Insider-Ansichten zum Cyber Resilience Act: Vom Verhandlungstisch in Brüssel

Open Source von Anfang an ein zentrales Thema

Von unserem Gastautor Lars Francke, Mitgründer und CTO von Stackable, Mitglied der Expertengruppe zum Cyber
Resilience Act

[datensicherheit.de, 21.03.2025] Nach intensiven Verhandlungen ist der Cyber Resilience Act (CRA) in Kraft getreten. Unternehmen haben nun bis Dezember 2027 Zeit, die Anforderungen dieser EU-Verordnung zur Stärkung der Cybersicherheit umzusetzen. Doch was bedeutet der CRA konkret? Warum war er anfangs so umstritten? Und wie sollten Unternehmen nun vorgehen? Ein Bericht aus Brüssel.

Lars Francke, Mitgründer und CTO von Stackable, © Stackable

Die europäische Gesetzgebung mag oft schwerfällig erscheinen, doch in puncto Cybersicherheit zeigt sich die EU erstaunlich entschlossen. Bereits 2019 wurde der Cybersecurity Act verabschiedet, wenig später folgte die Sicherheitsrichtlinie NIS2. Nun markiert der Cyber Resilience Act einen weiteren Meilenstein im Schutz digitaler Infrastrukturen. In einer Zeit, in der Cyberangriffe zunehmen, ist dies ein notwendiger Schritt.

Während Europa vorangeht, zeigen sich anderswo Rückschritte: In den USA wurde das unter der Biden-Regierung geschaffene ‚Cyber Safety Review Board‘ als eine der ersten Amtshandlungen der Trump-Administration wieder aufgelöst. Umso wichtiger, dass die EU hier mit einem klaren Regelwerk voranschreitet – auch wenn der Weg dorthin nicht ohne Hürden war. Vor allem das Thema Open Source führte im Vorfeld zu hitzigen Diskussionen zwischen Politik, Wirtschaft und Verbänden.

Eine Reise nach Brüssel

Für uns bei Stackable war Open Source von Anfang an ein zentrales Thema – nicht erst seit den Debatten um den CRA. Daher war es uns ein Anliegen, an der Ausgestaltung der Verordnung mitzuwirken. Dass wir als vergleichsweise kleines Unternehmen tatsächlich in die Expertengruppe zum CRA aufgenommen wurden, war eine Überraschung. Ich erinnere mich noch genau an den Tag im Jahr 2024, als die Bestätigungsmail eintraf: „Wir fahren nach Brüssel!“, rief ich damals dem Team zu.

Die erste Sitzung des CRA-Komitees fand nun im Februar 2025 statt. Persönlich in Brüssel anwesend zu sein und mit den Big Playern wie Microsoft, Cisco oder Siemens an einem Tisch zu sitzen, war schon beeindruckend. Direkt mit anderen Experten zusammenzuarbeiten, ist eine einzigartige Gelegenheit, die Zukunft der Cybersicherheit aktiv mitzugestalten. Diese Erfahrungen haben mir wertvolle Einblicke in die Mechanismen der EU-Gesetzgebung und die Bedeutung von Open Source in diesem Kontext vermittelt. Und auch, welche Arbeit noch vor uns liegt.

Ein zentraler Diskussionspunkt während der Entwicklung des CRA war die Einbeziehung von Open- Source-Software. Ursprünglich hätte der Entwurf dazu geführt, dass Open-Source-Entwickler und -Stiftungen denselben Verpflichtungen ausgesetzt wären wie kommerzielle Softwareanbieter. Diese Regelung hätte potenziell das Open-Source-Ökosystem in Europa gefährdet, da viele Entwickler sich gezwungen gesehen hätten, ihre Software nicht mehr auf dem europäischen Markt anzubieten.

In der finalen Version des CRA wurde eine differenzierte Lösung gefunden: Die Unterscheidung zwischen kommerzieller und nicht-kommerzieller Nutzung wurde geschärft, und mit der Einführung des Begriffs „Open Source Steward“ erhalten nicht-kommerzielle Projekte eine regulatorische Sonderstellung mit reduzierten Verpflichtungen. Dies trägt dazu bei, dass Open Source weiterhin eine tragende Rolle in der europäischen Digitalwirtschaft spielen kann. Und muss. In der
Expertengruppe gehören Open Source und welche Pflichten die Hersteller in der gesamten Lieferkette haben, auch weiterhin zu den Kernthemen.

Das beschäftigt die Expertengruppe

Es gibt noch ungelöste Probleme, denen wir uns in der Expertengruppe stellen – etwa die internationale Abstimmung. Während Europa mit dem CRA einen ambitionierten Weg geht, sind in anderen Teilen der Welt vergleichbare Regulierungen noch nicht auf demselben Niveau. Dies könnte dazu führen, dass europäische Unternehmen im globalen Wettbewerb benachteiligt werden, während außereuropäische Anbieter weniger strenge Sicherheitsauflagen erfüllen müssen. Eine enge Zusammenarbeit mit anderen Wirtschaftsräumen bleibt für uns in der Expertengruppe daher enorm wichtig.

Eine längere Diskussion gab es auch beim Thema Risikobewertung. Ich selbst hatte damit bisher nur wenige Berührungspunkte in meiner beruflichen Laufbahn. Und aus Gesprächen mit anderen Unternehmern konnte ich heraushören, dass es vielen Start-ups und kleineren Unternehmen auch so geht. Welche Szenarien und Leitlinien zu berücksichtigen sind, ist vielerorts nicht klar. Manche Teilnehmer der Expertengruppe sprachen sich für minimale Vorgaben aus, um das Thema nicht zu kompliziert zu gestalten. Andere sprachen sich für Anleitungen von der Kommission aus, damit Unternehmen einen Fahrplan an der Hand haben. Letztere Variante dürfte vor allem für kleine Unternehmen hilfreich sein. Doch auch jetzt sollten sich alle Markteilnehmer bereits damit auseinandersetzen. Die Zeit drängt.

Cyber Resilience Act – Empfehlungen für Unternehmen

Unternehmen haben eine Übergangsfrist bis Dezember 2027, um sich auf die neuen regulatorischen Anforderungen einzustellen. Ab September 2026 greift sogar schon die Berichtspflicht, etwa bei Vorfällen oder Schwachstellen – viel Zeit bleibt also nicht. Vor allem, weil die Umstellung eine sorgfältige Analyse der eigenen Prozesse und Systeme erfordert. Wer bisher keine systematische Dokumentation seiner Softwareentwicklungs- und Sicherheitspraktiken vorgenommen hat, muss damit beginnen, eine lückenlose Nachweisführung zu etablieren. Es gilt, detailliert zu erfassen, welche Softwarekomponenten und Drittanbieter-Lösungen im Einsatz sind und welche Sicherheitsmaßnahmen implementiert wurden.

Ein funktionierendes Schwachstellenmanagement ist essenziell. Unternehmen müssen in der Lage sein, Bedrohungen frühzeitig zu identifizieren und angemessen darauf zu reagieren. Dazu gehört auch eine umfassende Transparenz über die gesamte Software-Lieferkette hinweg. Woher stammen genutzte Code-Komponenten? Welche potenziellen Risiken bergen sie? Nur wer diese Fragen klar beantworten kann, wird langfristig regulatorische Sicherheit gewährleisten können. Die Umsetzung darf nicht aufgeschoben werden. Eine schrittweise Integration der neuen Vorgaben sollte sofort angegangen werden, um Nachholbedarf kurz vor der Frist zu vermeiden und Compliance-Prozesse nachhaltig zu verankern.

Ein Lackmustest für die Regulierung

Der CRA setzt einen wichtigen Meilenstein in der europäischen Cybersicherheitsstrategie. Entscheidend wird sein, ob die Umsetzung in der Praxis effizient gestaltet wird oder ob sie Unternehmen mit bürokratischen Hürden überlastet. Wer sich frühzeitig mit den neuen Anforderungen auseinandersetzt, kann einen Wettbewerbsvorteil erzielen, indem er Cybersicherheit als integralen Bestandteil seiner digitalen Strategie etabliert.

Für Open Source wurde eine tragfähige Lösung gefunden, doch das regulatorische Umfeld bleibt herausfordernd. Es ist essenziell, den Dialog zwischen Industrie, Regulierungsbehörden und der Open-Source-Community weiterzuführen, um praktikable Lösungen zu entwickeln.

Cybersicherheit ist kein statisches Ziel, sondern eine fortwährende Herausforderung – der CRA ist ein erster, notwendiger Schritt, doch seine Wirksamkeit wird von der konsequenten und durchdachten Umsetzung abhängen. Der regulatorische Rahmen steht, jetzt liegt es an der Wirtschaft und der Politik, diesen mit Augenmaß und Weitsicht mit Leben zu füllen.

Weitere Informationen zum Thema:

Stackable
The modular open source data platform