Nach dem Europäischen Parlament hat nun auch der EU-Rat den Cyber Resilience Act (CRA) offiziell verabschiedet. Damit sollen Einfallstore für Hacker systematisch geschlossen werden – was sowohl Hardware- als auch Software-Produkte betrifft. Die Anzahl der betroffenen Unternehmen ist entsprechend groß. Was bedeutet das für europäische Unternehmen? Welche Schritte sollten sie jetzt schon unternehmen?
Von Suzanne Button, Chief Technology Officer EMEA und Sicherheitsexpertin bei Elastic.
Der Cyber Resilience Act (CRA) wurde offiziell von der Europäischen Union verabschiedet und läutet eine neue Ära der Cybersicherheitsvorschriften für jene Unternehmen ein, die Produkte mit digitalen Komponenten in der EU herstellen oder verkaufen. Diese bahnbrechende Rechtsvorschrift soll noch 2024 in Kraft treten, es gilt eine Übergangsfrist bis 2027.
Bis dahin müssen Unternehmen vollumfänglich compliant sein mit den strengen Anforderungen. Das Ziel: die Sicherheit digitaler Produkte, sowohl von Hardware als auch von Software, vom grundlegenden Entwurf bis hin zu Updates zu verbessern.
Der CRA reagiert damit auf die stark zunehmenden, immer raffinierter werdenden Cyberangriffe. Angesichts der Tatsache, dass Cyberkriminalität Unternehmen jährlich Milliarden kostet und Vorfälle mit angreifbaren digitalen Produkten sich häufen, ist dieses Gesetz eine weltweite Premiere bei der Regulierung von Cybersicherheitsstandards und ein lang erwarteter Schritt hin zu einer sichereren digitalen Landschaft.
Was bedeutet der CRA für Unternehmen?
'Für Unternehmen, die in der EU produzieren oder verkaufen, ist die Einhaltung des CRA nicht zu vernachlässigen. Das Gesetz schreibt mehrere Schritte vor, die Unternehmen einleiten müssen, um sicherzustellen, dass ihre Produkte den Cybersicherheitsstandards entsprechen.
Der CRA ist nicht nur eine Reihe von Leitlinien; das Gesetz hat Biss. Unternehmen, die die Anforderungen nicht erfüllen, müssen mit empfindlichen Strafen rechnen, darunter Geldstrafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist. Diese finanziellen Folgen und die potenzielle Rufschädigung unterstreichen die Ernsthaftigkeit, mit der die EU an die digitale Sicherheit herangeht.
Vorbereitung ist alles
Unternehmen können schon jetzt mit den Vorbereitungen beginnen – Cybersicherheits-Konzepte umzusetzen, robuste Verfahren zur Reaktion auf Vorfälle einzurichten und die Anpassung an die Standards des Gesetzes erfordern Zeit und Investitionen. Angesichts der zunehmenden Cyberbedrohungen könnte eine frühzeitige Einhaltung der Vorschriften nicht nur Strafen verhindern, sondern auch das Vertrauen der Verbraucher und Partner in einem zunehmend sicherheitsbewussten Markt stärken.
Der Cyber Resilience Act ist ein wichtiger Schritt, um ein sichereres digitales Umfeld zu schaffen. Gleichzeitig fordert er Unternehmen heraus, ihre Abläufe zu verbessern und Cybersicherheit proaktiv anzugehen. Es geht nicht mehr nur darum, Vorschriften einzuhalten. Vielmehr sollte das Ziel sein, Cyber-Bedrohungen immer einen Schritt voraus zu sein, um Kunden, Daten und den Ruf der Marke zu schützen.
Wenn diese Gesetzgebung Gestalt annimmt, werden sich Unternehmen, die diese Veränderungen frühzeitig aufgreifen, auf dem wettbewerbsintensiven digitalen Markt wahrscheinlich besser positionieren können.