Interim CIO: Dr. Claus Michael Sattler

Enter your headline here

Cyber Resilience Act

Der Cyber Resilience Act (CRA) ist eine bahnbrechende EU-Regulierung, die darauf abzielt, die Cybersicherheit und Widerstandsfähigkeit in der Europäischen Union zu verbessern. Diese Regelung legt erstmals einheitliche Cybersicherheitsstandards für alle Produkte mit digitalen Elementen fest, die auf dem EU-Markt erhältlich sind [Quelle: 1] [Quelle: 2]. Der CRA ist das Ergebnis eines umfassenden Prozesses, der im September 2022 mit einem Vorschlag der Europäischen Kommission begann und nach mehreren Änderungen im Oktober 2024 vom Rat verabschiedet wurde [Quelle: 2].

Enter your headline here

Das Hauptziel des CRA ist es, die Cybersicherheit innerhalb der EU zu erhöhen, indem es sicherstellt, dass alle Produkte mit digitalen Elementen, die in der EU verkauft werden, bestimmte Mindestanforderungen an Cybersicherheit erfüllen müssen. Dies umfasst nicht nur hochentwickelte industrielle Systeme, sondern auch alltägliche Verbraucherprodukte wie Smartphones, Smartwatches und vernetzte Haushaltsgeräte [Quelle: 1] [Quelle: 3]. Der CRA soll sowohl Verbraucher als auch Unternehmen schützen, indem er sicherstellt, dass die Produkte, die sie kaufen und nutzen, den erforderlichen Cybersicherheitsstandards entsprechen [Quelle: 5].

Enter your headline here

Der CRA gilt für alle Produkte, die direkt oder indirekt mit einem Gerät oder einer Netzwerk verbunden werden können. Dazu gehören sowohl Hardware- als auch Softwareprodukte, wie beispielsweise Antivirensoftware, VPNs, Smart Home-Geräte und vernetzte Spielzeuge [Quelle: 3]. Eine Ausnahme bilden nicht-kommerzielle Open-Source-Softwareprodukte, die von den Anforderungen des CRA befreit sind [Quelle: 1].

Enter your headline here

Die Implementierung des CRA erfolgt schrittweise. Die Verordnung trat am 12. November 2024 in Kraft, und die wichtigsten Verpflichtungen werden ab dem 11. Dezember 2027 gelten [Quelle: 2] [Quelle: 5]. Produkte, die neu auf den Markt gebracht werden, müssen alle Anforderungen des CRA erfüllen, um den CE-Markierung zu erhalten, die die Einhaltung der EU-Vorschriften bestätigt [Quelle: 5].

Enter your headline here

Hersteller von Produkten mit digitalen Elementen müssen verschiedene Verpflichtungen erfüllen:

  1. Essenzielle Cybersicherheitsanforderungen: Diese umfassen die Implementierung von Sicherheitsmaßnahmen, die während des gesamten Produktlebenszyklus gewährleistet werden müssen [Quelle: 5].
  2. Konformitätsbewertungen: Hersteller müssen sicherstellen, dass ihre Produkte den gesetzlichen Anforderungen entsprechen, was durch interne oder externe Prüfungen erfolgen kann [Quelle: 3].
  3. Meldung von Schwachstellen und Vorfällen: Hersteller sind verpflichtet, ernsthafte Sicherheitsvorfälle und identifizierte Schwachstellen den zuständigen Behörden zu melden [Quelle: 3].

Konsequenzen bei Nichteinhaltung

Die Nichteinhaltung der CRA-Anforderungen kann erhebliche finanzielle Konsequenzen nach sich ziehen. Unternehmen, die die Vorschriften nicht erfüllen, können mit Bußgeldern bis zu 15 Millionen Euro oder 2,5 % ihres globalen Umsatzes belegt werden [Quelle: 3].

Auswirkungen auf die Pharmaindustrie

Die Pharmaindustrie steht vor besonderen Herausforderungen im Hinblick auf den CRA. Medizinische Geräte und Software sind oft kritische Produkte, die eng mit der Gesundheit von Patienten verbunden sind. Daher ist es entscheidend, dass diese Produkte den strengen Cybersicherheitsstandards entsprechen, um das Risiko von Cyberangriffen zu minimieren [Quelle: 4]. Die Pharmaindustrie muss sich auf die Implementierung eines umfassenden Cybersecurity-Managementsystems konzentrieren, Risiken im gesamten Ökosystem bewerten und sichere Softwareentwicklungspraktiken etablieren [Quelle: 4].

Strategische Planung für die Pharmaindustrie

Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen der Pharmaindustrie folgende strategische Schritte in Betracht ziehen:

  1. Cybersecurity-Management-System (CSMS) entwickeln: Ein solches System hilft dabei, Cybersicherheit von Anfang an in den Produktentwicklungsprozess zu integrieren [Quelle: 4].
  2. Risikobewertung durchführen: Unternehmen sollten ihre gesamte Lieferkette und Betriebsabläufe auf potenzielle Sicherheitsrisiken hin untersuchen [Quelle: 4].
  3. Sichere Softwareentwicklungspraktiken implementieren: Dies umfasst die Verwendung von sicheren Entwicklungsframeworks und die regelmäßige Überprüfung von Code auf Sicherheitslücken [Quelle: 4].
  4. Vulnerabilitätsmanagementprozess entwickeln: Schnelles Erkennen und Beheben von Sicherheitslücken ist entscheidend, um das Risiko von Cyberangriffen zu minimieren [Quelle: 4].
  5. Zusammenarbeit über Branchengrenzen hinweg fördern: Die Zusammenarbeit mit anderen Unternehmen und Branchen kann helfen, bestehende Herausforderungen effektiver zu bewältigen [Quelle: 4].

Fazit

Der Cyber Resilience Act ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit in der EU. Für die Pharmaindustrie bedeutet dies, dass sie ihre Strategien anpassen muss, um den neuen Anforderungen gerecht zu werden. Durch die Implementierung eines umfassenden Cybersecurity-Managementsystems und die enge Zusammenarbeit mit anderen Branchen kann die Pharmaindustrie nicht nur die Anforderungen des CRA erfüllen, sondern auch ihre Produkte sicherer und widerstandsfähiger machen. Der CRA bietet Unternehmen die Chance, ihre Cybersicherheit zu stärken und gleichzeitig Vertrauen bei Verbrauchern und Aufsichtsbehörden zu schaffen [Quelle: 5].

Der Cyber Resilience Act wird in den kommenden Jahren eine zentrale Rolle bei der Gestaltung der Cybersicherheitslandschaft in der EU spielen. Durch seine umfassenden Anforderungen an die Hersteller von Produkten mit digitalen Elementen wird er dazu beitragen, dass Verbraucher und Unternehmen sicherer sind. Die Herausforderungen, die der CRA mit sich bringt, bieten auch Chancen für Innovation und Wachstum, insbesondere in Branchen wie der Pharmaindustrie, die von der zunehmenden Digitalisierung besonders betroffen sind [Quelle: 4] [Quelle: 5].

Quellen

  1. https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html
  2. https://en.wikipedia.org/wiki/Cyber_Resilience_Act
  3. https://www.cyberresilienceact.eu/current-state-of-play/
  4. https://www.linkedin.com/pulse/sector-specific-impacts-cyber-resilience-act-cra–j8xdc
  5. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
  6. https://www.digital-operational-resilience-act.com
  7. https://www.ey.com/en_gr/technical/tax/tax-alerts/cyber-resilience-act-jan-2025
  8. https://www.dihk.de/de/themen-und-positionen/wirtschaft-digital/dihk-durchblick-digital/cyber-resilience-act-cra–90956
  9. https://www.european-cyber-resilience-act.com/Cyber_Resilience_Act_Links.html
  10. https://www.cyberresilienceact.eu
  11. https://www.pwc.de/en/cyber-security/whitepaper-eu-cyber-resilience-act.html
  12. https://www.grantthornton.de/themen/2025/cyber-resilience-act-neue-regeln-fur-digitale-produkte-in-der-eu/
  13. https://de.wikipedia.org/wiki/Cyberresilienz-Verordnung
  14. https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
  15. https://www.cencenelec.eu/news-and-events/events/2025/2025-04-08-cra/
  16. https://www.cencenelec.eu/news-and-events/events/2025/2025-03-18-cra/
  17. https://www.simmons-simmons.com/en/publications/cm6gcjsf707b0tr0kozughngv/the-eu-cyber-resilience-act
  18. https://www.pwc.ch/en/insights/regulation/understanding-the-eu-cyber-resilience-act.html
  19. https://www.hoganlovells.com/en/publications/the-eu-cyber-resilience-act-implications-for-companies-
  20. https://www.intertek.com/blog/2024/11-21-eu-cyber-resilience-act/
  21. https://www.tuvsud.com/en/resource-centre/stories/cyber-resilience-act-a-new-era-in-product-cybersecurity
  22. https://www.otorio.com/resources/understanding-the-implications-of-the-cyber-resilience-act/
  23. https://www.teleconnect.de/en/blog/navigating-the-eu-cyber-resilience-act-a-comprehensive-guide-for-manufacturers?hsLang=ja
  24. https://www.ul.com/sis/blog/eu-cyber-resilience-act-implications-automotive-industry
  25. https://www.wibu.com/solutions/cyber-resilience-act-compliance.html
  26. https://www.endorlabs.com/learn/understanding-the-cyber-resilience-act
  27. https://blog.payara.fish/eu-cyber-resilience-act-what-are-its-essential-requirements-for-software-products
  28. https://blog.nlnetlabs.nl/what-i-learned-in-brussels-the-cyber-resilience-act/
  29. https://www.european-cyber-resilience-act.com
  30. https://www.achelos.de/en/services-solutions/services/cyber-resilience-act/
  31. https://ubuntu.com/blog/a-cisos-comprehensive-breakdown-of-the-cyber-resilience-act
  32. https://cdn.digitaleurope.org/uploads/2024/09/Developing-guidelines-for-the-Cyber-Resilience-Act_DE.pdf
  33. https://www.cyberresilienceact.eu/the-cra-explained/
  34. https://openssf.org/public-policy/eu-cyber-resilience-act/
  35. https://www.pwc.de/de/cyber-security/product-cyber-security/eu-cyber-resilience-act.html
  36. https://www.gmv.com/pl-pl/node/4279/printable/print
  37. https://www.globalpolicywatch.com/2025/01/european-commission-publishes-action-plan-on-cybersecurity-of-hospitals-and-healthcare-providers/
  38. https://www.itk-engineering.de/en/story/cyber-security-for-medical-devices/
  39. https://www.digitalsme.eu/cra-guide/
  40. https://www.linkedin.com/pulse/eu-cyber-resilience-act-its-impact-medical-systems-engineering-c8r9e
  41. https://digital-strategy.ec.europa.eu/en/news/new-stronger-cybersecurity-rules-kicking-safer-eu-digital-landscape
  42. https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/739259/EPRS_BRI(2022)739259_EN.pdf
  43. https://yogosha.com/blog/cra-cyber-resilience-act-guide/
  44. https://spectralops.io/blog/the-developers-guide-to-the-cyber-resilience-act/
  45. https://www.newtec.de/en/knowledge/cyber-resilience-act/
  46. https://www.cyberresilienceact.eu/compliance-matrix/
  47. https://blogs.eclipse.org/post/juan-rico/composition-cyber-resilience-act-cra-expert-group-key-step-toward-collaborative
Dr. Claus Michael Sattler

P.O. Box 1142
28833 Weyhe
Germany

Phone: 0049 174 6031377

E-Mail: cms@sattlerinterim.com

www.sattler-interim.com - Logo mit weißem Hintergrund
Dr. Claus Michael Sattler - interim CIO
www.renate-sattler.com - linkedin-Logo
www-ihr-interim-cio-com-DDIM-Mitglied-Dr-Claus-Michael-Sattler
www.sattler-interim.com - DÖIM-Mitglied
TOP 100 INTERIM
www.sattler-interim.com - Renate H. Sattler
www.renate-sattler.com - linkedin-Logo
www-ihr-interim-cio-com-DDIM-Mitglied-Dr-Claus-Michael-Sattler
www.sattler-interim.com - DÖIM-Mitglied
www.sattler-interim.com - Logo von Renate H. Sattler-300x300
www.china-interim-managerin.com - China Consulting Partner
Post Views: 19