Risiken minimieren, Chancen nutzen

Was passiert bei Nichteinhaltung des Cyber Resilience Act?

Der Cyber Resilience Act fordert Unternehmen heraus. Aber was passiert, wenn die Vorgaben des Cyber Resilience Acts ignoriert werden? Unser Artikel gibt Einblicke in mögliche Folgen und zeigt, wie sich Risiken minimieren lassen.

03.02.2025Text: Xavier Ruchti0 Kommentare
Headerbild zu Blog zum Thema Cyber Resilience Act und dessen Folgen bei der Nichteinhaltung

Der Cyber Resilience Act (CRA) der Europäischen Union stellt einen bedeutenden Meilenstein in der Regulierung der Cybersecurity dar. Sein Hauptziel besteht darin, die Sicherheit digitaler Produkte zu erhöhen und Schwachstellen während ihres gesamten Lebenszyklus zu minimieren. Unternehmen, die Artikel mit digitalen Elementen entwickeln, importieren oder vertreiben, sind verpflichtet, die Bestimmungen des CRAs strikt zu befolgen. Doch welche Folgen drohen, wenn Unternehmen die Vorgaben ignorieren oder Sicherheitsprobleme nicht rechtzeitig melden? Im Folgenden beleuchten wir die potenziellen Sanktionen und Strafen.

Warum ist die Einhaltung des CRA für Unternehmen von grösster Relevanz?

Die Umsetzung des Cyber Resilience Act ist sowohl aus rechtlicher als auch aus unternehmerischer Sicht wichtig. Er schützt nicht nur die Kunden, sondern trägt auch dazu bei, die Marktstellung zu sichern. Verstösse gegen die Vorschriften ziehen nicht nur teure Geldstrafen nach sich, sondern haben auch erhebliche Folgen auf die Reputation der Unternehmen, vor allem in stark regulierten Bereichen.

Cyber Resilience Act
Kostenloser Download

Whitepaper zum Cyber Resilience Act

Dieses Whitepaper bietet praxisnahe Einblicke und konkrete Handlungsempfehlungen, um Ihr Unternehmen fit für die neuen EU-Richtlinien für Cybersecurity zu machen.
Zum Whitepaper

Die Kernanforderungen des Cyber Resilience Acts

Der CRA fordert von Unternehmen die Implementierung umfassender Sicherheitsstrategien zur Gewährleistung der Integrität ihrer Produkte. Sicherheitsaspekte müssen nicht nur während des Betriebs, sondern bereits integrativ in die Entwicklungsprozesse einfliessen. Des Weiteren sind Unternehmen verpflichtet, entdeckte Probleme umgehend zu beheben und Verstösse oder Vorfälle den zuständigen Behörden zu melden.

Im Wesentlichen beinhaltet der CRA die folgenden Richtlinien:

  • Unternehmen müssen Sicherheitsmassnahmen ab der Entwicklungsphase gemäss dem Prinzip «Security by Design» einbinden.
  • Hersteller sind verpflichtet, regelmässig Sicherheitsupdates zur Behebung bekannter Schwachstellen bereitzustellen.
  • Sicherheitsvorfälle und entdeckte Schwachstellen sind umgehend den zuständigen Behörden zu melden.
  • Die Erfüllung der Compliance-Anforderungen muss durch technische Dokumentationen und EU-Konformitätserklärungen belegt werden.

Welche Verstösse werden sanktioniert?

Es gibt verschiedene Arten von Zuwiderhandlungen. Besonders prekär sind systematische Missachtungen der Cybersecurity, die nicht nur einzelne Produkte, sondern die gesamte Lieferkette betreffen. Selbst geringfügige Regelverstösse, wie unzureichende Dokumentation und verspätete Meldungen, können beträchtliche Sanktionen nach sich ziehen.

Der CRA weist folgende Handlungen als Vergehen aus:

  • das Missachten grundlegender Sicherheitsanforderungen laut Anhang I des CRA
  • fehlerhafte oder fehlende CE-Kennzeichnung sowie unvollständige technische Dokumentationen
  • irreführende, lückenhafte oder falsche Angaben gegenüber Behörden oder benannten Stellen
Ausschnitt einer Hand mit Stift
Kostenloser Download

Checkliste zur Umsetzung des Cyber Resilience Act

Unsere Checkliste zur Umsetzung des Cyber Resilience Act bietet Ihnen einen klaren Leitfaden, um alle erforderlichen Schritte effizient zu planen und umzusetzen.
Zur Checkliste

Drohende Konsequenzen bei Missachtung des CRA

Das Nichteinhalten der CRA-Richtlinien hat vielfältige Auswirkungen, die sowohl die finanzielle Stabilität als auch die operative Effektivität eines Unternehmens beeinträchtigen. Neben unmittelbaren Sanktionen besteht die Gefahr langanhaltender Reputationsverluste, die das Vertrauen von Kunden und Geschäftspartnern erheblich schmälern.

Mögliche Sanktionen laut CRA

  1. hohe Bussgelder
    Schwerwiegende Verstösse gegen die Pflichten, die in den Artikeln 13 und 14 festgelegt sind, werden mit empfindlichen Geldstrafen von bis zu 15 Millionen Euro oder alternativ mit 2,5% des weltweiten Jahresumsatzes geahndet. Im Falle von Nichtbeachtung der Kennzeichnungs- und Dokumentationsvorschriften drohen Bussgelder von bis zu 10 Millionen Euro oder 2% des globalen Umsatzes.
    Falsche Angaben führen wiederum zu Strafen von bis zu 5 Millionen Euro oder 1% des weltweiten Umsatzes. Bei der Bemessung der Sanktionen wird stets der höhere Betrag zugrunde gelegt. Sollte beispielsweise 2,5% des weltweiten Jahresumsatzes eine Summe von 30 Millionen Euro ergeben, wird dieser Betrag als Massstab für die Sanktion angesetzt.
  2. Produktverbote und Rückrufe
    Produkte, die nicht den CRA-Anforderungen entsprechen, dürfen weder vertrieben noch verkauft werden. Behörden sind befugt, Rückrufaktionen einzuleiten oder Produkte zu verbieten, um potenzielle Risiken für Verbraucher zu minimieren.
  3. Haftung für Schäden
    Unternehmen können für Schäden verantwortlich gemacht werden, die durch unsichere Produkte entstehen, beispielsweise wenn Cyberangriffe auf Sicherheitslücken oder unterlassene Sicherheitsaktualisierungen nach Markteinführung zurückzuführen sind. Die Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates ergänzt diese Verordnung und legt eine verschuldensunabhängige Haftung für Hersteller fest. Die Verordnung definiert klar die Verpflichtung der Hersteller zur Bereitstellung von Updates, um ihre Haftung umfassend zu regeln.

Grundlagen für die Bemessung der Strafen

Bei der Festlegung der Geldbusse fliessen alle relevanten Faktoren des jeweiligen Falls sowie folgende Kriterien mit ein:

  1. die Art des Vergehens
  2. der Umfang und die Dauer des Regelverstosses
  3. die Auswirkungen auf betroffene Parteien oder Märkte
  4. das Vorliegen früherer identischer oder ähnlicher Verstösse des beschuldigten Unternehmens
  5. die Grösse des Unternehmens und dessen Marktanteile

Wirtschaftliche und operative Folgen bei Missachtung des CRA

Zusätzlich zu den unmittelbaren rechtlichen Sanktionen führt die Nichteinhaltung des CRA zu weiteren wirtschaftlichen und betrieblichen Herausforderungen. Unternehmen könnten gezwungen sein, beträchtliche Mittel in Korrekturmassnahmen zu stecken, Rückrufaktionen einzuleiten oder gar ihre Fertigungsprozesse grundlegend zu überarbeiten. Diese Massnahmen beeinflussen nicht nur die Finanzen auf kurze Sicht, sondern beschneiden auch die Wettbewerbsfähigkeit bei der Erschliessung neuer Märkte erheblich.

Mögliche Auswirkungen:

  • zusätzliche Kosten durch Rückrufe, Schadensersatzforderungen oder Strafen
  • Produktionsstopps oder Vertriebsverbote für unsichere Produkte
  • eingeschränkter Zugang zu internationalen Märkten aufgrund fehlender Konformität
  • Reputationsverluste bei Kunden und Partnern
Person mit Laptop in der Hand
Schützen Sie Ihre digitalen Assets

Cybersecurity Services

Unsere Dienstleistungen helfen, Ihre digitalen Assets zu schützen und die Geschäftskontinuität zu gewährleisten. Das stärkt das Vertrauen Ihrer Kunden und schafft Wettbewerbsvorteile.
Mehr erfahren

So bereiten Sie Ihr Unternehmen auf den CRA vor

Unternehmen, die die Anforderungen des CRAs erfüllen möchten, sollten frühzeitig die Initiative ergreifen. Ein proaktiver Ansatz, der Sicherheit und Compliance priorisiert, hilft dabei, Sanktionen zu vermeiden, stärkt das Vertrauen der Kunden und schafft Wettbewerbsvorteile.

Empfohlene Schritte:

  1. Bewerten und Aktualisieren der derzeitigen Sicherheitsstrategie gemäss den CRA-Anforderungen
  2. Implementierung des Security-by-Design-Prinzips in die Produktentwicklung
  3. Durchführen regelmässiger Audits und Risikoanalysen zur Ermittlung von Schwachstellen
  4. Aufbau eines strukturierten Compliance-Management-Systems zur Nachverfolgung der Vorgaben
  5. Zeitnahes Bereitstellen von Sicherheitsupdates und umgehendes Schliessen identifizierter Sicherheitslücken.
  6. Fortbildung der Belegschaft in Cybersecurity-Themen und CRA-Konformität
  7. Kooperation mit Experten im Bereich Cybersecurity und Compliance

Sie möchten Ihre Produkte und Dienstleistungen CRA-konform gestalten? Unsere Checkliste zur erfolgreichen Implementierung des Cyber Resilience Acts hilft Ihnen, die EU-Vorgaben einzuhalten und alle wichtigen Aspekte im Blick zu behalten.

Der CRA: Chancen statt Risiken

Das Compliance-Management im Kontext des Cyber Resilience Acts ist von entscheidender Bedeutung, um erhebliche Geldstrafen, rechtliche Probleme und Imageverluste zu vermeiden. Durch proaktive und vorausschauende Planung erfüllen Unternehmen nicht nur die gesetzlichen Vorgaben, sondern verbessern auch ihre Sicherheitsstandards. Der CRA bietet zudem die Möglichkeit, Cybersecurity als strategischen Vorteil auszubauen und als vertrauenswürdiger Akteur in der digitalisierten Welt wahrgenommen zu werden.

Wenn auch Sie die Vorschriften des CRAs als Chance für Ihr Unternehmen sehen, empfehlen wir Ihnen unser Whitepaper zum Cyber Resilience Act. Es enthält praxisnahe Einblicke und gezielte Handlungsempfehlungen im Umgang mit dem CRA. Profitieren Sie von unserer Expertise und sichern Sie sich eine fundierte Beratung. Mit bbv sind Sie bestens für die digitale Zukunft Ihrer Produkte gerüstet. Kontaktieren Sie uns, um mehr über Cybersecurity und die neuen EU-Verordnungen zu erfahren – wir freuen uns auf Ihren Kontakt.

Der Experte

Roland Achermann

Roland Achermann, Head of Business Area bei bbv, bringt umfangreiche und langjährige Erfahrung in der Softwareentwicklung mit. Dank seiner praxisorientierten Lösungsansätze und seinem umfassenden Verständnis von Cybersecurity unterstützt er Unternehmen wirkungsvoll dabei, die Vorgaben des Cyber Resilience Act umzusetzen und ihre Resilienz nachhaltig zu stärken.

Unser Wissen im Abo

Lifecycle Data Management

Wie der Swiss LCDM Hub höchste Datenqualität gewährleistet

Digitale Geschäftsmodelle
Security erhöhen, Innovation fördern

Die Rolle des Cyber Resilience Acts in der digitalen Transformation

Cybersecurity
Herausforderungen und Chancen

Die Auswirkungen des Cyber Resilience Acts auf KMU

Cybersecurity

Attention!

Sorry, so far we got only content in English for this section.

Achtung!

Entschuldigung, bisher haben wir für diesen Abschnitt nur deutschsprachige Inhalte.