Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen

Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

[datensicherheit.de, 18.10.2024] Das Europäische Parlament und nun auch der EU-Rat haben den „Cyber Resilience Act“ (CRA) offiziell verabschiedet. Das Ziel ist demnach, Einfallstore für Hacker systematisch zu schließen – betroffen sind sowohl Hardware- als auch Software-Produkte. Die Anzahl der betroffenen Unternehmen ist dementsprechend groß. Suzanne Button, „Chief Technology Officer EMEA“ und Sicherheitsexpertin bei Elastic, erörtert in ihrer aktuellen Stellungnahme, wie sich die neue Gesetzgebung auf die Cyber-Landschaft und Unternehmen auswirkt: „Was bedeutet das für europäische Unternehmen? Welche Schritte sollten sie jetzt schon unternehmen?“

Foto: Elastic

Suzanne Button rät Unternehmen angesichts das CRA, Cyber-Bedrohungen immer einen Schritt voraus zu sein, um Kunden, Daten und den Ruf der Marke zu schützen!

Der CRA betrifft Unternehmen, die Produkte mit digitalen Komponenten in der EU herstellen oder verkaufen

„Der ,Cyber Resilience Act’ (CRA) wurde offiziell von der Europäischen Union verabschiedet und läutet eine neue Ära der Cyber-Sicherheitsvorschriften für jene Unternehmen ein, die Produkte mit digitalen Komponenten in der EU herstellen oder verkaufen“, erläutert Button. Diese bahnbrechende Rechtsvorschrift solle noch 2024 in Kraft treten – es gelte eine Übergangsfrist bis 2027. Bis dahin müssten Unternehmen mit den strengen Anforderungen „vollumfänglich compliant“ sein. Das Ziel sei es, die Sicherheit digitaler Produkte, sowohl von Hardware als auch von Software – vom grundlegenden Entwurf bis hin zu Updates – zu verbessern.

Der CRA reagiere damit auf die stark zunehmenden, immer raffinierter werdenden Cyber-Angriffe. „Angesichts der Tatsache, dass Cyber-Kriminalität Unternehmen jährlich Milliarden kostet und Vorfälle mit angreifbaren digitalen Produkten sich häufen, ist dieses Gesetz eine weltweite Premiere bei der Regulierung von Cyber-Sicherheitsstandards und ein lang erwarteter Schritt hin zu einer sichereren digitalen Landschaft“, so Button.

Der CRA schreibt mehrere Schritte vor, welche Unternehmen einleiten müssen

Für die in der EU produzierenden oder verkaufenden Unternehmen sei die Einhaltung des CRA nicht zu vernachlässigen. Das Gesetz schreibe mehrere Schritte vor, welche Unternehmen einleiten müssten, „um sicherzustellen, dass ihre Produkte den Cyber-Sicherheitsstandards entsprechen“.

Button erläutert: „Der CRA ist nicht nur eine Reihe von Leitlinien; das Gesetz hat Biss. Unternehmen, die die Anforderungen nicht erfüllen, müssen mit empfindlichen Strafen rechnen, darunter Geldstrafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.“ Diese finanziellen Folgen und die potenzielle Rufschädigung unterstrichen die Ernsthaftigkeit, „mit der die EU an die digitale Sicherheit herangeht“.

CRA wichtiger Schritt, um sichereres digitales Umfeld zu schaffen

Unternehmen könnten schon jetzt mit den Vorbereitungen beginnen – Cyber-Sicherheits-Konzepte umzusetzen, robuste Verfahren zur Reaktion auf Vorfälle einzurichten und die Anpassung an die Standards des Gesetzes erforderten Zeit und Investitionen. Angesichts der zunehmenden Cyber-Bedrohungen könnte eine frühzeitige Einhaltung der Vorschriften nicht nur Strafen verhindern, sondern auch das Vertrauen der Verbraucher und Partner in einem zunehmend sicherheitsbewussten Markt stärken.

Der CRA sei ein wichtiger Schritt, um ein sichereres digitales Umfeld zu schaffen. Gleichzeitig fordere er Unternehmen heraus, ihre Abläufe zu verbessern und Cyber-Sicherheit proaktiv anzugehen. „Es geht nicht mehr nur darum, Vorschriften einzuhalten. Vielmehr sollte das Ziel sein, Cyber-Bedrohungen immer einen Schritt voraus zu sein, um Kunden, Daten und den Ruf der Marke zu schützen!“ Button gibt abschließend zu bedenken. „Wenn diese Gesetzgebung Gestalt annimmt, werden sich Unternehmen, die diese Veränderungen frühzeitig aufgreifen, auf dem wettbewerbsintensiven digitalen Markt wahrscheinlich besser positionieren können.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

datensicherheit.de, 10.06.2024
EU Cyber Resilience Act: Empfehlungen zur Umsetzung / Aus den Fallstricken der DSGVO lernen / Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden – vergrößerte Hacker-Angriffsflächen durch IoT

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden