Unternehmen haben sich jahrelang auf ihre eigene Sicherheit konzentriert. Doch mit dem bevorstehenden Inkrafttreten des Cyber Resilience Act (CRA) verlagert sich der Fokus nun auf die Produkte, auf die sie angewiesen sind, und die dahinterliegenden Lieferketten.
Während des letzten Jahres, die Umsetzung der NIS2-Richtlinie Sie beherrschten die Vorstandsetagen in ganz Europa. Unternehmen beeilten sich, das Risiko einzuschätzen, ihre Zugangskontrollen zu verschärfen und sicherzustellen, dass ihre interne operative Widerstandsfähigkeit den Vorschriften entsprach.
Die Sicherung Ihrer Organisation ist jedoch nur die halbe Miete, denn die darin eingesetzten Drittanbieter-Tools können ihrerseits Sicherheitslücken mit sich bringen.
Der regulatorische Fokus verlagert sich nun von den Technologiekäufern hin zu den Technologieentwicklern. Der EU-Cyberresilienz-Gesetzentwurf (CRA) ist in Kraft getreten. Mit dem Inkrafttreten Ende 2024 wandelt sich die Ära der „sicheren Organisation“ rasant in die Ära des „sicheren Produkts“.
Für Sicherheitsverantwortliche bedeutet dies eine deutlich strengere Steuerung der Lieferkette. Blindes Vertrauen und statische Lieferantenfragebögen gehören der Vergangenheit an. Die CRA ändert die Spielregeln, und der Stichtag September 2026 ist der Weckruf, den die Branche braucht.
Der Meilenstein im September 2026 erfordert einen 24-stündigen Realitätscheck
Die umfassenden Anforderungen der CRA bezüglich „Secure by Design“ und der CE-Kennzeichnung treten zwar erst am 11. Dezember 2027 in vollem Umfang in Kraft, die erste größere operative Umstellung erfolgt jedoch schon viel früher.
Ab dem 11. September 2026 führt Artikel 14 des Cybersecurity Regulation Act (CRA) die verpflichtende, ereignisgesteuerte Meldung von Sicherheitslücken ein. Hersteller von Produkten mit digitalen Elementen, sowohl Hardware als auch Software, müssen aktiv ausgenutzte Sicherheitslücken der Europäischen Agentur für Cybersicherheit (ENISA) und ihrem nationalen Computer Security Incident Response Team (CSIRT) melden.
Der Zeitplan ist eng gefasst und erfordert eine frühzeitige Benachrichtigung ohne unangemessene Verzögerung (oftmals als innerhalb von 24 Stunden interpretiert), gefolgt von einer detaillierteren Berichterstattung im Verlauf der Ermittlungen.
Als Chase Snyder von Eclypsium merkt an In einer aktuellen Analyse heißt es: „Das CRA enthält auch zahlreiche Klauseln, die eine ‚zeitnahe‘ Benachrichtigung, Offenlegung und Behebung von Schwachstellen vorschreiben“, wobei die Durchsetzung bis September 2026 verstärkt werden soll.
Entscheidend ist, dass diese Verpflichtung für Produkte gilt, die sich bereits auf dem EU-Markt befinden und weiterhin unterstützt oder gewartet werden, und nicht nur für brandneue Softwareversionen.
Für Unternehmenskunden hat dies weitreichende Folgen für das Lieferkettenrisiko. Wenn Ihre Lieferanten auf veraltete Open-Source-Komponenten (EOL) setzen und keine internen Kontrollmechanismen zur Nachverfolgung dieser Komponenten besitzen, wird deren Compliance-Verstoß schnell zu Ihrer operativen Schwachstelle.
Die Lücke schließen: NIS2 trifft auf die CRA
Um die Zukunft der Lieferkettensteuerung zu verstehen, muss man betrachten, wie NIS2 und die CRA zusammenwirken. Es handelt sich nicht um konkurrierende Rahmenwerke, sondern um komplementäre Dimensionen desselben ganzheitlichen Resilienzmodells.
NIS2 ist organisationszentriert. Es verlangt, dass wesentliche und wichtige Einheiten Risiken in ihren gesamten Geschäftstätigkeiten managen, einschließlich tiefgreifender Abhängigkeiten von Drittanbietern. Es fragt: „Sind Ihre Geschäftstätigkeiten gegenüber Störungen, einschließlich Lieferantenausfällen, widerstandsfähig?“
CRA ist produktorientiert. Es reguliert die tatsächliche Hardware und Software, die durch die Lieferkette fließt. Es schreibt Sicherheit von Anfang an, kontinuierliche Lebenszyklus-Updates und einen konsequenten Umgang mit Sicherheitslücken vor. Es fragt: „Sind die von Ihnen eingesetzten Tools grundsätzlich sicher?“ Wie Meticulous Research in ihrer Studie hervorhebt. OT/ICS-Marktanalyse„Die SBOM-Anforderung der CRA… schafft einen strukturellen Treiber für Tools zum Schwachstellenmanagement“ sowohl im NIS2- als auch im CRA-Bereich.
Anlagenbetreiber im Rahmen von NIS2 sind bei diesem Wandel keine passiven Teilnehmer. Sie bleiben für die Beurteilung und das Management des Lieferantenrisikos verantwortlich, werden sich aber zunehmend auf die Einhaltung der CRA-Vorschriften durch ihre Lieferanten als Teil dieses Qualitätssicherungsmodells stützen.
Das Ende des „statischen“ Vertrauens
Historisch gesehen basierte die Steuerung der Lieferkette auf statischer Dokumentation. Ein Lieferant füllte jährlich einen Sicherheitsfragebogen aus, legte einen SOC-2-Bericht vor, und Vertrauen wurde geschaffen, zumindest auf dem Papier.
Nach dem CRA ist statisches Vertrauen nicht mehr ausreichend.
Die Verordnung führt ein kontinuierliches Lebenszyklusmanagement ein. Wenn ein Anbieter verpflichtet ist, eine dynamische Software-Stückliste (SBOM) zu führen und Fehler innerhalb eines festgelegten Zeitraums aktiv zu melden, muss der Käufer über die Mechanismen verfügen, diese Daten in Echtzeit zu empfangen, zu verarbeiten und darauf zu reagieren.
„CRA weitet die Verantwortung tief in die Lieferketten aus“, , erklärt Joe Hughes, Vizepräsident für Supply Chain Risk Management bei Fortress Information Security: „Verträge müssen nun die Verpflichtungen der Lieferanten, einschließlich der SBOMs (Supply Chain Outcomes), klar darlegen.“
Darüber hinaus sind die wirtschaftlichen Risiken so hoch wie nie zuvor. Sollte ein Anbieter kritischer Software die Produktsicherheitsanforderungen der CRA bis zum Stichtag im Dezember 2027 nicht erfüllen, verliert sein Produkt die CE-Kennzeichnung. Ohne CE-Kennzeichnung darf es auf dem EU-Markt weder verkauft noch verwendet werden.
Für Einkaufsteams wird die Einhaltung der CRA-Vorschriften dadurch von einer rein technischen Feinheit zu einer grundlegenden Geschäftsanforderung. Sollte Ihr Lieferant die Vorgaben nicht erfüllen, sind Sie unter Umständen rechtlich verpflichtet, dessen Software zu ersetzen, was zu betrieblichen Problemen führen kann.
Aufbau einer aktiven Lieferkettenstrategie
Diese regulatorische Änderung bietet zukunftsorientierten CISOs eine große Chance, von einer defensiven, rein formalen Compliance-Strategie zu einer aktiven, umsatzsichernden Governance überzugehen. Um sich auf die Fristen des CRA 2026 und 2027 sowie die laufenden NIS2-Verpflichtungen vorzubereiten, müssen Führungskräfte jetzt handeln:
Fordern Sie frühzeitig TransparenzWarten Sie nicht bis September 2026, um Ihre Lieferanten zu fragen, wie sie die ENISA-Meldepflichten erfüllen wollen. Integrieren Sie die CRA-Vorbereitung bereits heute in Ihre Beschaffungsverträge und Lieferantenbewertungen.
Kartieren Sie die „unsichtbaren“ AbhängigkeitenNutzen Sie die gesetzlichen Bestrebungen zur Einführung von SBOMs, um einen umfassenden Überblick über Risiken von Viert- und Fünftparteien zu erhalten. Verstehen Sie, welche Open-Source-Frameworks in den von Ihnen verwendeten Standardsoftwareprodukten (COTS) enthalten sind.
Vereinheitlichen Sie Ihre RisikosichtDie Verwaltung von Lieferantenrisiken in NIS2, DORA und CRA mithilfe fragmentierter Tabellenkalkulationen führt unweigerlich zu verpassten Fristen und Sicherheitslücken. Wechseln Sie zu dynamischen, einheitlichen Governance-Plattformen, die Lieferantenprofile, Vorfallprotokolle und Compliance-Status direkt mit Ihrem zentralen Risikoregister verknüpfen.
„Führungskräfte können CRA als Katalysator nutzen, um stärkere, transparentere und widerstandsfähigere Lieferketten aufzubauen“, so OPSWAT. Fahrplan zur Softwarekonformität.
Resilienz ist keine isolierte Übung mehr
Die regulatorischen Rahmenbedingungen senden eine klare Botschaft: Resilienz ist keine isolierte interne Angelegenheit mehr. Da der Fokus von sicheren Organisationen auf sichere Produkte verlagert wird, entwickelt sich die Lieferkettensteuerung zur entscheidenden Kontrollinstanz für die Stabilität von Unternehmen.
Indem Sie diesen Wandel jetzt vollziehen, bereiten Sie sich nicht nur auf eine regulatorische Frist vor. Sie bauen eine geprüfte, robuste Lieferkette auf, die Ihre Betriebsbereitschaft sichert und Ihr Wachstum in einer zunehmend volatilen digitalen Welt beschleunigt.
Erweitern Sie Ihr Wissen
Blog: Lieferketten sind komplex, undurchsichtig und unsicher: Regulierungsbehörden fordern bessere
Guide: Sicherung der Lieferkette
