Cyber Resilience Act: Was IT-Unternehmen jetzt wissen müssen

Verfasst von Christian Waidner

Der Cyber Resilience Act (CRA) wird seit 2024 schrittweise eingeführt und soll die Cybersicherheit von Produkten mit digitalen Komponenten innerhalb der Europäischen Union stärken.

Doch wie präsent ist das Thema bereits in den Unternehmen?

Genau dieser Frage widmete sich die Unternehmerfrühstück-Runde im Mai.

Wer ist eigentlich betroffen?

Eine der ersten Erkenntnisse der Diskussion war, dass die Auswirkungen des CRA vielen Unternehmen noch nicht vollständig klar sind.

Selbst innerhalb von IT-Unternehmen bestehen teilweise Unsicherheiten darüber,

  • welche Produkte unter die Regelungen fallen,

  • welche Pflichten daraus entstehen,

  • und welche Verantwortung die Geschäftsführung künftig übernehmen muss.

Gerade für kleinere und mittelständische Unternehmen stellt sich die Frage, wie früh sie sich mit den Anforderungen beschäftigen sollten.

Zusätzliche Regulierung oder fairer Wettbewerb?

Ein zentraler Diskussionspunkt war die Sorge vor zusätzlichen Aufwänden für europäische Unternehmen.

Neue Dokumentationspflichten, Sicherheitsanforderungen und Nachweispflichten bedeuten zunächst mehr Aufwand. Gleichzeitig wurde jedoch die Frage gestellt, ob dieser Mehraufwand tatsächlich nur europäische Unternehmen betrifft.

Die Einschätzung der Runde war eindeutig: Wer Produkte innerhalb des europäischen Marktes anbieten möchte, muss die Anforderungen des CRA erfüllen – unabhängig davon, in welchem Land das Unternehmen seinen Sitz hat.

Dadurch entsteht kein rein europäischer Nachteil, sondern vielmehr ein gemeinsamer Standard für den Marktzugang.

Sicherheit als Wettbewerbsfaktor

Besonders spannend war die Diskussion über die strategische Perspektive.

Wenn Sicherheit künftig stärker regulatorisch gefordert und von Kunden vorausgesetzt wird, könnte dies auch ein Wettbewerbsvorteil für Unternehmen sein, die sich frühzeitig mit dem Thema beschäftigen.

Die Fähigkeit, sichere Produkte nachweisbar zu entwickeln und zu betreiben, wird zunehmend zu einem Qualitätsmerkmal – nicht nur innerhalb Europas.

Wie viel Regulierung verträgt Innovation?

Gleichzeitig wurde kritisch hinterfragt, ob zusätzliche Vorgaben Innovation und Wachstum bremsen können.

Steigende Anforderungen erhöhen die Eintrittshürden für neue Produkte und Marktteilnehmer. Die Diskussion zeigte, dass die Balance zwischen Sicherheit, Innovation und wirtschaftlicher Wettbewerbsfähigkeit eine der zentralen Herausforderungen der kommenden Jahre sein wird.

Fazit

Der Cyber Resilience Act ist weit mehr als ein reines Compliance-Thema.

Für IT-Unternehmen stellt sich nicht nur die Frage, welche Anforderungen erfüllt werden müssen, sondern auch, wie Sicherheit künftig Teil der eigenen Marktpositionierung werden kann.

Die Diskussion machte deutlich: Viele Details sind noch in Bewegung. Wer sich jedoch frühzeitig mit dem CRA auseinandersetzt, kann Risiken reduzieren und mögliche Chancen besser nutzen.

Christian Waidner
Zurück

KI in der Softwareentwicklung: Was bleibt vom klassischen Softwarehaus?