Cyber Resilience Act: Warum die Einbindung Ihrer Lieferanten entscheidend ist
Der Cyber Resilience Act betrifft nicht nur Ihre eigenen Produkte, sondern auch Ihre Lieferanten. Warum jetzt eine enge Zusammenarbeit mit Zulieferern essenziell ist, um Risiken zu minimieren und langfristige Compliance sicherzustellen.
Die Sicherheit digitaler Produkte ist nicht nur eine unternehmerische Herausforderung, sondern eine gesetzliche Verpflichtung. Der Cyber Resilience Act (CRA) der Europäischen Union definiert neue Mindestanforderungen an die Cybersicherheit entlang der gesamten Wertschöpfungskette. Unternehmen müssen nicht nur ihre internen Sicherheitsmassnahmen optimieren, sondern auch nachweisen, dass ihre Lieferanten die regulatorischen Vorgaben einhalten.
Handlungsbedarf für Unternehmen – das Wichtigste auf einen Blick
Der Cyber Resilience Act verpflichtet Unternehmen dazu, die Cybersicherheit über ihre gesamte Lieferkette hinweg sicherzustellen – unabhängig davon, ob die Zulieferer innerhalb oder ausserhalb der EU ansässig sind.
Wer die Regeln nicht erfüllt, riskiert erhebliche Konsequenzen:
- Bussgelder in Millionenhöhe
- Haftungsrisiken bei Sicherheitsverstössen
- Verkaufsverbote für nicht-konforme Produkte
Um Risiken zu minimieren, sollten Unternehmen proaktiv handeln:
- Lieferantenverträge mit klaren Sicherheitsanforderungen versehen
- regelmässige Audits und Sicherheitsprüfungen etablieren
- ein effizientes Schwachstellen-Management implementieren
In diesem Beitrag erfahren Sie, welche Massnahmen erforderlich sind, um CRA-konform zu bleiben und langfristige Cybersicherheit in Ihrem Unternehmen zu gewährleisten.
Kostenloser Download
Whitepaper zum Cyber Resilience Act
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist eine Verordnung der Europäischen Union, die Mindestanforderungen an die Cybersicherheit von Produkten mit digitalen Komponenten definiert. Unternehmen, die diese Produkte im EU-Binnenmarkt anbieten, sind verpflichtet, nachzuweisen, dass sie die erforderlichen Sicherheitsstandards über den gesamten Lebenszyklus ihrer Produkte einhalten.
Die zentralen Anforderungen umfassen:
- Security by Design – Sicherheitsaspekte sind bereits in der Entwicklungsphase zu berücksichtigen.
- Updates und Schwachstellenmanagement – Unternehmen stehen in der Pflicht, bekannte Sicherheitslücken zeitnah zu schliessen.
- CE-Konformitätsnachweis – Hersteller müssen dokumentieren, dass ihre Produkte die CRA-Regularien befolgen.
Zulieferer sehen sich mit der besonderen Problematik konfrontiert, dass ihre Komponenten an den gleichen hohen Sicherheitsstandards gemessen werden wie die des Endproduktherstellers. Dabei spielt es keine Rolle, wo sie gefertigt worden sind, insofern das Endprodukt in Europa vertrieben wird.
Mehr Einblicke in den CRA finden Sie in unserem Whitepaper zum Cyber Resilience Act, in dem wir die Kernanforderungen, Herausforderungen und mögliche Strategien konkret beleuchten.
Welche Auswirkungen hat der CRA auf Zulieferer – auch ausserhalb Europas?
Obwohl der CRA keinen eigenen Artikel ausschliesslich für Zulieferer enthält, leitet sich aus den Bestimmungen eine klare Mitverantwortung für Drittanbieter ab – egal, ob sie aus der EU oder anderen Teilen der Welt stammen.
Besonders relevant ist hierbei Artikel 13 Absatz 5 des CRA, welcher die gründliche Überprüfung der Integration von Drittkomponenten (z. B. Softwarebibliotheken, Hardware-Bauteile oder Open-Source-Komponenten) vorschreibt, um zu verhindern, dass diese die Sicherheit des Endprodukts negativ beeinflussen. Das bedeutet, dass Unternehmen ihre eigenen Schutzmassnahmen regelmässig überprüfen müssen – aber auch ihre Zulieferer zum Einhalten der CRA-Anforderungen verpflichten sollten.
Darüber hinaus verlangt Artikel 13 Absatz 6, dass entdeckte Sicherheitslücken in Fremdkomponenten unverzüglich dem jeweiligen Hersteller oder Anbieter dieser Teile gemeldet werden.
Kostenloser Download
Checkliste zur Umsetzung des Cyber Resilience Act
Welche Folgen hat das für Lieferanten?
Erfüllt ein Zulieferer die vorgeschriebenen Sicherheitsstandards nicht, besteht die Gefahr, dass das gesamte Endprodukt als nicht konform eingestuft wird und somit keinen Marktzugang in die EU erhält. Unternehmen müssen daher gezielt steuern, mit welchen Partnern sie zusammenarbeiten und wie sie Sicherheitsmechanismen vertraglich durchsetzen.
Wie Sie Ihre Lieferanten in die Pflicht nehmen und Ihre Cyber-Compliance absichern
Um die CRA-Vorgaben einzuhalten, ist eine enge Koordination mit den Lieferanten unausweichlich. Unternehmen sollten proaktiv Massnahmen ergreifen, damit auch ihre Partner die geforderten Sicherheitsstandards befolgen.
1. Vertragliche Sicherheitsanforderungen klar definieren
Passen Sie bestehende Lieferantenverträge gezielt an, um die Cyber-Resilienz zu erfüllen. Auf diese Weise etablieren Sie verbindliche Sicherheitsstandards und schaffen Transparenz.
Prüfen Sie, ob die folgenden Punkte in Ihren Verträgen verankert sind:
- Sicherheitsrichtlinien: Zulieferer müssen garantieren, dass sie allen relevanten CRA-Anforderungen nachkommen.
- Berichterstattung: Um eine kontinuierliche Bewertung der IT-Sicherheitsmassnahmen vorzunehmen, sollten Sie konsequent detaillierte Berichte anfordern.
- Meldepflicht für Schwachstellen: Konkrete Fristen und Eskalationsmechanismen helfen dabei, Sicherheitsvorfälle zu vermeiden oder einzudämmen.
- eindeutige Update-Regeln: Es ist entscheidend, dass Sicherheitsupdates innerhalb vorgegebener Zeitfenster durchgeführt werden.
Tipp: Stimmen Sie sich mit Ihrer Rechtsabteilung ab, um Verträge sowohl praxisgerecht als auch rechtskonform zu gestalten.
2. Regelmässige Audits und Lieferantenbewertungen etablieren
Selbst mit verbindlichen Verträgen bleibt eine zentrale Frage: Werden die vereinbarten Sicherheitsstandards tatsächlich eingehalten? Die Antwort auf diese Frage kann nur ein strukturiertes Lieferantenmanagement liefern.
Zu den empfehlenswerten Kontrollmechanismen gehören:
- detaillierte Audits – sowohl intern als auch durch externe Prüfer
- Anforderung von Sicherheitszertifikaten – etwa ISO 27001 für Informationssicherheitsmanagement oder IEC 62443 für industrielle Automatisierungssysteme
- risikobasierte Überprüfung – Einführung strengerer Kontrollen für kritische Komponenten
Wie der Swiss LCDM Hub höchste Datenqualität gewährleistet
Was passiert bei Nichteinhaltung des Cyber Resilience Act?
Die Rolle des Cyber Resilience Acts in der digitalen Transformation
Die Auswirkungen des Cyber Resilience Acts auf KMU
3. Reaktionsprozesse für Sicherheitslücken definieren
Sicherheitsvorfälle lassen sich nicht vollständig vermeiden. Entscheidend ist, wie Sie darauf reagieren.
Folgende Fragen sollten Sie in den Vereinbarungen mit Ihren Zulieferern klären:
- Wie schnell muss eine Sicherheitslücke gemeldet werden?
- Wer trägt die Verantwortung für Patches und Updates – der Lieferant oder das Unternehmen selbst?
- Welche maximalen Fristen gelten für kritische Sicherheitsupdates?
4. Open-Source-Risiken aktiv managen
Zahlreiche digitale Produkte nutzen Open-Source-Software und stellen dadurch ein oft unterschätztes Risiko dar. Ohne ein strukturiertes Management besteht die Möglichkeit, dass veraltete oder unsichere Codes unerkannt bleiben, was potenziell gefährliche Sicherheitslücken nach sich zieht. Ein proaktiver Umgang mit diesen Komponenten ist daher entscheidend, um langfristig die Integrität und Sicherheit der Software zu gewährleisten.
Ein systematisches Open-Source-Risikomanagement umfasst:
- Einsatz einer Software Bill of Materials (SBOM) – Eine vollständige Liste aller Open-Source-Komponenten erleichtert die Nachverfolgung von Sicherheitslücken.
- automatisierte Schwachstellen-Scans – Mithilfe von Scans lassen sich bekannte Sicherheitslücken schnell erkennen und schliessen.
- vertragliche Verpflichtung zu Updates – Zulieferer sollten dazu verpflichtet sein, Open-Source-Komponenten regelmässig zu aktualisieren.
Wissen zum CRA
Testen Sie Ihr Wissen zum CRA
bbv begleitet Sie auf dem Weg zur CRA-Compliance
Die Umsetzung des CRA erfordert technisches Fachwissen, strategische Planung und gezieltes Lieferantenmanagement. bbv bietet Ihnen individuelle Cybersecurity-Services, um den wachsenden Sicherheitsanforderungen gerecht zu werden.
Unser Angebot an Sie:
- Analyse der Sicherheitslage und Identifikation von Schwachstellen
- Entwicklung einer massgeschneiderten Cybersecurity-Strategie
- Durchführung von Lieferantenaudits und Risikobewertungen
- Beratung zu Open-Source-Risikomanagement und Security by Design
Sie möchten wissen, wie gut Sie und Ihr Unternehmen auf den Cyber Resilience Act vorbereitet ist? Dann nutzen Sie unser CRA-Quiz, um eine erste Einschätzung zu gewinnen.
Jetzt handeln und die CRA-Compliance aktiv gestalten!
Der Cyber Resilience Act (CRA) revolutioniert die Vorgaben für digitale Produkte nachhaltig. Unternehmen, die schnell reagieren, reduzieren Risiken und festigen ihre Marktposition. bbv steht Ihnen bei diesem Prozess als kompetenter Partner zur Seite. Kontaktieren Sie uns für eine individuelle Beratung, um gemeinsam eine Cybersecurity-Strategie zu entwickeln, die optimal auf Ihre Bedürfnisse abgestimmt ist.
Der Experte
Roland Achermann
Roland Achermann, Head of Business Area bei bbv, bringt umfangreiche und langjährige Erfahrung in der Softwareentwicklung mit. Dank seiner praxisorientierten Lösungsansätze und seinem umfassenden Verständnis von Cybersecurity unterstützt er Unternehmen wirkungsvoll dabei, die Vorgaben des Cyber Resilience Act umzusetzen und ihre Resilienz nachhaltig zu stärken.
