CVD Portal
← Zurück zu den NeuigkeitenRead in English →
Branchennews

CRA treibt jetzt die Sicherheitsausgaben 2026: Was KMU wissen müssen

Der EU Cyber Resilience Act entwickelt sich zu einem der wichtigsten Treiber für Entscheidungen über Sicherheitsinvestitionen in ganz Europa.

CRA-Konformität rückt auf Vorstandsebene

Laut dem State of Cloud-Native Security Report 2026 von Red Hat erwarten 64 % der Organisationen, dass der CRA ein wesentlicher Einflussfaktor für ihre Sicherheitsinvestitionen 2026 sein wird.

Bereitschaftslücken bei KMU werden größer

Auf der Konferenz CRA Europe 2026 in Bukarest, Rumänien, wurde in den Diskussionen eine wachsende Kluft zwischen den regulatorischen Anforderungen und der operativen Bereitschaft deutlich, insbesondere bei kleinen und mittleren Unternehmen.

  • Übersetzung der Anforderungen in den täglichen Arbeitsablauf
  • Ressourcen für eine konsistente Umsetzung über Entwicklung und Governance hinweg
  • Erstellung und Pflege von SBOMs
  • Sicherheitspflichten für Produkte am Ende ihres Lebenszyklus
  • Strukturen für die Meldung von Vorfällen

Wie die Cyprus Mail berichtet, besteht die Herausforderung für kleinere Unternehmen nicht darin, die Verordnung zu verstehen, sondern darin, über die Governance-Strukturen und die Entwicklungskapazität zu verfügen, um sie konsistent umzusetzen.

Für viele kleinere Unternehmen liegt die Herausforderung nicht im Verständnis der Verordnung, sondern darin, über die Governance-Strukturen und die Entwicklungskapazität zu verfügen, um sie konsistent umzusetzen.

— Columbia Group auf der CRA Europe 2026

Zwei Bereiche im Blick: EOL-Geräte und Open Source

Geräte am Ende ihres Lebenszyklus

Die Politikanalyse von Cisco betont, dass weder der CRA noch NIS2 direkt regeln, wie mit Geräten umzugehen ist, sobald ihr Lebenszyklus endet. Da 40 % der am häufigsten angegriffenen Schwachstellen im Jahr 2025 Geräte am Ende ihres Lebenszyklus betrafen, die oft nicht mehr patchbar sind, birgt diese Lücke erhebliche Risiken. Cisco plädiert für ausdrückliche Leitlinien auf europäischer Ebene zum Umgang mit veralteten Geräten.

Haftung bei Open Source

Der CRA schließt Open-Source-Software bewusst von Haftungspflichten aus, um abschreckende Effekte auf das Ökosystem zu vermeiden. Dieser Ausschluss hebt die Verantwortung jedoch nicht auf. Hersteller, die Produkte mit Open-Source-Code kommerzialisieren, tragen weiterhin die volle Verpflichtung. Sie müssen weiterhin SBOMs erstellen, Schwachstellen verfolgen und transparent über die Sicherheitspraktiken zu ihren Open-Source-Abhängigkeiten informieren.

Wie CVD Portal helfen kann

CVD Portal hilft KMU-Herstellern, die Anforderungen von CRA-Artikel 13 zu erfüllen, mit einem kostenlosen Portal zur Offenlegung von Schwachstellen, das Folgendes umfasst:

  • Gebrandeter Sicherheitskontakt unter ihrunternehmen.cvdportal.com
  • Automatisierte Nachverfolgung der Bestätigung innerhalb von 48 Stunden
  • Vollständiger Prüfpfad für die Compliance-Dokumentation
  • ENISA-konforme Meldung bei Bedarf

Kostenlos starten, keine Kreditkarte erforderlich.

Kostenlos starten