Cyber Resilience Act (CRA): Was Bauunternehmen jetzt beachten müssen

Der Cyber Resilience Act verändert die IT-Sicherheitsstandards im Bau. Erfahre alles zur Timeline und erhalte eine Zusammenfassung aller Beschlüsse.

Definition: Was ist der Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA), zu Deutsch Cyberresilienz-Verordnung, ist eine neue EU-Verordnung, die Hersteller von Hardware und Software innerhalb der EU dazu verpflichtet, sicherheitsrelevante Anforderungen für ihre Produkte einzuhalten. Ziel ist es, die Cybersicherheit entlang der gesamten Lieferkette zu verbessern und das Risiko von Angriffen zu reduzieren.

Datensicherheit im Baugewerbe gewährleisten

Cyber Resilience Act Timeline: Wann tritt die Verordnung in Kraft?

Die EU beschloss den Cyber Resilience Act im Oktober 2024 und veröffentlichte die Verordnung kurz darauf im Europäischen Amtsblatt. Im November 2024 tritt der CRA in Deutschland und der EU in Kraft. Anschließend haben Unternehmen bis Oktober 2027 Zeit, Produkte und Systeme entsprechend anzupassen. Ab November 2027 sind Unternehmen verpflichtet, die Grundsätze des Cyber Resilience Acts für alle neuen Produkte umzusetzen.

Oktober 2024Beschluss des CRA durch die EU und Veröffentlichung im EU-Amtsblatt
November 2024Inkrafttreten der Verordnung und Beginn der Übergangsphase
Mai 2026Konformitätsbewertungsstellen (KBS) dürfen Umsetzung der Grundsätze des CRA bewerten
August 2026Meldepflicht für Sicherheitsvorfälle und Schwachstellen von vernetzten Produkten
Ab November 2027Verpflichtende Anwendung des CRA für alle neuen Produkte

Auf welche Produkte wirkt sich der Cyber Resilience Act im Bausektor aus?

Die EU teilt die betroffenen Produkte des CRA in zwei Risikoklassen ein: Standardprodukte und wichtige oder kritische Produkte.

Standardprodukte wie einfache Sensoren ohne Internetverbindung weisen ein geringes Risiko auf, da sie keine oder nur sehr begrenzte Verbindungen zum Internet haben. Daher sind die Anforderungen an ihre Sicherheit weniger umfassend.

Wichtige oder kritische Produkte hingegen gehen mit einem höheren Risiko einher. Dazu gehören zum Beispiel vernetzte Steuerungseinheiten wie Zugangskontrollanlagen für Baustellen oder Gebäude. Diese Produkte sind aufgrund ihrer Komplexität und der Internetverbindung einem höheren Risiko für Cyberangriffe ausgesetzt. Sie erfordern strengere Sicherheitsmaßnahmen wie regelmäßige Updates, Überwachung auf Schwachstellen und eine umfassende Verschlüsselung der Daten.

Vom CRA betroffen sind alle Produkte mit digitalen Elementen, die direkt oder indirekt mit Netzwerken kommunizieren. Dazu gehören beispielsweise:

  • Vernetzte Geräte wie IoT-Sensoren auf der Baustelle
  • Steuerungssoftware für Baugeräte und Maschinen
  • Cloud-basierte Dienste zur Projektplanung oder Baudokumentation, beispielsweise Baustellen-Apps oder Bauleiter-Apps
  • Digitale Zutrittskontrollsysteme
  • Vernetzte Sicherheitskameras und Überwachungssysteme
  • Drohnen zur Baustellenüberwachung
  • Digitale Bauhelme mit AR-Technologie
  • Mobile Apps zur Kommunikation auf der Baustelle
  • 3D-Drucker für Baukomponenten

Selbst Technologien im Baugewerbe, die bisher nicht primär als sicherheitskritisch galten, müssen künftig überprüft werden, wenn sie digitale Komponenten enthalten.

Eine Überwachungskamera in Nahaufnahme vor dem Hintergrund einer Baustelle
Neben Überwachungskameras auf Baustellen reguliert der Cyber Resilience Act eine ganze Reihe weiterer Produkte.

Welche Stakeholder der Baubranche sind vom Cyber Resilience Act betroffen?

Der Cyber Resilience Act gilt grundsätzlich für alle Hersteller von Hard- und Software, deren Produkte mit anderen Geräten oder Netzwerken verbunden sind.

In der Baubranche betrifft das sowohl vernetzte Hardware wie Maschinen, Sensoren und Sicherheitssysteme, als auch Softwarelösungen, die zur Planung, Steuerung und Überwachung von Projekten eingesetzt werden. Da diese Produkte digitale Komponenten enthalten und netzwerkfähig sind, unterliegen sie den neuen Sicherheitsanforderungen des Cyber Resilience Acts.

Für Großunternehmen in der Baubranche bedeutet der Cyber Resilience Act eine umfassende Verpflichtung zur Cybersicherheit. Sie müssen umfangreiche Sicherheitsmaßnahmen umsetzen und die gesamte Lieferkette im Blick behalten. Dazu gehört auch sicherzustellen, dass alle Lieferanten den Sicherheitsstandards entsprechen sowie regelmäßige Sicherheitsaudits und kontinuierliche Updates der digitalen Systeme.

Kleine und mittlere Unternehmen (KMU) im Bausektor haben gewisse Erleichterungen, jedoch sind sie nicht gänzlich von der Verantwortung befreit. Auch sie müssen sicherstellen, dass ihre Produkte und Systeme den Anforderungen des CRA entsprechen. Allerdings fällt der Verwaltungsaufwand aufgrund der geringeren Unternehmensgröße meist kleiner aus. KMU sollten sich darauf konzentrieren, grundlegende Sicherheitsmaßnahmen umzusetzen. Das gelingt beispielsweise durch die Einführung regelmäßiger Sicherheitsupdates und Schulungen für Mitarbeitende.

Für Start-ups im Bauwesen ist es besonders wichtig, Cybersicherheit von Anfang an zu berücksichtigen. Der Cyber Resilience Act fordert, dass bereits in der Entwicklungsphase Sicherheitsvorkehrungen getroffen werden. Beispielsweise müssen Entwickler eine verschlüsselte Kommunikation zwischen einzelnen Produktkomponenten sicherstellen. Der Vorteil: Start-ups sind oft agil und integrieren Sicherheitsaspekte schneller in ihre Entwicklungsprozesse.

Wichtig: Für KMU und Start-ups ist Unterstützung im CRA festgelegt. Unter anderem helfen Helpdesks diesen Unternehmen bei der Meldepflicht. Außerdem werden für die Überprüfung neuer Produkte sogenannte Regulatory Sandboxes – kontrollierte Bereiche, in denen neue Produkte getestet werden können – eingerichtet, Leitlinien veröffentlicht und die technische Dokumentation vereinfacht.

Was passiert bei Verstößen gegen den Cyber Resilience Act?

Unternehmen, die gegen den CRA verstoßen, müssen mit erheblichen Strafen rechnen. Das kann für betroffene Unternehmen existenzgefährdend sein. Unter anderem drohen:

  • Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes
  • Marktzugangsbeschränkungen oder Marktverbote für Produkte, die die CRA-Anforderungen nicht erfüllen
  • Rückruf bereits verkaufter Produkte

Zusätzlich besteht die Gefahr eines erheblichen Imageschadens. Dieser beeinträchtigt das Vertrauen der Kunden und führt zu langfristigen Haftungsrisiken.

Zusammenfassung: Worum geht es beim Cyber Resilience Act?

Der Cyber Resilience Act gilt als Meilenstein in der EU-Gesetzgebung und verändert grundlegend die Art und Weise, wie die Digitalisierung in der Baubranche in Zukunft weiterentwickelt und eingesetzt wird. Er legt klare Vorgaben für die Sicherheit von Produkten mit digitalen Komponenten fest. Ziel ist es, eine einheitliche Sicherheitsbasis in der gesamten EU zu schaffen und Cyberbedrohungen präventiv zu begegnen.

Folgende Maßnahmen musst du in den kommenden Jahren im Rahmen des digitalen Wandels in der Baubranche umsetzen:

  • Sicherheitsvorgaben einhalten: Bereits während der Entwicklung musst du Cybersicherheitsrisiken berücksichtigen und Produkte nach den Prinzipien „secure by design“ und „secure by default“ entwickeln. Darüber hinaus bist du verpflichtet, eine Software Bill of Materials (SBOM) zu erstellen.
  • Schwachstellen melden: Schwachstellen wie veraltete Software und schwerwiegende Vorfälle wie Datendiebstahl musst du über eine zentrale Meldeplattform melden.
  • Anforderungen nachweisen: Deine Konformitätserklärung zeigt, dass dein Produkt die CRA-Anforderungen erfüllt. Meist reicht eine Selbstbewertung, bei wenigen Produkten ist eine Drittbewertung durch eine unabhängige Organisation notwendig.
  • Regelmäßige Updates durchführen: Sicherheitsupdates sind verpflichtend, um neue Schwachstellen nachträglich zu beheben.

Secure by design bedeutet Sicherheitsmechanismen von Anfang an in den Entwicklungsprozess zu integrieren.„Secure by default“ meint, dass Produkte standardmäßig mit sicheren Voreinstellungen ausgestattet sind. Die Software Bill of Materials (SBOM) beinhaltet eine Übersicht aller verwendeten Softwarekomponenten eines Produkts.

Für Unternehmen in der Baubranche bedeutet das, digitale Werkzeuge und Prozesse frühzeitig auf den Prüfstand zu stellen. Das heißt mehr Sicherheit und Vertrauen – sowohl intern als auch gegenüber Kunden und Partnern.

So sollten Bauunternehmen jetzt handeln

Als Bauunternehmen solltest du den Cyber Resilience Act der EU nicht nur als lästige Pflicht sehen. Er bietet dir eine echte Chance, deine Cybersicherheit zu verbessern. Die folgenden sechs Tipps helfen dir bei der Umsetzung der neuen Cyberresilienz Verordnung:

  1. Risikoanalyse durchführen: Identifiziere die Schwachstellen in deinen vernetzten Geräten und Systemen.
  2. Schulungen organisieren: Sorge dafür, dass deine Mitarbeitenden wissen, wie sie die Systeme sicher halten.
  3. Lieferanten hinterfragen: Arbeite nur mit Partnern zusammen, die sich ebenfalls an den CRA halten.
  4. Sicherheitsrichtlinien erstellen: Entwickle klare Richtlinien und Standards für die IT-Sicherheit, damit alle Mitarbeitenden wissen, wie sie sich verhalten müssen.
  5. Notfallpläne entwickeln: Erstelle Notfallpläne für den Fall eines Cyberangriffs, um im Ernstfall schnell zu reagieren und den Schaden zu minimieren.
  6. Externe Beratung in Anspruch nehmen: Ziehe spezialisierte Beratungsunternehmen hinzu, um sicherzustellen, dass dein Unternehmen den CRA-Anforderungen entspricht und keine Schwachstellen übersehen werden.

Fazit: Cyber Resilience wird in Zukunft zum Wettbewerbsvorteil

Die digitale Transformation im Bauwesen ist im vollen Gange. Der Cyber Resilience Act bringt für Bauunternehmen neue Pflichten, aber auch Chancen mit sich und stärkt das Vertrauen für die Digitalisierung im Baugewerbe. Wer frühzeitig handelt und Cybersicherheit in seine Prozesse integriert, ist langfristig besser aufgestellt, da

  • das Risiko teurer Sanktionen und Cyberangriffe minimiert,
  • die Compliance-Anforderungen erfüllt und
  • das Vertrauen von Kunden und Partnern gestärkt wird.

Zudem wird das Risiko von teuren Sanktionen und Angriffen verringert. Das verbessert nicht nur die betriebliche Sicherheit, sondern schafft auch eine stabile Basis für die erfolgreiche Digitalisierung in einer zunehmend vernetzten Branche.

Bleibe technologisch up-to-date – mit digitaler Bausoftware.

Bildnachweis: Titelbild: escapejaja/stock.adobe.com, Bild 1: AVD/stock.adobe.com