Cybersicherheit
Cyber Resilience Act: Was auf die Industrie zukommt

Ein Gastbeitrag von Dr. Oliver Hanka* 5 min Lesedauer

Anbieter zum Thema

Der Cyber Resilience Act der EU wird voraussichtlich 2024 verabschiedet und mit einer Übergangsfrist von 36 Monaten in Kraft treten. Für Hersteller und Händler bedeutet das: Neue Pflichten und Vorschriften. Damit die Umsetzung gelingt, braucht es die richtige Vorbereitung.

Der Cyber Resilience Act schafft neue Vorgaben und Sicherheitsstandards, die Hard- und Software erfüllen müssen bevor sie in den Handel kommen.(Bild:  frei lizenziert /  Pixabay)
Der Cyber Resilience Act schafft neue Vorgaben und Sicherheitsstandards, die Hard- und Software erfüllen müssen bevor sie in den Handel kommen.
(Bild: frei lizenziert / Pixabay)

Mit der digitalen Transformation kommen viele neue Herausforderungen auf Unternehmen zu. Das gilt insbesondere für die Industrie, denn durch die beschleunigte Transformation steigen auch die Risiken für Cyberangriffe auf Hard- und Software. Sicherheitslücken in Betriebstechnologien ermöglichen Unbefugten beispielsweise Zugriff auf sicherheitsrelevante Bereiche wie industrielle Steuerungssysteme (kurz: ICS) und gefährden in der Folge nicht nur Betriebsabläufe, sondern im schlimmsten Falle sogar Menschenleben. Zum Schutz kritischer Produktionsprozesse müssen IT- und OT-Sicherheit gut aufeinander abgestimmt sein. Das Bewusstsein dafür wächst: Laut der „Digital Trust Insights“-Studie von PwC priorisieren aktuell 36 Prozent der deutschen Unternehmen Investitionen in Lösungen für die OT-Sicherheit – das sind elf Prozent mehr als im globalen Schnitt.

Mit dem Cyber Resilience Act (kurz: CRA) plant die EU, diesen produktbezogenen Risiken etwas entgegenzusetzen: Die Richtlinie schafft neue Vorgaben und Sicherheitsstandards, die Hard- und Software erfüllen müssen, bevor sie europaweit in den Handel und etwa als Netzwerkkomponenten in einer OT-Umgebung zu Einsatz kommen. Die Richtlinie wird voraussichtlich 2024 verabschiedet und soll mit einer Übergangsfrist von 36 Monaten in Kraft treten. Wer glaubt, damit noch viel Zeit für die Umsetzung der Vorgaben zu haben, irrt jedoch. Denn Produktentwicklungszyklen erstrecken sich oft über lang anhaltende Zeiträume. Daher sollten Unternehmen, die digitale Produkte für den Industriesektor herstellen, so früh wie möglich handeln. Denn bei Verstößen drohen Geldbußen in Höhe von bis zu 15 Millionen Euro oder von bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes. Dazu können die zuständigen Behörden Verkaufsverbote und Rückrufaktionen erzwingen.