Cyber Resilience Act

Nutzen Sie das EU-Gesetz zum Wettbewerbsvorteil.

Kontakt aufnehmen

Cyber Resilience Act

Industrie und Cyber Security: Den Cyber Resilience Act (CRA) als Wettbewerbsvorteil nutzen

In einer zunehmend vernetzten Welt nehmen Cyberbedrohungen sowohl für Verbraucher als auch für Unternehmen stetig zu. Damit künftig weniger Produkte mit Schwachstellen auf den Markt gebracht werden, will die Europäische Union die Cybersicherheit von Produkten für den Anwender erkennbar machen und die Sicherheit und Zuverlässigkeit von Lieferketten im Binnenraum gewährleisten, indem Hersteller und Händler wirksame Cybersicherheitsmaßnahmen umsetzen. Die entsprechenden Anforderungen definiert der Cyber Resilience Act (CRA), der bereits im März 2024 vom EU-Parlament verabschiedet wurde. Mit seiner Einführung stehen Unternehmen vor der Herausforderung, strikte Vorschriften einzuhalten, um den europäischen Markt weiterhin erfolgreich bedienen zu können.

Die wegweisende EU-Gesetzgebung zur Cyberresilienz bringt jedoch nicht nur Herausforderungen mit sich, sondern eröffnet auch vielfältige Chancen: Unternehmen, die sich frühzeitig auf die Anforderungen des CRA einstellen, können sich einen Wettbewerbsvorteil verschaffen, das Vertrauen ihrer Kunden stärken und ihre Unternehmenswerte schützen. Als führende Managementberatung unterstützen wir Unternehmen bei der Entwicklung und Umsetzung von Strategien zur Stärkung ihrer Cyber Resilience. Dabei bringen wir unsere Stärken aus verschiedenen Disziplinen ein: strategische Produktplanung, innovative Produktentwicklung, effiziente Produktionsprozesse und Cyber Security. Unser ganzheitlicher Ansatz ermöglicht es uns, Sie frühzeitig auf den europaweiten CRA vorzubereiten und Ihr Unternehmen fit für die Zukunft zu machen.

Ziele des CRA

Durch einheitliche Standards sollen Produkte im gesamten EU-Binnenmarkt ein hohes Maß an Sicherheit bieten.

Alle Unternehmen im Binnenraum müssen die gleichen Verpflichtungen für Cybersicherheit erfüllen, um fairen Wettbewerb zu gewährleisten.

Klare Vorgaben sollen Rechtssicherheit für Hersteller, Händler und Verbraucher schaffen.

Unsere Consulting Services im Bereich Cyber Resilience Act

Bestandsaufnahme und Identifizierung von Optimierungspotenzialen

Ihre Herausforderungen:

  • Komplexität der Anforderungen an die Produkte durch den CRA
  • Unklarheit über die nächsten Handlungsschritte zur Umsetzung der Anforderungen im vorgegebenen Zeitraum

Unser Lösungsansatz:

  • Produktanforderungen verstehen und eine erste Analyse Ihres Produktportfolios
  • Überprüfung Ihrer Produkte hinsichtlich der Anforderungen des CRA
  • Durchführung einer Risikoanalyse für ein repräsentatives Produkt
  • Gap-Analyse zwischen den aktuellen Cybersicherheitsfähigkeiten eines Produkts und den Anforderungen des CRA
Strategien zur Stärkung der Widerstandsfähigkeit

Ihre Herausforderungen:

  • Fehlende Anleitung für die effektive Umsetzung der Anforderungen und Integration dieser in die Produktentwicklung
  • Komplexes Produktportfolio mit unterschiedlichen Entwicklungszyklen

Unser Lösungsansatz:

  • Gemeinsame Entwicklung eines unternehmensspezifischen Maßnahmenplans zur produktbezogenen Umsetzung der relevanten Anforderungen
  • Identifizierung und Priorisierung relevanter Produktstrategien zur Entwicklung eines sicheren und CRA-konformen Produktlebenszyklus
Unterstützung für erfolgreiche Implementierung

Ihre Herausforderungen:

  • Kompatibilität und Interoperabilität mit bestehenden Systemen
  • Fehlender Implementierungsplan mit priorisierten Zielen, Maßnahmen und Verantwortlichkeiten

Unser Lösungsansatz:

  • Fachliche Begleitung zur Erstellung eines Masterplan of Action
  • Befähigung zur fachlichen Umsetzung des Maßnahmenplans an ausgewählten Produkten

 

Motivation der Europäischen Union

Verbesserung der Resilienz der EU-Mitgliedstaaten gegenüber Cyberbedrohungen

Förderung einer koordinierten Reaktion auf Cyberangriffe durch verstärkte Zusammenarbeit

Weniger Produkte mit Schwachstellen auf den europäischen Markt bringen (Erhöhung der Sicherheit der EU)

Anwendern bei der Produktwahl und Nutzung die Möglichkeit geben, Cybersicherheit zu berücksichtigen

Verpflichtungen des Cyber Resilience Acts

Bewertung und Dokumentation von Cybersicherheitsrisiken der Produkte bis zur Zulassung der Produkte durch Prüfungsinstanzen

Effektives Schwachstellenmanagement, um bekannte Schwachstellen zu beheben oder zu reduzieren.

Bereitstellen von Betriebsanleitungen, um den sicheren Gebrauch ihrer Produkte zu gewährleisten.

Regelmäßige Bereitstellung von kostenfreien Sicherheitsupdates, um Produkte vor neuen Bedrohungen zu schützen.

Verpflichtung zur Meldung von Cyberangriffen oder Sicherheitsvorfällen an die Europäische Sicherheitsbehörde ENISA.

Noch Fragen zum Cyber Resilience Act?

  • Welche Auswirkungen hat der Cyber Resilience Act auf mein Unternehmen?

    Der CRA zielt darauf ab, die Verantwortung der Hersteller für die Cybersicherheit ihrer Produkte erhöhen.

    Dies wird durch die Forderung nach weniger Produkten mit Schwachstellen erreicht, wodurch der Schutz vor Cyberangriffen verbessert werden soll.

    Die Hersteller tragen die Verantwortung während des gesamten Lebenszyklus ihres Produkts und sind somit für die Sicherheit von der Entwicklung bis zur Entsorgung verantwortlich.

    Nach Inkrafttreten des Gesetzes ist eine Übergangsfrist von 24 Monaten vorgesehen, in der sich die Mitgliedsstaaten auf die Umsetzung vorbereiten müssen. Die Hersteller sind verpflichtet, 36 Monate nach Inkrafttreten der Richtlinie die Einhaltung der Anforderungen nachzuweisen. Bei Verstößen drohen Strafen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes.

  • Wer ist vom Cyber Resilience Act betroffen?

    Der CRA betrifft alle Hersteller von Produkten mit digitalen Elementen (z.B. Software, Hardware) sowie Händler und Importeure, die solche Produkte auf den Markt bringen. Dies umfasst eine Vielzahl von Branchen, von der Elektronik- und Digitalindustrie über die Automobilindustrie bis hin zur Spielzeugindustrie und vielen anderen.

    Die Verordnung legt Verpflichtungen für die Mitgliedstaaten fest, einschließlich Marktüberwachung und Durchsetzung der Vorgaben. Sie zielt darauf ab, Produkte mit digitalen Elementen zu regulieren, die eine Datenverbindung zu einem Gerät oder Netz ermöglichen. Diese Produkte werden in zwei Kategorien unterteilt:

    • Hochkritische Produkte, die für die Resilienz der Lieferkette entscheidend sind und europäische Cybersicherheitszertifikate erfordern.
    • Kritische Produkte, die einem Konformitätsbewertungsverfahren unterliegen und eine CE-Kennzeichnung erfordern.
      • Klasse I umfasst Produkte wie VPN-Produkte, Passwortmanager und Router.
      • Klasse II umfasst Produkte wie Betriebssysteme für Server und Industrie-Firewalls.

    Ausnahmen gibt es für Produkte, die bereits durch bestehende Verordnungen reguliert sind, wie z.B. Medizingeräte und Produkte im Zusammenhang mit Kraftfahrzeugen oder Flugzeugen.

  • Wie kann ich mich am besten auf den Cyber Resilience Act vorbereiten?

    Unternehmen sollten sich auf die bevorstehende Gesetzgebung des CRA vorbereiten, indem sie eine robuste Sicherheitsstrategie entwickeln. Diese Strategie sollte darauf abzielen, Produkte von Anfang an sicher zu gestalten und durch regelmäßige Updates kontinuierlich auf dem neuesten Stand der Sicherheitstechnik zu halten.

    Der erste Schritt besteht darin, sich mit den Anforderungen des CRA vertraut zu machen, um zu verstehen, welche Anforderungen an das eigene Unternehmen gestellt werden. Im nächsten Schritt gilt es, den Status quo der Produkte mit den Vorgaben abzugleichen und eine unternehmensspezifische Roadmap zur Umsetzung der Anforderungen des CRA zu entwickeln. 

    Der CRA sollte für Unternehmen nicht nur als Verpflichtung verstanden werden, sondern eignet sich als strukturierter Rahmen, um die eigene Cyberresilienz im Unternehmen aufzubauen und Sicherheitslücken zu vermeiden.

    Gerne unterstützen wir Sie mit unserer Expertise dabei, die komplexen Anforderungen des CRA zu verstehen und in Ihrem Unternehmen erfolgreich umzusetzen.

Vereinbaren Sie direkt einen Termin mit unseren Experten

Je nach Thema stellen wir für Sie das richtige Expertenteam zusammen. Wählen Sie Ihren Wunschtermin aus unserem Kalender aus und tauschen Sie sich telefonisch oder über Microsoft Teams zu Ihrem Anliegen ganz unverbindlich mit unseren Experten aus. Wir freuen uns darauf, Sie kennenzulernen!

Termin buchen

Warum UNITY?

Wir verstehen Cybersicherheit nicht als Selbstzweck, sondern als integralen Bestandteil unternehmerischen Handelns in der digitalen Ära. Daher bieten wir eine ganzheitliche Sicht auf Ihre Herausforderungen im Zusammenhang mit dem Cyber Resilience Act.

Maßgeschneiderte Sicherheit

Sie haben ein schmales Budget oder ein groß angelegtes Cybersicherheitsprogramm? Sie sind in Ihrer Organisation allein für die Produktsicherheit verantwortlich oder leiten als CISO eine ganze Abteilung? Unabhängig von Ihren Voraussetzungen geht UNITY auf Ihre individuellen Bedürfnisse ein und findet gemeinsam mit Ihnen eine Lösung, die zu Ihnen passt.

Integrativ und umsetzungsstark

Wir betrachten die Gesamtsituation Ihres Unternehmens und optimieren Ihre Organisation, Prozesse und IT. Die Sicherheitsanforderungen müssen zur Produktstrategie, zum PLM-System, zum Entwicklungsprozess, zu den Produktionsprozessen und zu den IT-Systemen passen. Für jeden Bereich haben wir spezialisierte Berater.

Produzierendes Gewerbe ist unsere Heimat

UNITY berät seit 1995 mittelständische und multinationale Unternehmen mit Fokus auf die Entwicklung und Produktion von Industrieprodukten. Mit unserer Digitalisierungs-DNA beraten wir auf Augenhöhe und geben Impulse für digitale und vernetzte Produkte.

Kennen Sie schon Smart Mechatronics?

Entwicklungspartner für intelligente, vernetzte Systeme

Smart Mechatronics ist Ihr Partner für die Cybersicherheit Ihrer Produkte und Produktentwicklungsprozesse. Als Mitglied unserer Unternehmensgruppe UNITY Innovation Alliance beraten Sie die Experten der Smart Mechatronics entwicklungsbegleitend und unterstützen Sie bei der Implementierung von Sicherheitsanforderungen zur Erhöhung der Cyber-Resilienz Ihres Unternehmens und Ihrer Produkte.

Mehr erfahren!

Cyber Security Insights

Ihre Ansprechpartner

Michael Happ

Head of Cyber Security

Köln, Deutschland
Kontakt aufnehmen

Christian Grotebrune

Partner, Geschäftsfeldteamleiter

Paderborn, Deutschland
Kontakt aufnehmen

Dr. Michael Herbst

Partner, Geschäftsfeldleiter

Köln, Deutschland
Kontakt aufnehmen

Dr.-Ing. Jens Standke

Principal, Head of PLM & Digital Twin

Köln, Deutschland
Kontakt aufnehmen