CRA bringt Zeitdruck

Die EU setzt mit dem Cyber Resilience Act (CRA) einen neuen regulatorischen Meilenstein. Ziel ist es, die Cybersicherheit von digitalen Produkten mit eingebetteter Software in der gesamten EU zu stärken. Hersteller, Importeure und Händler werden verpflichtet, technische und organisatorische Maßnahmen umzusetzen, um Risiken für Informationssicherheit über den gesamten Lebenszyklus ihrer Produkte hinweg zu minimieren.

Für den CRA gibt es einige Termine zu beachten, denn er trat - für viele unbemerkt - schon am 10. Dezember 2024 in Kraft. Und ab 11. September 2026 gibt es Meldepflichten für Hersteller zu aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen. Schließlich sind ab 11. Dezember 2027 die Hauptpflichten des CRA verbindlich und gelten für alle betroffenen Produkte und Anbieter.

Die NIS2-Richtlinie trat im Oktober 2024 für die EU in Kraft und sie wird aller Voraussicht nach in 2025 in Deutschland umgesetzt. Sie stellt umfangreiche Anforderungen an die Cyber-Resilienz kritischer und wichtiger Einrichtungen.

Auf den ersten Blick sind CRA und NIS2 unabhängige Sachverhalte. Es gibt jedoch Zusammenhänge, da die NIS2 auf die ISO27000-Reihe als möglichen Umsetzungsrahmen für NIS2 verweist! Aber gehen wir es nacheinander an.

Anforderungen des CRA an Cybersicherheit in der Produktentwicklung

Der CRA schreibt vor, dass digitale Produkte:

• sicher konzipiert, entwickelt und produziert werden,

• über ein angemessenes Schwachstellenmanagement verfügen,

• regelmäßige Sicherheitsupdates erhalten,

• ein transparentes Risikomanagement aufweisen.

Und es sind harte Meldefristen vorhanden, denn die Meldung einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Sicherheitsvorfalls muss spätestens innerhalb von 24 Stunden nach Bekanntwerden an die zuständige nationale Behörde (z. B. das BSI in Deutschland) erfolgen. Kann das heute mit der bestehenden Organisation und bei den aktuellen Prozessen schon jemand mit Sicherheit leisten?

Diese Anforderungen decken sich in vielen Punkten mit den Prinzipien der sicheren Softwareentwicklung (Secure Software Development Life Cycle, SSDLC). Dieser integriert Sicherheitsmaßnahmen in jede Phase der Softwareentwicklung mit dem Ziel, Schwachstellen frühzeitig zu erkennen und zu beheben, Risiken zu minimieren und Compliance-Anforderungen zu erfüllen. Dazu zählen:

• Security by Design: Sicherheit ist von Anfang an Teil des Entwicklungsprozesses.

• Least Privilege & Secure Defaults: Nur notwendige Rechte, sichere Voreinstellungen.

• Trennung von Aufgaben: Kritische Aktionen werden auf mehrere Personen/Instanzen verteilt.

• Minimierung der Angriffsfläche: Unnötige Funktionen, Schnittstellen und Ports werden entfernt.

• Automatisierung und Überwachung: Sicherheitsmaßnahmen werden automatisiert und der Betrieb überwacht.

• Dokumentation & Nachvollziehbarkeit: Sicherheitsanforderungen und -maßnahmen werden dokumentiert und regelmäßig überprüft.

ISO/IEC 27001: Ein solides Fundament für CRA und NIS2

Die internationale Norm ISO/IEC 27001 bietet ein strukturiertes Rahmenwerk für den Aufbau eines Informationssicherheits-Managementsystems (ISMS). Viele der vom CRA geforderten organisatorischen und technischen Maßnahmen finden sich bereits in der ISO 27001, die verstärkt auf Lieferkettensicherheit, Schwachstellenmanagement und sichere Entwicklung eingeht. Hier einige zentrale Überschneidungen (Auszug):

Die Einführung eines ISMS nach ISO 27001 stellt somit nicht nur die Weichen für eine konforme Umsetzung des CRA, sondern hilft auch dabei, die Anforderungen der NIS2-Richtlinie zu erfüllen, etwa:

• Verpflichtung zum Risikomanagement und Berichtspflichten,

• Business Continuity Management,

• Schutz vor Cyberbedrohungen und -vorfällen,

• Schulungen und Sicherheitsbewusstsein.

Synergieeffekte durch frühzeitige Umsetzung

Unternehmen, die heute bereits ein ISMS nach ISO 27001 etablieren, schaffen somit eine im ganzen Unternehmen durchgängige und belastbare Basis für:

1. CRA-Compliance: Durch Integration sicherer Entwicklungsprozesse, Risikomanagement und Schwachstellenmanagement.

2. NIS2-Erfüllung: Durch umfassende Sicherheitsorganisation, Reaktionsprozesse und Compliance-Nachweise.

3. Vertrauensgewinn am Markt: Kunden und Partner fordern zunehmend belastbare Nachweise für Cybersicherheit.

ISMS als strategischer Enabler für Cyber-Resilienz

Der CRA ist mehr als eine gesetzliche Pflicht – er sorgt für mehr Sicherheit im gesamten Produktlebenszyklus, auch beim Anwender im privaten oder betrieblichen Rahmen. Wer sich heute für die Einführung eines ISMS nach ISO/IEC 27001 entscheidet, investiert in ein zukunftssicheres Sicherheitsfundament, das regulatorische Anforderungen erfüllt, Vertrauen schafft und Risiken systematisch minimiert.

In Kombination mit einer professionellen Umsetzung sicherer Entwicklungspraktiken können Unternehmen nicht nur die CRA-Compliance erreichen, sondern auch einen großen Teil der NIS2-Anforderungen proaktiv abdecken.

Die Zeit läuft davon

Wichtig sind für die Betroffenen des CRA aktuell in erster Linie die Meldepflichten (innerhalb vom 24 Stunden nach Bekanntwerden) im September 2026, das ist - realistisch betrachtet - nicht mehr weit weg. Denn Entscheidungen sind zu treffen, Budget ist zu sichern, Ressourcen sind einzuplanen und Sicherheitsregeln sind im SSDLC zu implementieren. Das Meldewesen ist aufzubauen. Und das alles neben dem Tagesgeschäft......

Ein ISMS ist einzuführen und allein das dauert schließlich zwischen 4 und 12 Monaten je nach Reifegrad und Art sowie Größe der Organisation.

Und von Juni 2025 bis September 2026 bleiben unter Abzug von zwei Sommerphasen und Weihnachtspause für die Konzeption und Umsetzung gut 12 Monate!

Wie will eine Organisation das im September 2026 umgesetzt haben und eine 24-Stunden-Meldefrist erfüllen können, wenn sie nicht jetzt schon anfängt, sich vorzubereiten?

Oder passiert ein Wunder und eine CRA-konforme Lösung entsteht in einem Umfeld, das nicht selbst auf Basis eines angemessenen ISMS und SSDLC strukturiert und vorbereitet ist?

Es zeigt sich, daß für die Umsetzung des Cyber Resilience Act (CRA) ein ISMS heute schon strategisch klug ist! Unsere Softwarelösung EnterpriseOS hilft entscheidend dabei!