Angriffe auf Drittanbieter – sogenannte Supply-Chain-Attacken – nehmen seit Jahren deutlich zu und zeigen, wie verwundbar globale Netzwerke gegenüber Supply Chain Cyber Risks geworden sind. Sie zielen nicht direkt auf das Unternehmen, sondern auf Schwachstellen bei Partnern ab, um von dort aus Systeme zu kompromittieren. Der Cyber Resilience Act (CRA) der EU trägt dieser Entwicklung Rechnung: Er verpflichtet Unternehmen dazu, auch Risiken ausserhalb ihrer eigenen Organisation systematisch zu bewerten und zu managen.
Cyber Resilience bedeutet somit, über die hausinterne IT-Sicherheit hinauszudenken – und die gesamte Lieferkette unter dem Aspekt der digitalen Widerstandsfähigkeit zu betrachten.
Typische Risiken in der Lieferkette: ungepatchte Libraries, externe Cloud-Dienste und Schatten-IT
Viele Unternehmen unterschätzen, wie stark ihre Cyber Resilienz von externen Partnern abhängt – ein Aspekt, der auch in unserem Beitrag «Transparenz als Wettbewerbsvorteil» thematisiert wird.
Diverse Studien zeigen, dass ein Grossteil der Sicherheitsvorfälle auf ungenügend abgesicherte Drittanbieter zurückzuführen ist. Gängige Schwachstellen sind:
- ungepatchte Softwarekomponenten oder Open-Source-Libraries, die über externe Systeme in eigene Anwendungen gelangen.
- Cloud- und SaaS-Dienste, deren Sicherheitsniveau nicht regelmässig überprüft wird.
- die Schatten-IT – also unautorisierte Tools oder Dienste, die Mitarbeitende nutzen, ohne dass sie in die offiziellen Sicherheitsrichtlinien eingebunden sind.
- unklare Verantwortlichkeiten in der Sicherheit der Lieferkette, etwa bei Datenhaltung, Zugriffskontrolle oder Incident Response.
Das Problem entsteht folgendermassen: Sobald ein Drittanbieter kompromittiert wird, kann sich die Attacke entlang der Lieferkette ausbreiten – mit gravierenden Folgen für Datenschutz, Produktion oder Reputation.
Quiz zum Cyber Resilience Act
Testen Sie ihr Wissen zum CRA
Finden Sie anhand von 15 Fragen heraus, wie gut Ihr Unternehmen auf die neuen Anforderungen vorbereitet ist.
Anforderungen des CRA: was Unternehmen beachten müssen
Mit dem Cyber Resilience Act schafft die EU erstmals ein verbindliches Regelwerk, das Cybersecurity in der Produkt- und Lieferkettenentwicklung verankert – und neue Massstäbe für die CRA-Compliance in Unternehmen setzt. Der CRA verpflichtet Hersteller und Anbieter digitaler Produkte dazu, Sicherheitsrisiken über den gesamten Lebenszyklus hinweg zu adressieren – von der Entwicklung über den Betrieb bis zum Ende der Nutzung.
Für Unternehmen bedeutet das:
- Sie müssen Cyberrisiken entlang der gesamten Lieferkette dokumentieren und bewerten.
- Verträge mit Drittdienstleistern sollten Sicherheitsanforderungen, Reporting-Pflichten und Haftungsfragen klar regeln.
- Software-Updates, Sicherheits-Patches und Schwachstellenmanagement müssen nachvollziehbar umgesetzt werden.
- Im Falle eines Sicherheitsvorfalls sind Meldungen an Aufsichtsbehörden innerhalb definierter Fristen verpflichtend.
Der CRA stellt damit nicht nur regulatorische Anforderungen, sondern fördert ein neues Verständnis von geteiltem Risiko: Sicherheit wird zur gemeinsamen Verantwortung aller Akteure in der Lieferkette.
Cyber Resilience Act Whitepaper
Was Sie zum CRA wissen müssen
Erfahren Sie, wie der neue EU Cyber Resilience Act die Anforderungen für Hersteller von vernetzten Geräten verändert.
Wie Resilienz in der Lieferkette zur Compliance und Wettbewerbsfähigkeit beiträgt
Cyber Resilience endet nicht an der Unternehmensgrenze. In einer vernetzten Wirtschaft zählt jede Verbindung – und jede Schwachstelle. Der Cyber Resilience Act verschärft die Anforderungen, bietet aber zugleich die Chance, die Sicherheit der Lieferketten transparenter und vertrauenswürdiger zu gestalten.
Unternehmen, die jetzt handeln, schaffen mehr als nur Compliance: Sie erhöhen ihre operative Stabilität, reduzieren Ausfallrisiken und stärken ihr Markenvertrauen.
Denn am Ende gilt: Eine Organisation ist nur so sicher wie ihr schwächstes Glied – aber mit klaren Strukturen, Monitoring und partnerschaftlichem Risikomanagement kann sie resilienter werden als je zuvor.
Tipp: Sie möchten Ihre Lieferkette sicher und compliant gestalten? Unsere Expertinnen und Experten unterstützen Sie dabei, Cyber Resilience entlang Ihrer gesamten Wertschöpfungskette aufzubauen.
DAS KÖNNTE SIE AUCH INTERESSIEREN
Cyber Resilience Act: Was Hersteller ab September 2026 beachten müssen
Cybersecurity: Stärkere Regulierung für Produktsicherheit
Wie Sie Rust in «C/C++»-Projekten einbauen können
