Einschätzung von FTAPI zum Cyber Resilience Act: Neue Pflichten erhöhen Druck auf KMU
Mit dem Inkrafttreten des Cyber Resilience Act im Dezember 2024 verschärft die Europäische Union die Anforderungen an die IT-Sicherheit digitaler Produkte deutlich. Betroffen sind Hersteller, Importeure und Händler von Software, Hardware und vernetzten Geräten gleichermaßen. Anders als bei anderen Regularien gelten dabei keine größenabhängigen Ausnahmen – laut FTAPI müssen auch kleine und mittlere Unternehmen die Vorgaben vollständig erfüllen, sofern sie digitale Produkte im EU-Markt bereitstellen.
Ab September 2026 treten erste verbindliche Meldepflichten in Kraft. Unternehmen sind dann verpflichtet, aktiv ausgenutzte Schwachstellen sowie schwerwiegende Sicherheitsvorfälle innerhalb enger Fristen zu melden. Vorgesehen sind eine Erstmeldung innerhalb von 24 Stunden, eine weitere Meldung nach 72 Stunden sowie ein Abschlussbericht innerhalb von 14 Tagen nach Bereitstellung einer Abhilfemaßnahme. Damit rückt Incident- und Schwachstellenmanagement in den unmittelbaren operativen Pflichtbereich von Unternehmen.
Branchenverbände kritisieren, dass die geplante nationale Umsetzung in Deutschland bislang nur begrenzte Unterstützungsstrukturen für KMU vorsieht. Auch das finanzielle Volumen für begleitende Maßnahmen wird im Verhältnis zur Komplexität der Anforderungen als gering bewertet. Vor diesem Hintergrund wird zunehmend erwartet, dass Unternehmen eigenständig Maßnahmen zur Vorbereitung auf die sogenannte CRA-Readiness umsetzen.
Der CRA verankert das Prinzip „Security by Design“ verbindlich in der Produktentwicklung. Sicherheitsaspekte müssen bereits in der Architekturphase berücksichtigt werden, etwa bei Authentifizierung, Datenflusskontrolle oder Mandantenfähigkeit. Zusätzlich rückt die Transparenz von Lieferketten stärker in den Fokus. Unternehmen sind verpflichtet, auch für integrierte Drittkomponenten Verantwortung zu übernehmen. Ein zentrales Instrument dabei ist die sogenannte Software Bill of Materials (SBOM), die sämtliche Softwarebestandteile eines Produkts dokumentiert.
Auch Open-Source-Komponenten und cloudbasierte Dienste fallen unter diese Betrachtung, sofern sie Teil eines ausgelieferten Produkts sind. Damit wird die Nachvollziehbarkeit der gesamten Software-Lieferkette zu einem wesentlichen Bestandteil regulatorischer Compliance.
Parallel zur regulatorischen Entwicklung stellt die EU Fördermittel über das Programm SECURE EU Cybersecurity Programme bereit. Insgesamt stehen 16,5 Millionen Euro zur Unterstützung von KMU zur Verfügung, etwa für Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Zielgruppe sind Unternehmen mit weniger als 250 Beschäftigten und begrenztem Jahresumsatz.
Aus Unternehmenssicht wird der CRA zunehmend auch als Wettbewerbsfaktor bewertet. Wer die Anforderungen erfüllt, kann künftig in Lieferketten mit strengeren Sicherheitsvorgaben als bevorzugter Partner auftreten. Gleichzeitig steigt das Risiko von Marktausschluss für Anbieter, die keine ausreichende Konformität nachweisen können.
Ari Albertini, CEO des Unternehmens FTAPI Software GmbH, sieht in der Regulierung einen strategischen Wendepunkt. Cybersicherheit werde damit endgültig von einem technischen Spezialthema zu einer unternehmerischen Kernaufgabe. Unternehmen, die frühzeitig handeln, könnten sich nachhaltige Vorteile in einem zunehmend regulierten Markt sichern.
Der Cyber Resilience Act markiert damit eine strukturelle Verschiebung: Sicherheit wird nicht mehr als optionale Zusatzfunktion betrachtet, sondern als Voraussetzung für Marktzugang und wirtschaftliche Handlungsfähigkeit im europäischen Digitalraum.
Direkter Link zu FTAPI Die #1 Plattform für DSGVO-konformen Datenaustausch | FTAPI
