Die neuen EU-Vorgaben für Cybersicherheit betreffen Grosskonzerne sowie kleine und mittelständische Unternehmen (KMU) gleichermassen. Doch besonders KMU-Hersteller von vernetzten Geräten sind wegen des Cyber Resilience Acts (CRA) gefordert – von der Umsetzung technischer Massnahmen bis hin zu rechtlichen Fragen. Gleichzeitig bietet der CRA Chancen, um Sicherheitsstandards zu verbessern und sich im Wettbewerb zu differenzieren.
Symbolbild Ideogram
Mit dem Cyber Resilience Act verschärft die EU die Sicherheitsanforderungen für digitale Produkte. Hersteller, Importeure und Händler müssen ihre Produkte über ihren gesamten Lebenszyklus hinweg gegen Cyberbedrohungen schützen.
Für KMU bedeutet dies eine grosse Umstellung: Während grössere Unternehmen oft eigene IT-Sicherheitsabteilungen haben, fehlt es kleineren Firmen häufig an Ressourcen und Know-how, um den neuen Anforderungen gerecht zu werden. Wer digitale Produkte herstellt oder vertreibt, muss künftig nicht nur Sicherheitslücken regelmässig beheben, sondern auch dokumentieren, dass seine Systeme den neuen Standards entsprechen.
Aufwand und Kosten steigen
Die Einhaltung des CRA bringt für viele Unternehmen erhebliche Herausforderungen mit sich. Technische Anpassungen sind erforderlich, um neue Sicherheitsmechanismen in Produkte zu integrieren – etwa die regelmässige Aktualisierung von Firmware und Sicherheitsprotokollen. Zudem steigen die Dokumentationspflichten: Der CRA verlangt von Herstellern eine lückenlose Nachverfolgbarkeit der Sicherheitsmassnahmen.
Gleichzeitig stellen die neuen Regelungen eine finanzielle und organisatorische Belastung dar. Wer die Vorschriften nicht einhält, riskiert Sanktionen in Millionenhöhe und Marktbarrieren, während die Umsetzung des CRA für viele KMU erhebliche Kosten verursacht. Besonders problematisch ist der Mangel an internem Know-how im Bereich Cybersicherheit. Die Anforderungen an Sicherheitsarchitekturen, der Umgang mit Schwachstellen und die Einhaltung regulatorischer Vorgaben sind für viele kleine Unternehmen Neuland.
Positionierung als Chance
Doch der CRA bringt nicht nur Herausforderungen, sondern auch Vorteile mit sich. Unternehmen, die frühzeitig in Cybersecurity investieren, profitieren langfristig. Denn: Kunden legen zunehmend Wert auf sichere Produkte. Unternehmen, die den CRA also konsequent umsetzen, können einen Vertrauensvorsprung am Markt erlangen. Zudem reduziert der CRA Cyberrisiken erheblich, da durch die strikten Vorgaben Sicherheitslücken schneller erkannt und geschlossen werden.
Langfristig wirkt der CRA als Innovationstreiber, denn Unternehmen, die in Sicherheitslösungen investieren, positionieren sich technologisch fortschrittlicher und können sich so besser vom Wettbewerb abheben.
Unterstützung bei fehlender Expertise holen
Damit die Einhaltung des CRA keine unüberwindbare Hürde darstellt, sollten Unternehmen frühzeitig Massnahmen ergreifen. Es ist ratsam, von Anfang an IT-Sicherheit durch Prinzipien wie «Security by Design» in die Produktentwicklung zu integrieren.
Gerade für KMU kann es sich lohnen, mit spezialisierten Dienstleistern zusammenzuarbeiten, um die neuen Anforderungen umzusetzen. Darüber hinaus sind Schulungen und Awareness-Programme essenziell, damit Mitarbeitende für Cybersicherheitsrisiken sensibilisiert werden und frühzeitig Bedrohungen erkennen können.
Fazit: Mehr Chance als Belastung
Der Cyber Resilience Act stellt viele KMU vor Herausforderungen – von gestiegenen Sicherheitsanforderungen bis hin zu höheren Kosten und administrativem Mehraufwand. Gleichzeitig bietet er die Möglichkeit, sich durch hohe Sicherheitsstandards positiv im Markt zu positionieren.
Unternehmen sollten den CRA nicht als Belastung, sondern als Chance begreifen: Cybersicherheit ist längst kein optionaler Faktor mehr, sondern ein entscheidender Wettbewerbsfaktor. Wer frühzeitig handelt, stärkt nicht nur die eigene Sicherheit, sondern auch das Vertrauen von Kunden und Geschäftspartnern.
Wollen Sie ihr Wissen über den Cyber Resilience Act prüfen? Dann machen Sie den Test mit dem CRA-Quiz und erhalten Sie individualisierte Empfehlungen aufgrund Ihres Wissenstandes. Es ist eine Registrierung erforderlich.
Der Autor
Roland Achermann ist Head of Business Area bei bbv und bringt langjährige Erfahrung in der Softwareentwicklung mit. Dank seiner praxisorientierten Lösungsansätze und seinem umfassenden Verständnis von Cybersecurity unterstützt er Unternehmen dabei, die Vorgaben des Cyber Resilience Acts umzusetzen und ihre Resilienz nachhaltig zu stärken.
bbv Software Services AG | 6002 Luzern | www.bbv.ch
Weitere Informationen und Beiträge bei bbv in der topsoft Marktübersicht