Reuschlaw

Cyber Resi­li­ence Act – von der Theo­rie zur Praxis

Ste­fan Hes­sel, Chris­ti­na Kie­fer und Anni­ka Misch­ler in der PHi Haft­pflicht inter­na­tio­nal – Recht & Ver­si­che­rung 2/2025, S. 66–71

Der CRA erfor­dert einen hohen Umset­zungs­auf­wand und stellt Unter­neh­men branchenübergrei­fend vor erheb­li­che Herausforde­rungen. Obwohl die meis­ten Anfor­derungen erst bis zum 11. Dezem­ber 2027 umge­setzt sein müs­sen, ist ein früh­zei­ti­ges und pro­ak­ti­ves Han­deln uner­läss­lich, um recht­li­che und ope­rative Risi­ken zu minimieren.

Unter­neh­men soll­ten zunächst prü­fen, ob und wel­che Pro­duk­te vom CRA betrof­fen sind, und ihre Rol­le im Markt klar defi­nie­ren. Anschlie­ßend ist ein struk­tu­rier­ter Maßnah­menplan zu ent­wi­ckeln, der nicht nur die Vor­ga­ben des CRA berück­sichtigt, son­dern auch des­sen Wech­sel­wir­kun­gen mit ande­ren Regel­wer­ken wie der DSGVO und der KI-Verordnung inte­griert. Ein Anfor­derungskatalog, ergänzt durch eine Gap-Analyse, kann dabei hel­fen, Lücken zwi­schen bestehen­den Pro­zessen und neu­en gesetz­li­chen Anfor­de­run­gen zu iden­ti­fi­zie­ren und gezielt zu schlie­ßen. Die Anforde­rungen des CRA betref­fen zudem die Ver­trags­ge­stal­tung mit Zulie­fe­rern und Dienst­leis­tern, ins­be­son­de­re im Hin­blick auf die Cyber­si­cher­heit in der Lie­fer­ket­te. Ver­ant­wort­li­che in Unter­neh­men soll­ten dar­auf ach­ten, dass Teams zur Umset­zung des CRA inter­dis­zi­pli­när auf­ge­stellt sind, da nur so die not­wen­di­ge Verschmel­zung von recht­li­chen, tech­ni­schen und ope­ra­ti­ven Maß­nah­men zur Cyber­si­cher­heit mög­lich sind. Die Ein­hal­tung des CRA ist zudem als Dau­er­auf­ga­be anzu­se­hen, die nur durch ein kon­ti­nu­ier­li­ches Monito­ring der unter­neh­mens­in­ter­nen Pro­zes­se und der Pro­duk­te gewähr­leistet wer­den kann. Auch die dyna­mische Rechts­la­ge soll­te fortlau­fend beob­ach­tet wer­den, da sowohl mit einer wei­te­ren Aus­le­gung der Anfor­de­run­gen durch die Aufsichts­behörden als auch mit einer Rechts­fortbildung durch die Rechtspre­chung zu rech­nen ist.

Unter­neh­men soll­ten den CRA jedoch nicht nur als zusätz­li­che Belas­tung, son­dern auch als Chan­ce für die Ver­bes­se­rung ihrer Pro­duk­te sehen. Wer früh­zei­tig han­delt, sichert sich nicht nur recht­li­che Com­pli­ance, son­dern stärkt zugleich die eige­ne Markt­po­si­ti­on und das Ver­trau­en von Kun­den und Part­nern.“

Der voll­stän­di­ge Arti­kel kann unter fol­gen­dem Link abge­ru­fen werden.

Haus­nach­richt

Für den 5. Juni 2025 laden wir Sie ein, auf unse­rer Digi­tal Busi­ness Con­fe­rence mit uns und füh­ren­den Vertreter:innen aus der Wirt­schaft, Auf­sichts­be­hör­den und Wis­sen­schaft, um die drän­gends­ten recht­li­chen Her­aus­for­de­run­gen und prak­ti­ka­ble Lösun­gen für Cyber­si­cher­heits­stra­te­gien zu dis­ku­tie­ren.  Im Fokus ste­hen die Umset­zung der NIS-2-Richtlinie sowie die Anfor­de­run­gen des Cyber Resi­li­ence Act (CRA).

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.