Am 15. September 2025 traf sich die it's OWL Fokusgruppe „Secure Software & Cloud Computing“ zum dritten Mal mit 15 Teilnehmenden vor Ort an der Zukunftsmeile 2 in Paderborn. Schon zu Beginn wurde klar: Die Diskussion würde sich stark um den Cyber Resilience Act (CRA) drehen, der aktuell die IT-Sicherheitsdebatte in Europa dominiert.
Dr. Simon Oberthür eröffnete die Runde mit einer Einordnung des CRA, der künftig für alle Hersteller von Produkten mit digitalen Elementen verbindlich wird. Besonders im Mittelpunkt stand die Frage, wie Unternehmen die neuen Vorgaben praktisch umsetzen können. Der CRA verlangt nicht weniger als ein konsequentes Schwachstellenmanagement: Hersteller müssen Sicherheitslücken und betroffene Komponenten identifizieren, dokumentieren und beheben – und das unverzüglich. Regelmäßige, wirksame Tests der Produkte sind ebenso vorgeschrieben wie die transparente Kommunikation über gefundene und behobene Schwachstellen. Auch eine Richtlinie zur koordinierten Offenlegung ist verpflichtend, ergänzt durch eine leicht auffindbare Kontaktstelle, über die externe Meldungen entgegengenommen werden können. Damit verschiebt sich der Fokus klar auf die kontinuierliche Produktpflege und den nachhaltigen Betrieb – eine Herausforderung, die weit über einmalige Zertifizierungen hinausgeht.
Besonders kontrovers wurde die Frage diskutiert, wie Updates zukünftig gehandhabt werden sollen. Automatische „over-the-air“-Updates klingen zwar nach einer idealen Lösung, werfen aber komplexe Haftungsfragen auf. Wer trägt die Verantwortung, wenn ein Nutzer ein Sicherheitsupdate ablehnt oder bewusst verzögert? Gleichzeitig wurde deutlich, dass Updates nicht nur technisch zuverlässig, sondern auch organisatorisch sauber eingebettet sein müssen. Hersteller sollen Mechanismen bereitstellen, um Funktions- und Sicherheitsupdates vorzubereiten und sicher zu kapseln, ohne dass sie zwingend sofort ausgerollt werden müssen. Klar bleibt jedoch: Sicherheitsupdates müssen unverzüglich und unentgeltlich zur Verfügung stehen.
Neben dem CRA spielte auch die NIS-2-Richtlinie eine zentrale Rolle. In einem kompakten Überblick habe ich als Referent die wichtigsten Anforderungen vorgestellt, insbesondere an das Risikomanagement in Unternehmen, die Durchführung von Risikoanalysen sowie den Umgang mit Lieferketten. Hier zeigte sich deutlich, wie stark CRA und NIS-2 miteinander verzahnt sind. Beide setzen auf klare Meldepflichten, auf die Einhaltung des Stands der Technik und auf die Verantwortung der Unternehmen, Sicherheitsprozesse nicht nur intern, sondern auch in ihrem Ökosystem zu verankern. Besonders im Bereich des Remote Data Processing und der Cloud-Dienste verweist der CRA sogar direkt auf die Vorgaben der NIS-2. Für Unternehmen bedeutet das: Wer die eine Regulierung ernst nimmt, muss sich zwangsläufig auch mit der anderen auseinandersetzen. Abseits der regulatorischen Details kam auch die Frage nach der digitalen Souveränität zur Sprache. Am Beispiel von CrowdStrike wurde diskutiert, wie stark europäische Unternehmen in der Praxis noch auf US-Lösungen angewiesen sind. Auf der einen Seite steht der Wunsch nach Unabhängigkeit, auf der anderen Seite die Notwendigkeit, leistungsstarke und marktreife Sicherheitslösungen einzusetzen. Diese Spannung wird uns wohl noch länger begleiten.
Insgesamt wurde im Treffen deutlich, dass CRA und NIS-2 keine fernen Zukunftsthemen sind, sondern sehr konkrete Handlungsfelder eröffnen. Für uns im Projekt KMU.kompetent.sicher ist genau dieser Austausch von besonderer Bedeutung. Denn die regulatorischen Vorgaben aus CRA und NIS-2 betreffen kleine und mittlere Unternehmen ganz unmittelbar. Unser Ziel ist es, KMU dabei zu unterstützen, die neuen Anforderungen in handhabbare Prozesse zu übersetzen, damit Sicherheit nicht zur Last, sondern zum Wettbewerbsvorteil wird.