Mit Beginn der Anwendung des Cyber Resilience Act (CRA) am 11. Dezember 2027 wird die Messlatte für die Cybersicherheit von Produkten in der EU deutlich höher gelegt. Für Industrieunternehmen bedeutet das: Der Zugang zum EU-Markt ist künftig an verbindliche Sicherheitsanforderungen geknüpft.
Wir empfehlen, mit einer fundierten Betroffenheitsanalyse des eigenen Produktportfolios zu starten. Diese umfasst:
- die technische Betrachtung der Produkte,
- die Produkt-Portfolio-Roadmap
- sowie die Rolle innerhalb der Lieferkette.
Unabhängig vom Ergebnis sollte die Analyse sauber dokumentiert werden.
Im nächsten Schritt folgen Gap-Analysen für betroffene Produkte. Der SCS CRA-Kompass bietet hierfür eine strukturierte Orientierung.
Wie weiter?
Die neuen Sicherheitsanforderungen der EU sind im Grundsatz vernünftig und gerechtfertigt.
Klar ist, dass Cybersicherheit kein reines IT- oder Entwickler-Thema ist. Sie betrifft Produktstrategie, Marktzugang, Risikobeurteilung und Lieferketten – und muss auf strategischer Ebene verankert werden.
Zwar bestehen derzeit noch Auslegungsspielräume – etwa beim Umgang mit Open-Source-Software oder bei der Definition der «wesentlichen Änderung». Auch harmonisierte Normen werden erst noch folgen. Wie bei jeder neuen Regulierung entwickeln sich Best Practices und Rechtspraxis schrittweise.
Doch Warten ist keine Option.
Führen Sie den Dialog mit Ihren Partnern und Lieferanten. Nutzen Sie internes Fachwissen und holen Sie sich bei Bedarf gezielt externe technische oder rechtliche Expertise dazu.
Weitere Informationen https://www.scs.ch/cra/
Die Autoren