Future

28.04.2025 | Blog Cyber Resilience Act: Wie Unternehmen sich frühzeitig vorbereiten können

Mit dem Cyber Resilience Act verlangt die EU ab 2027 den regelmäßigen Nachweis der Cyber-Sicherheit digitaler Produkte – eine Herausforderung für viele Unternehmen. Wie sich Hersteller digitaler Produkte strukturiert und frühzeitig auf die kommenden Anforderungen vorbereiten können, zeigen die IT-Beratung blueheads und Enterprise Search-Anbieter IntraFind durch ihre Kooperation.

Im Oktober 2024 hat die Europäische Union mit dem Cyber Resilience Act (CRA) einen bedeutenden Meilenstein zur Stärkung der Cyber-Sicherheit gesetzt. Ab dem Jahr 2027 müssen Hersteller von „Produkten mit digitalen Elementen“ regelmäßig nachweisen, dass ihre Produkte den Sicherheitsanforderungen des CRA entsprechen – entweder durch Self-Assessments oder durch unabhängige Assessments durch Dritte.

Was sind Produkte mit digitalen Elementen?

Unter „Produkten mit digitalen Elementen“ versteht man Produkte, die direkt oder indirekt mit einem Gerät oder Netzwerk verbunden sind und dabei Software enthalten, die eine Datenverarbeitung ermöglicht oder beeinflusst. Betroffen ist somit eine Vielzahl von Produkten sowohl für Endanwender als auch im Unternehmenseinsatz: Geräte wie Laptops, Tablets oder Smartphones ebenso wie Browser, Betriebssysteme oder Content-Management-Systeme

Doch obwohl die Zielsetzung des CRA – ein höheres Sicherheitsniveau für digitale Produkte im europäischen Binnenmarkt – nachvollziehbar ist, stellt dessen konkrete Umsetzung für Unternehmen eine enorme Herausforderung dar. Das liegt auch daran, dass der CRA in erster Linie formuliert, was erreicht werden muss, aber offenlässt, wie dies konkret zu geschehen hat.

Herausforderung: Umsetzung der CRA-Anforderungen

Zu den grundlegenden Anforderungen des CRA gehören unter anderem:

  • Berücksichtigung von Sicherheit vom Design über Entwicklung bis hin zur Wartung von digitalen Produkten
  • Der Nachweis eines angemessenen Risikomanagements während des gesamten Produktlebenszyklus
  • Die Etablierung von Prozessen zur Schwachstellenbewertung und -behebung
  • Die Bereitstellung klarer Informationen für Nutzer zur sicheren Nutzung der Produkte

Wie können sich Unternehmen hier effizient aufstellen, um diese Anforderungen effektiv und rechtzeitig zu erfüllen?

Strukturiertes Vorgehen auf Basis von OWASP SAMM

Eine entsprechende Lösung bietet die blueheads GmbH an. Das IT-Security-Beratungsunternehmen hat ein praxisnahes Verfahren entwickelt, das Firmen bei der Umsetzung und Bewertung der CRA-Anforderungen gezielt unterstützt. Grundlage dieses Ansatzes ist das OWASP SAMM (Software Assurance Maturity Model) – ein international anerkannter und offener Standard zur Bewertung und Verbesserung sicherer Softwareentwicklungspraktiken.

OWASP SAMM bietet einen strukturierten Rahmen, um Reifegrade der Cybersicherheit in den Phasen der Softwareentwicklung zu erfassen. blueheads ergänzt diesen Standard um zusätzliche Kriterien, die aus den Anforderungen des CRA abgeleitet wurden. So entstand ein praxisnahes Assessment-Modell, das nicht nur eine Konformitätsprüfung ermöglicht, sondern auch konkrete Maßnahmen zur Weiterentwicklung aufzeigt – individuell abgestimmt auf das jeweilige Unternehmen.

Praxisvalidierung mit etabliertem B2B-Softwarehersteller

Ein Beispiel aus der Praxis: Die IntraFind Software AG, Hersteller der Enterprise-Search-Lösung iFinder, hat sich frühzeitig mit dem CRA beschäftigt und setzt bereits seit Jahren auf ein hohes Maß an Informationssicherheit. IntraFind ist unter anderem nach ISO/IEC 27001 zertifiziert und hat zusätzliche Maßnahmen für sichere Softwareentwicklung etabliert.

blueheads hat sein Vorgehens-Modell auf die Entwicklungsprozesse des Münchner Softwareherstellers angewendet und erfolgreich validiert. Dabei zeigte sich: IntraFind ist durch bereits umgesetzte Maßnahmen sehr gut aufgestellt. Im Rahmen des Assessments erkannte Gaps sind nun für IntraFind eine nützliche Grundlage, um sich umfassend und rechtzeitig auf die ab 2027 geltenden Anforderungen des CRA vorzubereiten.

Warum frühzeitig beginnen?

Auch wenn der CRA erst ab 2027 verbindlich wird, gilt: Die Konzeption, Einführung und Umsetzung entsprechender Maßnahmen benötigt Zeit. Prozesse müssen angepasst, Teams geschult und technische wie organisatorische Maßnahmen etabliert werden. Wer frühzeitig startet, kann diese Veränderungen planvoll und effizient umsetzen – und behält so die Wettbewerbsfähigkeit seiner digitalen Produkte in der EU dauerhaft im Blick.

Fazit

Cyber-Sicherheit ist kein kurzfristig umsetzbares, einmaliges Projekt, sondern ein kontinuierlicher Prozess. Durch proaktive Maßnahmen lassen sich nicht nur regulatorische Anforderungen erfüllen, sondern auch die Qualität und Vertrauenswürdigkeit der eigenen Produkte stärken. Mit einer professionellen Beratung lassen sich die CRA-Anforderungen strukturiert angehen und umsetzen.

blueheads kontaktieren: contact@blueheads.de 

Die Autorin

Dagmar Stefanie Moser
Geschäftsführerin blueheads
Dagmar Moser, Dipl.-Informatikerin (Univ.), ist Beraterin für Informationssicherheit mit den Schwerpunkten ISMS, sichere Software-Entwicklung und Cyber Threat Intelligence. Sie ist Lead Auditorin für ISO/IEC 27001 und verfügt über langjährige Erfahrung als Security- und IT-Architektin in internationalen Entwicklungs-Projekten. Zudem lehrt sie als Dozentin im Masterstudiengang Cyber Security an der Hochschule der Bayerischen Wirtschaft.