53 DSD 4 | 2025 konform? Welche Produkte laufen in absehbarer Zeit aus? Welche Investitionen sind notwendig, um den Betrieb aufrechtzuerhalten? Hinzu kommt, dass sich einzelne regulatorische Details noch entwickeln. Hersteller können deshalb nicht in allen Fällen verbindliche Zusagen machen, was die Planung zusätzlich erschwert. Ein weiteres Problem ist die Lebensdauer sicherheitstechnischer Systeme. Während IT-Produkte oft in kurzen Zyklen ersetzt werden, laufen Zutritts- oder Videosysteme häufig zehn Jahre oder länger. Der CRA zwingt Hersteller dazu, längere Supportzeiten zu garantieren. Betreiber müssen ihre Erwartungen an Produktlebenszyklen anpassen und stärker berücksichtigen, wie lange Updates und Ersatzteile verfügbar sind. Die politische Dimension des CRA Neben den technischen und organisatorischen Aspekten hat der CRA auch eine politische Komponente. Kritiker sehen in der 4 Wikipedia: Cyberresilienz-Verordnung: https://de.wikipedia.org/wiki/Cyberresilienz-Verordnung Regulierung nicht nur einen Beitrag zur Cybersicherheit, sondern auch ein Instrument zur Marktsteuerung. Tatsächlich könnte der CRA dazu führen, dass Hersteller aus Drittstaaten größere Hürden beim Zugang zum europäischen Markt überwinden müssen.4 Offiziell geht es um ein einheitliches Sicherheitsniveau für alle Produkte. In der Praxis betrifft das aber vor allem Anbieter aus Ländern, in denen Cybersicherheit und Transparenzanforderungen nicht denselben Stellenwert haben wie in der EU. Häufig genannt werden chinesische Unternehmen, darunter große Netzwerkausrüster, aber auch Hersteller von Videoüberwachungstechnik, die zwar seit Jahren stark auf dem europäischen Markt präsent sind, aber immer wieder auch in der Kritik stehen, etwa wegen Sicherheitslücken, fehlender Transparenz oder geopolitischer Spannungen. Der CRA könnte damit zweierlei bewirken: Zum einen stärkt er die Sicherheit von Produkten in Europa, zum anderen verschärft er indirekt die Bedingungen für Anbieter außerhalb der EU. Ob dies bewusst als industriepolitisches Instrument eingesetzt wird oder lediglich ein Nebeneffekt ist, wird derzeit kontrovers diskutiert. Chancen für die Branche Trotz aller Herausforderungen eröffnet der CRA auch Chancen. Errichter können ihre Beratungskompetenz ausbauen und sich als langfristige Partner positionieren. Wer seine Kunden rechtzeitig informiert, Bestandsaufnahmen anbietet und Migrationsstrategien entwickelt, schafft Vertrauen und bindet Kunden über Jahre hinweg. Für Betreiber entsteht mehr Transparenz. Sie können künftig verlässlicher einschätzen, wie lange Produkte mit Updates versorgt werden und wann Ersatz geplant werden muss. Das erleichtert Budgetierungen und macht die langfristige Planung von Sicherheitsarchitekturen einfacher. Und auch die Hersteller könnten indirekt profitieren, denn wahrscheinlich wird der CRA einen Innovationsschub in Gang setzen. Produkte müssen von Anfang an sicherer entwickelt werden, Sicherheitsupdates werden verbindlich und Schwachstellenmanagement wird zum Standard. Das stärkt das Vertrauen in digitale Sicherheitstechnik insgesamt. Wer sich rechtzeitig mit den neuen Vorgaben auseinandersetzt, kann mögliche Risiken minimieren und gleichzeitig von den Chancen profitieren, die der CRA eröffnet. Für die Branche entsteht die Möglichkeit, Cyber- und physische Sicherheit enger zu verzahnen und die Widerstandskraft gegenüber künftigen Bedrohungen nachhaltig zu stärken. IT- UND CYBERSICHERHEIT Bild: # 2162555454 / istockphoto.com Fakten zum Cyber Resilience Act (CRA) Inkrafttreten: Verabschiedet 2024, Übergangsfrist bis 27. Dezember 2027. Geltungsbereich: Alle„Produkte mit digitalen Elementen“ – von IoT-Geräten bis hin zu komplexen Industrie- und Sicherheitssystemen. Kernprinzipien: „Security by Design“ und„Security by Default” – sichere Entwicklung und sichere Grundeinstellungen ab Werk. Pflichten der Hersteller: Verpflichtung zu Sicherheitsupdates während der gesamten Lebensdauer des Produkts. Marktzugang: Nur konforme Produkte dürfen künftig die CE-Kennzeichnung tragen und in der EU vertrieben werden. Sanktionen: Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes. Verzahnung: Ergänzt andere EU-Regelwerke wie der NIS2-Richtlinie.
RkJQdWJsaXNoZXIy Mjc4MQ==