Zugang zum EU-Markt.

Mit Beginn der Anwendung des Cyber Resilience Act (CRA) am 11. Dezember 2027 wird die Messlatte für die Cybersicherheit von Produkten in der EU deutlich höher gelegt. Für Industrieunternehmen bedeutet das: Der Zugang zum EU-Markt ist künftig an verbindliche Sicherheitsanforderungen geknüpft.

⚖️Regulatorische Einordnung

Cyber Resilience: Sicherheit als Designprinzip

«Cyber Resilience» bedeutet nicht absolute Sicherheit, sondern Robustheit und Widerstandsfähigkeit. Systeme sollen Angriffen standhalten und nach einem Vorfall rasch wieder sicher einsatzfähig sein.

Der CRA macht Security by Design zur Pflicht. Hersteller müssen Sicherheit systematisch in jeder Entwicklungsphase verankern – von der Konzeption bis hin zur Wartung. Cybersicherheit wird damit vom nachgelagerten Zusatz zum grundlegenden Designprinzip.

Ein weiterer Schlüsselfaktor sind Sicherheitsupdates über den gesamten vorgesehenen Nutzungszeitraum.

Die verbreitete Nutzung von Software-Bibliotheken ist dabei Fluch und Segen zugleich: Eine einzelne Schwachstelle kann zahlreiche Produkte gleichzeitig betreffen. Gleichzeitig weisen etablierte Bibliotheken dank permanenter Überprüfung durch Entwickler-Communities häufig eine höhere Sicherheitsqualität auf als isolierte Eigenentwicklungen. Entscheidend ist, dass Sicherheitsupdates rasch bereitgestellt und flächendeckend implementiert werden können.

Wer ist betroffen - und ab wann?

Betroffen sind «Produkte mit digitalen Elementen», die über direkte oder indirekte logische oder physische Datenverbindungen verfügen.

Ein Beispiel:
Ein Messgerät mit Display ohne Schnittstelle verfügt zwar über digitale Elemente, ist jedoch nicht vernetzt. Sobald jedoch eine Kommunikationsfähigkeit im Rahmen normaler oder vernünftigerweise vorhersehbarer Nutzung besteht, greift die Verordnung.

Der CRA gilt nicht rückwirkend für Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden. Werden jedoch nach dem Stichtag wesentliche Änderungen an einem bestehenden Produkt vorgenommen, wird die Verordnung relevant.

Grundsätzlich trägt der Hersteller die Verantwortung für die CE-Konformität. In der Praxis werden die Anforderungen jedoch entlang der Lieferkette weitergegeben werden. Auch B2B-Lieferanten sollten sich deshalb frühzeitig mit dem Thema befassen.

⚡Was Unternehmen jetzt tun sollten

Die Autoren

Barbara Hirtz (Dipl. Masch.-Ing. ETH) arbeitet seit 2023 bei der SCS AG und hat den CRA Jumpstart-Workshop der SCS massgeblich mitentwickelt. Sie hat langjährige Erfahrung als Projektleiterin und Produkt Managerin in unterschiedlichen Industrien.

Jérôme Stettler leitet seit 2012 das Department Digital Transformation bei der Supercomputing Systems AG und verantwortet dort u. a. Informationssicherheit und komplexe Softwareprojekte für Industrie und Medizintechnik.

Cyber Resilience Act

⚖️Regulatorische Einordnung

⚡Was Unternehmen jetzt tun sollten

Diese Artikel könnten Sie interessieren