Lesedauer: 3 MinutenMit dem EU Cyber Resilience Act (CRA) müssen Unternehmen sicherstellen, dass ihre Produkte Cyberrisiken berücksichtigen, ein effektives Schwachstellenmanagement implementieren und Schwachstellen aktiv melden. Der CRA ist bereits im Dezember 2024 offiziell in Kraft getreten. Doch jetzt, im Herbst 2025, beginnt die heiße Phase. Denn schon ab Herbst 2026 müssen Unternehmen Meldepflichten für Sicherheitsvorfälle innerhalb von 24 Stunden einhalten. Außerdem ist dann ab dem 11. Dezember 2027 eine vollständige Konformität mit dem EU Cyber Resilience Act für alle Produkte mit digitalen Elementen verpflichtend. Für Entscheider/-innen heißt das: 2025 ist das Jahr der Vorbereitung. Wer jetzt nicht mit Risikoanalysen, Dokumentationen und Prozessanpassungen beginnt, wird es schwer haben, rechtzeitig compliant zu sein.
Der CRA ist für viele Mittelständler aktuell ein relevantes Thema: Viele haben komplexe Systemlandschaften inkl. ERP-Software mit Add-Ons, Schnittstellen und individuellen Anpassungen in Benutzung. Genau an diese Nutzer/-innen richtet sich unser Blogartikel.
Überblick: Was ist der EU Cyber Resilience Act?
Ist der EU Cyber Resilience Act verpflichtend? Wie gestaltet sich der Anwendungsbereich des CRA? – Auf genau diese und weitere Fragen gehen wir nachfolgend ein:
| Frage |
Erklärung |
| Um welche Produkte geht es im CRA? |
Alle Produkte mit digitaler Hardware und/oder Software, die in der EU in Verkehr gebracht werden |
| Was ist das Ziel? |
Einen einheitlichen Sicherheitsstandard für den europäischen Markt zu schaffen |
| Wann tritt der EU Cyber Resilience Act in Kraft? |
Es gibt eine Reihe von wichtigen Fristen:
- 10. Dezember 2024: Inkrafttreten des CRA
- 11. Juni 2026: Vorgaben für Konformitätsbewertungsstellen
- 11. September 2026: Meldepflichten für Hersteller
- 11. Dezember 2027: Volle Anwendbarkeit in allen EU-Staaten
Die Übergangsfrist beträgt 36 Monate |
| Was ist zu tun? |
Sicherheit im gesamten Produktlebenszyklus
- Sicheres Design/sichere Entwicklung
- Risikoanalysen (Thread Modeling) und Sicherheitsprüfungen über sämtliche Komponenten (z. B. Datenbanken, Schnittstellen, Drittanbieter-Add-Ons)
Schwachstellenmanagement, Updates & Reporting
- Schwachstellenmanagement (regelmäßig prüfen, schnell beheben)
- Meldepflichten (Schwachstellen binnen 24h der zuständigen Behörde melden)
- Regelmäßige Updates und Security Fixes
Dokumentation und Nachvollziehbarkeit
- Software Bill of Materials (SBOM), die alle Komponenten, Bibliotheken und Abhängigkeiten auflistet
- Technische Dokumentation, Nutzerinformationen, Sicherheitsfeatures, Gebrauchsanweisungen, sicherheitsrelevante Konfigurationen
|
| Welche Strafen gibt es? |
Bis zu 15 Mio. EUR oder 2,5 % des Jahresumsatzes (je nachdem, welcher Betrag höher ist) |
Wer muss wofür sorgen?
Herstellerpflichten
Microsoft als Hersteller von Dynamics 365 Business Central trägt die Hauptverantwortung, dass das Kernprodukt (Dynamics 365 Business Central Standard) den CRA-Anforderungen entspricht. Wir von anaptis tragen dafür die Verantwortung, dass unsere eigenen Anpassungen und Apps, die wir erstellen und vertreiben, CRA-konform sind. Schließlich gelten wir damit als Hersteller. Die jeweiligen Drittanbieter von Add-Ons tragen entsprechend Verantwortung für die Compliance Ihrer Add-Ons.
Unternehmenspflichten (Business Central Anwender/-innen)
Unternehmen, die Business Central einsetzen, sind in der Regel Anwender und nicht Hersteller. Nichtsdestotrotz müssen sie sichergehen, dass ihre eingesetzte Software von CRA-konformen Herstellern stammt (also z. B. Microsoft + Dritthersteller Add-Ons + anaptis Individualentwicklungen).
Sie sollten darauf achten, dass Hersteller Software Bill of Materials (SBOMs) und Sicherheitsinformationen bereitstellen und auf Anfrage nachweisen können. Prüfen Sie bestenfalls sämtliche Vertragswerke (Lizenzverträge, Wartung und Support, Service Level Agreements) darauf, ob darin Sicherheitsanforderungen und Meldepflichten ausreichend geregelt sind.
Für den Fall, dass Sie selbst Erweiterungen programmieren oder komplexe Integrationen/Legacy-Systeme im Einsatz haben, treffen Sie diese Anforderungen natürlich ebenso.
Stellen Sie sich im Team folgende Fragen:
- Wie sicher sind unsere eingesetzte Hardware sowie Software? Werden sie regelmäßig gewartet?
- Wie weit darf ein System automatisierte Updates durchführen, ohne eigene Prozesse zu stören? Wie testen wir Updates sicher, bevor sie produktiv gehen?
- Wie sieht es um das Thema Ausfallsicherheit aus? (z. B. Backups, Wiederherstellungspläne)
- Kennen wir uns ausreichend mit Meldepflichten und Strafen aus? Was muss wie schnell gemeldet werden und welche Konsequenzen drohen bei Versäumnissen?
Allgemein empfehlen wir Ihnen, Mitarbeitende bezüglich Cybersecurity regelmäßig zu schulen (z. B. Schwachstellen melden). Denn ein allgemeines Sicherheitsbewusstsein wird zunehmend wichtiger und hilft auch in anderen Prozessen.
Fazit
Der EU Cyber Resilience Act markiert einen Wendepunkt für die Sicherheit digitaler Produkte in Europa. Für Business Central-Anwendende bedeutet das: Nicht zurücklehnen, sondern proaktiv Systeme prüfen und Sicherheitsmaßnahmen ergreifen. Wer jetzt seine Datenbasis, seine Add-Ons, seine Verträge und Prozesse in puncto Sicherheit durchleuchtet, legt die Grundlage, um rechtlich, wirtschaftlich und technisch auf der sicheren Seite zu sein.
Wenn Sie Unterstützung dabei brauchen, Ihre Business Central-Lösungen CRA-konform zu gestalten, Prozesse abzusichern und Sicherheitsvorgaben umzusetzen: Unsere Partner und wir helfen Ihnen gerne. Sprechen Sie uns gerne an.
Textquelle: https://www.cyberresilienceact.eu/the-cra-explained/
loading="lazy" alt="anaptis-ki">