#14 - Cyber-Sicherheit als Product Compliance Pflicht - Der Cyber Resilience Act (CRA)

Shownotes

Heute im Gespräch: Manuel Poncza, Informationssicherheits-Experte der Kanzlei Heuking und Daniel Wasser, Geschäftsführer der secAdair GmbH.

Cyber-Sicherheit als Product Compliance Pflicht

In dieser Folge geht es um den Cyber Resilience Act (CRA), der teilweise bereits in 2026 und vollständig Ende 2027 vollständig in Kraft treten wird. Er betrifft alle in der EU vertriebenen Produkte mit digitalen Elementen und definiert Mindestanforderungen an ihre Cybersicherheit. Unsere Experten erklären, welche Pflichten Unternehmen erwarten, insbesondere in Bezug auf:

Produktsicherheit Die Umsetzung angemessener Sicherheitsmaßnahmen Die Notwendigkeit, Schwachstellen zu überwachen und angemessene Vorkehrungen zu treffen

Fazit: Der CRA ist ein Schritt in die richtige Richtung und seine Umsetzung ist machen Sinn und sind keine rocket science: Ziel ist es, ein einheitliches Grundniveau an IT-Sicherheit zu schaffen. Unternehmen sollten die Umsetzung allerdings nicht auf die leichte Schulter nehmen, besonders nicht, wenn man die Konsequenzen bei Nichteinhaltung bedenkt.

00:00 Intro 00:37 Themenvorstellung: Cyber Resiliance Act 01:22 Regulatorik für IT-Sicherheit: CRA und NIS 2 01:42 Was ist der CRA? 04:08 Wann gilt der CRA? 05:40 Vorbereitung für Produkthersteller 07:22 Überblick: Kernpflichten des CRA 11:11 Personeller Anwendungsbereich: Wen treffen welche Pflichten? 11:58 Cybersicherheitsanforderungen 15:35 Rechtsakte zur IT-Sicherheit: (Zu) Hohe Anforderungen? 16:44 Chance für Unternehmen 17:48 Überblick: Risikobehandlung 20:30 Einordnung der Umsetzungsfristen 20:53 Konsequenzen bei Nichtbeachtung des CRA 22:27 Fazit