Die Auswirkungen des Cyber Resilience Act werden in der Praxis oft noch unterschätzt. Die Fragen, die uns häufig gestellt werden:
- Wer muss den CRA einhalten?
- Wir produzieren nichts. Was hat das mit uns zu tun?
- Wir fallen nicht unter NIS2. Warum ist das trotzdem relevant für uns?
- Wie kann ich beurteilen, ob ein Lieferant seine CRA-Verantwortung ernst nimmt?
- Warum hat ein Hersteller dies möglicherweise nicht vollständig umgesetzt?
Das Wesentliche:
Die Art und Weise, wie ein System konzipiert ist, bestimmt das Risiko – nicht nur, ob es funktioniert. Dies gilt für alle Produkte mit digitalen Elementen und insbesondere für Systeme, die direkt Teil der physischen Sicherheit sind, wie beispielsweise Zugangskontrollsysteme.
Häufig gestellte Fragen zum Cyber Resilience Act (CRA)
Wer muss den CRA einhalten?
Der Cyber Resilience Act richtet sich in erster Linie an Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden. Dazu gehören Hersteller von Hardware und Software, einschließlich Anbieter von Zutrittskontrollsystemen, Controllern und Embedded-Systemen.
Die formale Compliance-Verpflichtung liegt daher beim Hersteller.
Die formale Compliance-Verpflichtung liegt daher beim Hersteller.
Wir produzieren nichts. Was hat das mit uns zu tun?
Der CRA legt die Compliance-Verpflichtung bei den Herstellern fest.
Für Ihre Organisation bedeutet dies, dass die Cybersicherheitsqualität der eingekauften Produkte nicht mehr unverbindlich ist. Die Art und Weise, wie ein Produkt entworfen und gewartet wird, bestimmt maßgeblich
Für Ihre Organisation bedeutet dies, dass die Cybersicherheitsqualität der eingekauften Produkte nicht mehr unverbindlich ist. Die Art und Weise, wie ein Produkt entworfen und gewartet wird, bestimmt maßgeblich
Ihr operatives und sicherheitstechnisches Risiko.
Für Organisationen, die unter NIS2 fallen, ist das Lieferantenrisiko ein gesetzlicher Bestandteil der Sorgfaltspflicht. Für andere Organisationen wird dies zunehmend Teil von Governance-Anforderungen, Versicherungsbedingungen und vertraglichen Vereinbarungen.
Wir fallen nicht unter NIS2. Warum ist das trotzdem relevant für uns?
Die Cybersicherheitsqualität der Produkte, die Sie einkaufen, bestimmt unmittelbar Ihr operatives Risiko. Ein Zutrittskontrollsystem ohne strukturiertes Wartungskonzept, ohne kontrollierte Updatepolitik oder mit unnötiger Netzwerkexposition kann zu Störungen von Geschäftsprozessen, Datenverlust und Reputationsschäden führen. Bei der Verarbeitung biometrischer Daten kann dies zudem Auswirkungen im Rahmen der DSGVO (GDPR) haben.
Wie kann ich beurteilen, ob ein Lieferant seine CRA-Verantwortung ernst nimmt?
Fordern Sie eine konkrete technische Begründung an: Einblick in die Produktarchitektur, die Updatepolitik und den Umgang mit Schwachstellen.
Die CRA-Verantwortung und die dazugehörige Dokumentation bilden die Grundlage, um ein Produkt inhaltlich beurteilen zu können.
Bleiben die Antworten vage oder beschränken sie sich auf allgemeine Aussagen ohne technische Unterlegung, fehlt die notwendige Transparenz.
Die CRA-Verantwortung und die dazugehörige Dokumentation bilden die Grundlage, um ein Produkt inhaltlich beurteilen zu können.
Bleiben die Antworten vage oder beschränken sie sich auf allgemeine Aussagen ohne technische Unterlegung, fehlt die notwendige Transparenz.
Warum hat ein Hersteller dies möglicherweise nicht vollständig umgesetzt?
Viele digitale Produkte wurden vor Jahren in einem anderen technischen und regulatorischen Kontext entwickelt. Architekturen mit breitem Netzwerkzugang, Remote-Management oder eingeschränkter Updatekontrolle waren damals üblich. Wenn solche Systeme nicht von Anfang an mit Lifecycle-Security und kontrolliertem Update-Management als Ausgangspunkt entwickelt wurden, kann eine nachträgliche Anpassung technisch komplex oder kostspielig sein.
Was bedeutet das für Sie als Anwender?
Wenn eine bestehende Architektur nur schwer anpassbar ist, kann dies Auswirkungen auf Updates, Sicherheitsverbesserungen und zukünftige Unterstützung haben. Die technische Grundlage eines Systems bestimmt unmittelbar, wie sicher und zukunftsfähig es ist.