Der Cyber Resilience Act revolutioniert GRC und Cybersicherheit

In einer zunehmend digitalen Welt sind Cyberangriffe längst nicht mehr die Ausnahme, sondern die Regel. Mit dem EU Cyber Resilience Act (CRA) setzt die Europäische Union einen neuen globalen Standard für die Sicherheit von digitalen Produkten und Software. Unternehmen stehen damit vor der Herausforderung, Cybersicherheit tief in ihre Governance-, Risiko- und Compliance-Strukturen (GRC) zu integrieren.

Dieser Artikel zeigt, was der CRA bedeutet, welche Pflichten auf Unternehmen zukommen und wie du mit einer smarten, AI-gestützten Compliance-Strategie nicht nur Risiken minimierst, sondern auch Wettbewerbsvorteile sicherst.

1. Was ist der EU Cyber Resilience Act (CRA)

Der Cyber Resilience Act ist das erste EU-weite Gesetz, das verpflichtende Cybersicherheitsanforderungen für alle „digitalen Produkte“ vorschreibt – von Software über vernetzte Geräte bis hin zu IoT-Anwendungen. Ziel ist es, Sicherheitslücken systematisch zu reduzieren und die europäische Wirtschaft widerstandsfähiger gegen Cyberbedrohungen zu machen.

Kernpunkte des CRA:

• Pflicht zur Cybersicherheit by Design & by Default
• Kontinuierliches Schwachstellenmanagement über den gesamten Produktlebenszyklus
• Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden
• Konformitätsbewertungsverfahren für Hochrisiko-Produkte
• Strenge Vorgaben für Open-Source-Software in kommerziellen Produkten

Der CRA ergänzt bestehende Regelwerke wie die NIS2-Directive und das Lieferkettengesetz – und schafft erstmals eine klare Verbindung zwischen Produktverantwortung und IT-Sicherheit.

2. Die Auswirkungen auf Governance, Risk & Compliance (GRC)

Der CRA verschiebt die Verantwortung für Cybersicherheit deutlich: Es geht nicht mehr nur um IT-Abteilungen – vielmehr wird Cybersicherheit zur Chefsache und integraler Bestandteil von GRC.

Governance:

• Einführung von Cybersecurity-Policies auf Vorstandsebene
• Klare Verantwortlichkeiten für Sicherheitsprozesse und Produktüberwachung

Risk Management:

• Systematische Identifikation von Cyber-Risiken entlang der gesamten Wertschöpfungskette
• Bewertung von Drittanbieter-Software und Lieferantenabhängigkeiten

Compliance:

• Aufbau von Compliance-Frameworks, die technische Sicherheitsanforderungen abbilden
• Dokumentation aller Massnahmen zur Erfüllung der CRA-Vorgaben
• Vorbereitung auf mögliche Audits und Bussgelder bei Nichteinhaltung

Unternehmen, die jetzt nicht handeln, riskieren nicht nur finanzielle Strafen, sondern auch massiven Reputationsverlust.

3. Mit GRC Software – Compliance den CRA effizient umsetzen

Die Anforderungen des CRA sind komplex – doch moderne Technologien bieten Lösungen. Software kann helfen, GRC-Prozesse effizienter, präziser und resilienter zu gestalten.

So unterstützt Software die CRA-Compliance:

• Automatisiertes Schwachstellenmanagement:
  GRC Tools erkennen Sicherheitslücken in Echtzeit und priorisieren automatisch Gegenmassnahmen.
• Predictive Risk Analytics:
  Durch Machine Learning werden zukünftige Cyber-Bedrohungen prognostiziert und Risikostrategien angepasst.
• Dokumentation & Reporting:
  Natural Language Processing (NLP) generiert automatisierte Compliance-Berichte und unterstützt bei der Einhaltung von Meldepflichten.
• Supply Chain Monitoring:
  AI überwacht Drittanbieter-Software kontinuierlich auf bekannte Schwachstellen (z. B. CVE-Datenbanken).

Vorteil: Unternehmen, die ihre GRC-Strategie anpassen, erfüllen nicht nur die gesetzlichen Vorgaben schneller, sondern schaffen eine agile Sicherheitskultur, die proaktiv statt reaktiv agiert.

4. Best Practices für eine erfolgreiche CRA-Implementierung

1. Frühzeitige Gap-Analyse:
   Wo entsprechen bestehende Prozesse bereits den CRA-Anforderungen? Wo besteht Handlungsbedarf?
2. Interdisziplinäre Teams aufbauen:
   Compliance, IT, Produktentwicklung und Rechtsabteilung müssen eng zusammenarbeiten.
3. Technologie nutzen:
   Investition in AI-gestützte GRC-Tools zur Automatisierung und Effizienzsteigerung.
4. Mitarbeiter sensibilisieren:
   Cybersicherheit ist ein kulturelles Thema – regelmässige Schulungen sind Pflicht.
5. Synergien mit bestehenden Regularien nutzen:
   Abstimmung mit NIS2-, DSGVO- und Lieferketten-Compliance spart Ressourcen.

Fazit: Cyber-Resilienz als Wettbewerbsvorteil begreifen

Der EU Cyber Resilience Act markiert den Beginn einer neuen Ära: Cybersicherheit wird zur festen Säule von Governance, Risk & Compliance. Unternehmen, die jetzt strategisch handeln und auf moderne, AI-gestützte Lösungen setzen, verwandeln regulatorische Pflichten in Chancen – für mehr Vertrauen, Sicherheit und Marktvorsprung.

FAQ zum EU Cyber Resilience Act (CRA)

Was ist der EU Cyber Resilience Act (CRA)?
Der CRA ist ein EU-weites Gesetz, das verpflichtende Cybersicherheitsanforderungen für alle digitalen Produkte und Software einführt, um die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.

Wen betrifft der CRA?
Alle Unternehmen, die digitale Produkte oder Software in der EU vertreiben oder nutzen – vom Start-up bis zum Grosskonzern, inklusive Hersteller, Händler und Importeure.

Welche Pflichten entstehen durch den CRA?
Unternehmen müssen Sicherheitsmassnahmen „by Design“ implementieren, kontinuierliches Schwachstellenmanagement betreiben und Sicherheitsvorfälle melden.

Wie kann GRC Software bei der Einhaltung des CRA helfen?
GRC Tools automatisieren Schwachstellenmanagement, verbessern Risikoanalysen und erleichtern die Erfüllung von Dokumentations- und Meldepflichten.

Welche Strafen drohen bei Verstössen?
Es drohen Bussgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Daten sind kein rivalisierendes Gut. Sie können viele Male konsumiert werden, ohne dass man befürchten muss, dass das Angebot schwindet. Das Datenvolumen wächst unaufhörlich. Schätzungen zufolge wurden im Jahr 2018 33 Zettabyte an Daten generiert, und es wird erwartet, dass es im Jahr 2025 rund 175 Zettabyte erreichen wird. Es handelt sich um ein unterausgenutztes und ungenutztes Potenzial. Untersuchungen zeigen, dass 80 % der Industriedaten nie genutzt werden. Mit dem Ziel, eine robuste und faire datengesteuerte Wirtschaft zu stärken und die digitale Transformation bis 2030 zu steuern, hat die EU-Kommission am 23. Februar 2022 harmonisierte Regeln für den fairen Zugang zu und die faire Nutzung von Daten vorgeschlagen, die als Data Act bekannt sind. Diese Regeln sollen sicherstellen, dass von Geräten des Internets der Dinge (IoT) generierte Daten fair zwischen den relevanten Akteuren genutzt und verteilt werden, und gleichzeitig klarstellen, wer aus Daten Wert schöpfen kann und unter welchen Bedingungen. Indem sie Anreize für die verschiedenen an der Datenerstellung und -speicherung beteiligten Akteure schafft, rechnet die EU damit, bis 2028 ein zusätzliches BIP von 270 Milliarden Euro zu schaffen.

Das vorgeschlagene Datenschutzgesetz

1. Bestimmungen, die es den Benutzern vernetzter Geräte ermöglichen, auf die von ihnen generierten Daten zuzugreifen, die meist einseitig von den Herstellern gesammelt werden, und diese Daten mit Dritten zu teilen, um Aftermarket- und/oder andere datengesteuerte innovative Dienste bereitzustellen. Dies wird es den Herstellern ermöglichen, in die Generierung hochwertiger Daten zu investieren und entsprechende Anreize für die Übertragung zu beanspruchen, was offensichtlich die Verwendung geteilter Daten in direktem Wettbewerb mit ihrem Produkt ausschließt.
2. Maßnahmen, die es KMU ermöglichen, ihre Verhandlungsmacht neu auszubalancieren, indem sie daran gehindert werden, vertragliche Ungleichgewichte in Datenaustauschverträgen zu missbrauchen. KMU sind bei Datenaustauschverträgen und/oder vorvertraglichen Verhandlungen über Datenaustauschverträge oft auf der schwächeren Seite. Die Kommission hat in diesem Zusammenhang versprochen, faire Datenaustauschverträge auszuarbeiten und auszuhandeln, um Komplikationen zu beseitigen und solchen Unternehmen zu helfen.
3. Bestimmungen, die es öffentlichen Stellen ermöglichen, auf Daten zuzugreifen und diese zu verwenden, die von privaten Stellen gespeichert werden. Dies wird öffentlichen Stellen dabei helfen, Daten zu beschaffen, die für außergewöhnliche Umstände wie Überschwemmungen, Waldbrände und Pandemien erforderlich sind, bei denen es manchmal vorkommen kann, dass die Daten anderweitig nicht verfügbar sind.
4. Bestimmungen, die es den Kunden ermöglichen, effektiv zwischen verschiedenen Anbietern von Cloud-Datenverarbeitungsdiensten zu wechseln, und die den Kunden auch den notwendigen Schutz vor einer unrechtmäßigen Datenübertragung bieten.

Das Datengesetz wird es Verbrauchern und Unternehmen ermöglichen, auf die Daten ihrer Geräte zuzugreifen, um sie für Aftermarket- und Mehrwertdienste wie die vorausschauende Wartung zu nutzen. Dies wird Verbrauchern wie Landwirten, Fluggesellschaften oder Bauunternehmen eine große Hilfe sein, bessere Entscheidungen für den Kauf hochwertigerer oder nachhaltigerer Produkte und Dienstleistungen zu treffen, insbesondere um zu den Zielen des Green Deal beizutragen. Durch diese Gesetzgebung werden Unternehmen und Industrieunternehmen dazu angeregt, mehr Daten zur Verfügung zu haben und so von einem wettbewerbsorientierten Datenmarkt profitieren zu können.

Der Aftermarket-Service ist einer der wichtigsten Punkte des Gesetzes. Dank dieses Gesetzes können Aftermarket-Dienstleister personalisiertere Dienste anbieten und auf gleicher Augenhöhe mit anderen Herstellern oder Dienstanbietern konkurrieren, die gleichwertige Dienste anbieten. Dieses Gesetz wird zweifellos viele wirtschaftliche Möglichkeiten für Verbraucher, Unternehmen, öffentliche und private Einrichtungen schaffen.

Was das bedeutet

Thierry Breton, Kommissar für den Binnenmarkt, erklärte:

„Dies ist ein wichtiger Schritt zur Erschließung einer Fülle industrieller Daten in Europa, von denen Unternehmen, Verbraucher, öffentliche Dienste und die Gesellschaft als Ganzes profitieren. Bisher wird nur ein kleiner Teil der industriellen Daten genutzt, und das Potenzial für Wachstum und Innovation ist enorm. Das Datengesetz wird sicherstellen, dass industrielle Daten unter vollständiger Einhaltung der europäischen Vorschriften geteilt, gespeichert und verarbeitet werden. Es wird den Grundstein für eine starke, innovative und souveräne europäische digitale Wirtschaft bilden.“

DSGVO und die Sicht der EU auf den Datenschutz

Mit der Verabschiedung der EU-Datenschutz-Grundverordnung (DSGVO) hat der Schutz personenbezogener Daten für Institutionen, die in der Europäischen Union (EU) und darüber hinaus tätig sind, an Bedeutung gewonnen. Globale Technologieunternehmen wie Meta Platforms Inc. (Meta), Google und Microsoft sind in dieser Hinsicht verstärkter Prüfung ausgesetzt. Meta und die EU sind kürzlich in einen diplomatischen Streit über Datenschutzfragen verwickelt, die EU-Bürger betreffen. Meta hat gedroht, Facebook und Instagram aus der EU zurückzuziehen, wenn die Datenübertragungen in die USA nicht fortgesetzt werden können, da derzeit Verhandlungen über die Ersetzung des ungültig gewordenen transatlantischen Datenübertragungspakts laufen.

Es wäre zwar falsch zu behaupten, dass der Schutz personenbezogener Daten vor der Verabschiedung der EU-Datenschutz-Grundverordnung (DSGVO) nicht im Vordergrund stand; doch seit dem Inkrafttreten der DSGVO ist das Thema Datenschutz für Institutionen, deren Aktivitäten die Speicherung und/oder Weitergabe personenbezogener Daten in der Europäischen Union (EU) und anderswo beinhalten, von zentraler Bedeutung. Insbesondere für große globale Technologieunternehmen wie Meta Platforms Inc. (Meta), Google, Microsoft usw. ist es ein vorrangiges Anliegen.

Meta und die EU haben sich in jüngster Zeit einen diplomatischen Streit über den Datenschutz von EU-Bürgern geliefert. Sowohl Meta als auch die EU scheinen in ihrem Ansatz sehr kriegerisch zu sein, was in der Tat keine gute Sache für die Beziehungen zwischen den USA und der EU insgesamt und natürlich für die Millionen von Facebook- und Instagram-Nutzern in der EU ist.

META und die US-amerikanische Sicht auf den Datenschutz

Meta hat damit gedroht, Facebook und Instagram aus der EU abzuziehen, wenn sie nicht weiterhin die Daten von EU-Nutzern in die USA übermitteln können, während zwischen den Regulierungsbehörden Verhandlungen über einen Ersatz für den transatlantischen Datentransferpakt laufen, der im Juli 2020 vom Gerichtshof der Europäischen Union (EuGH) in einem als „Schrems II“ bekannten Fall für ungültig erklärt wurde. Der Fall wurde von dem österreichischen Datenschutzanwalt Max Schrems angestrengt, der sich darüber beschwerte, dass die Vertragsklauseln von Facebook zu den Daten den Europäern keinen ausreichenden Schutz vor staatlichen Inspektionen und Überwachungen in den USA bieten. Der EuGH hat kategorisch festgestellt, dass es unmöglich ist, einen angemessenen Schutz der Daten von EU-Bürgern bei ihrer Einreise in die USA zu gewährleisten. Nach Ansicht einiger Experten und renommierter Journalisten wird eine solche Entscheidung erhebliche Auswirkungen auf US-Unternehmen und den US-Kongress haben, da sie die Angemessenheit des Datenschutzes in den Vereinigten Staaten in Frage stellt.

In seinem am 3. Februar 2022 veröffentlichten Jahresbericht erklärte Meta: „Wenn kein neuer Rahmen für den transatlantischen Datentransfer verabschiedet wird und wir uns nicht weiterhin auf SCCs (Standardvertragsklauseln) oder andere alternative Mittel für den Datentransfer von Europa in die Vereinigten Staaten verlassen können, werden wir wahrscheinlich eine Reihe unserer wichtigsten Produkte und Dienstleistungen, darunter Facebook und Instagram, in Europa nicht anbieten können, was unser Geschäft, unsere Finanzlage und unser Betriebsergebnis erheblich und nachteilig beeinflussen würde.“

Ein Sprecher von Meta erklärte jedoch in einer per E-Mail versandten Stellungnahme: „Wir haben absolut nicht den Wunsch und auch keine Pläne, uns aus Europa zurückzuziehen. Die schlichte Realität ist jedoch, dass Meta und viele andere Unternehmen, Organisationen und Dienste auf den Datentransfer zwischen der EU und den USA angewiesen sind, um globale Dienste anbieten zu können.“

Widersprüchliche Ansichten

Auch von den EU-Partnern kommen die Reaktionen mit der gleichen Kampfeslust. Der französische Finanzminister Bruno Le Maire sagte, dass „die digitalen Giganten verstehen müssen, dass der europäische Kontinent Widerstand leisten und seine Souveränität bekräftigen wird.“

Ein deutscher Minister sagte: „Das Leben ohne Facebook und Twitter war fantastisch.“

Ein europäischer Gesetzgeber sagte: „Meta kann die EU nicht einfach erpressen, damit sie ihre Datenschutzstandards aufgibt.“ Als Gegenargument kann man allerdings anführen, dass die US-amerikanischen Datenschutzstandards nicht mit denen der EU vereinbar sind. Aber ehrlich gesagt werden solche Gesprächsrunden für beide Seiten vorteilhafte Ergebnisse bringen.

Im Anschluss an diese Scharmützel-Erklärungen beider Seiten musste Meta Anfang des Monats im New Yorker Handel bereits einen Kursverlust von bis zu 4,5 Prozent hinnehmen.

Ein Sprecher der Europäischen Kommission gab eine bescheidene Erklärung ab: „Nur eine Vereinbarung, die die Anforderungen des EU-Gerichtshofs in vollem Umfang erfüllt, kann die Stabilität und Rechtssicherheit bieten, die die Beteiligten auf beiden Seiten des Atlantiks erwarten.“ Es stellt sich daher die Frage, ob der Ball nun beim EuGH liegt.

Abschließende Gedanken

In einem anderen Zusammenhang: Während beide Seiten aggressive Aussagen zur Schließung von Facebook und Instagram in der EU machen, berücksichtigen sie dabei die Millionen von Facebook- und Instagram-Nutzern in der EU, für die die Nutzung dieser sozialen Medien im Wesentlichen zu einem untrennbaren Teil ihres Lebensstils, ihrer Ausbildung, ihrer Arbeit und ihrer beruflichen Aktivitäten geworden ist? Während wir uns voll und ganz auf die rechtlichen Aspekte des Schutzes personenbezogener Daten konzentrieren und das zu Recht, verschließen wir dabei nicht bewusst oder unbewusst den Blick vor den Rechten des Einzelnen, persönliche Entscheidungen zu treffen? Soweit wir heute wissen, ist das letzte Wort noch nicht gesprochen.