admin

ETSI-Konsultation zu vertikalen Standards für den Cyber Resilience Act (CRA) Mit dem Cyber Resilience Act (CRA) schafft die EU erstmals ein einheitliches, verbindliches Cybersicherheitsregime für Produkte mit digitalen Elementen. Eine zentrale Rolle bei der technischen Konkretisierung dieser Anforderungen spielt das European Telecommunications Standards Institute (ETSI).Aktuell führt ETSI eine informelle Open Consultation zu Entwürfen vertikaler Standards durch, die produktspezifische Anforderungen für besonders sicherheitsrelevante Kategorien definieren. Hintergrund und Ziel der ETSI-Konsultation Die vertikalen ETSI-Standards sollen die horizontalen CRA-Grundanforderungen (insbesondere aus Anhang I CRA) um produktspezifische Sicherheits-, Entwicklungs- und Schwachstellenmanagement-Vorgaben ergänzen. Besonderheit der laufenden Konsultation: Die finalen ETSI-Normen werden nach aktuellem Stand nicht vor der zweiten Jahreshälfte 2026Read More →

DIN EN 40000 – Die zentrale Normenreihe für den Cyber Resilience Act (CRA) Mit der Normenreihe DIN EN 40000 entsteht derzeit der maßgebliche europäische Standardrahmen zur praktischen Umsetzung des Cyber Resilience Act (Verordnung (EU) 2024/2847). Die EN-40000-Reihe konkretisiert die gesetzlichen Cybersicherheitsanforderungen für Produkte mit digitalen Bestandteilen und übersetzt die abstrakten Vorgaben des CRA in prüfbare, technisch und organisatorisch umsetzbare Normanforderungen. Im Fokus stehen drei Entwurfsnormen, die gemeinsam ein in sich geschlossenes System bilden: Vokabular, Grundsätze der Cyberresilienz und Umgang mit Schwachstellen. Was ist DIN EN 40000? DIN EN 40000 ist eine horizontale europäische Normenreihe, die für alle Produkte mit digitalen Bestandteilen gilt – unabhängig davon,Read More →

NIS-2-Richtlinie: Vereinfachungsmaßnahmen und Angleichung an den CRA Warum soll die NIS-2 Richtlinie jetzt vereinfacht werden? Mit der NIS-2-Richtlinie (EU) 2022/2555 hat die Europäische Union einen einheitlichen Rechtsrahmen für Cybersicherheit in kritischen und wichtigen Sektoren geschaffen. Seit Inkrafttreten der Richtlinie zeigt sich jedoch, dass Umsetzung, Aufsicht und Abgrenzungspflichten in der Praxis mit erheblichem administrativem Aufwand verbunden sind – insbesondere für grenzüberschreitend tätige Unternehmen. Vor diesem Hintergrund hat die Europäische Kommission Anfang 2026 einen Richtlinienvorschlag zur Vereinfachung der NIS-2-Richtlinie und zur Angleichung an das Cybersicherheitsrecht der EU vorgelegt. Ein zentrales Bezugsgesetz ist dabei der Cyber Resilience Act (CRA), der erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen ElementenRead More →

Vorschlag für ein neues Cybersicherheitspaket  Inhalte, Ziele und Auswirkungen Die Europäische Kommission hat Anfang 2026 ein umfassendes neues Cybersicherheitspaket vorgelegt, mit dem die digitale Widerstandsfähigkeit der Europäischen Union deutlich gestärkt werden soll. Kern des Pakets ist der Vorschlag für einen überarbeiteten EU-Rechtsakt zur Cybersicherheit (Cybersecurity Act 2), flankiert von gezielten Anpassungen der NIS-2-Richtlinie. Ziel ist es, Sicherheitslücken zu schließen, regulatorische Fragmentierung zu vermeiden und die Cybersicherheit von Produkten, Diensten und Lieferketten im EU-Binnenmarkt nachhaltig zu erhöhen. Warum ein neues Cybersicherheitspaket? Die Bedrohungslage im Cyberraum hat sich in den letzten Jahren erheblich verschärft. Staatliche und nichtstaatliche Akteure nutzen Cyberangriffe zunehmend als strategisches Instrument. Gleichzeitig sind Wirtschaft, VerwaltungRead More →

Finanzielle Unterstützung für Kleinstunternehmen und KMU zur Verbesserung der Cybersicherheit von Produkten Cybersicherheit wird zur Produktpflicht Mit dem EU Cyber Resilience Act (CRA) werden erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen eingeführt. Betroffen sind nicht nur Großunternehmen, sondern insbesondere Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU), die Hard- oder Softwareprodukte entwickeln, herstellen oder unter eigenem Namen vertreiben. Um diese Unternehmen bei der Umsetzung der neuen regulatorischen Anforderungen zu unterstützen, stellt die EU gezielte finanzielle Fördermittel bereit. Ein zentrales Instrument ist das SECURE-Projekt, das ab 28. Januar 2026 eine erste Runde finanzieller Unterstützungsmaßnahmen startet. Förderprogramm SECURE Das SECURE-Projekt ist ein EU-gefördertes Programm im Rahmen vonRead More →

EU Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern Ziele, Maßnahmen und regulatorische Einordnung Die zunehmende Digitalisierung des Gesundheitswesens erhöht Effizienz, Versorgungsqualität und Patientensicherheit – sie macht Krankenhäuser und Gesundheitsdienstleister jedoch zugleich zu einem der attraktivsten Ziele für Cyberangriffe. Vor diesem Hintergrund hat die Europäische Kommission am 15. Januar 2025 den Europäischen Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgestellt. Der Aktionsplan ist Teil der politischen Leitlinien der EU-Kommission für die Jahre 2024–2029 und stellt die erste sektorspezifische Initiative dar, mit der das gesamte Instrumentarium der europäischen Cybersicherheitsarchitektur gezielt auf einen kritischen Sektor angewendet wird. Warum steht das Gesundheitswesen im Fokus? Krankenhäuser und GesundheitsdienstleisterRead More →

CRA für Kleinstunternehmen und KMU Warum ist der CRA auch für Kleinstunternehmen und KMUs relevant? Mit dem Cyber Resilience Act (CRA), Verordnung (EU) 2024/2847, schafft die Europäische Union erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Der Anwendungsbereich ist bewusst unternehmensgrößenneutral ausgestaltet. Das bedeutet: Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Start-ups sind nicht vom CRA ausgenommen, sofern sie als Hersteller, Importeure oder Händler von Produkten mit digitalen Elementen auftreten. Der CRA folgt damit dem Grundsatz, dass Cybersicherheit eine Produkteigenschaft ist – keine Frage der Unternehmensgröße. Gilt der CRA für alle KMU? Der CRA gilt nicht automatisch für jedes KMU, sondern rollenabhängig. Der CRA istRead More →

BSI TR-03183 Cyber-Resilienz-Anforderungen Was ist die BSI TR-03183? Die BSI TR-03183 ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Technische Richtlinie, die Cyber-Resilienz-Anforderungen an Hersteller und Produkte mit digitalen Elementen beschreibt. Sie dient ausdrücklich als Orientierungs- und Einstiegshilfe zur Vorbereitung auf die Anforderungen des Cyber Resilience Act (Verordnung (EU) 2024/2847). Im Fokus stehen insbesondere Hersteller, die bislang keine oder nur wenig formalisierte IT-Sicherheitsprozesse in den Bereichen Secure Development, Schwachstellenmanagement oder Produktpflege etabliert haben. Wichtig ist: Die BSI TR-03183 hat keinen verbindlichen oder normativen Charakter und begründet keine Konformitätsvermutung im Sinne des CRA. Einordnung im Kontext des Cyber Resilience Act (CRA) Der Cyber Resilience ActRead More →

Neue BSI Informationen und Empfehlungen Einordnung: Warum das BSI beim CRA eine Schlüsselrolle spielt Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) schafft die Europäische Union erstmals verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden.In Deutschland kommt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle zu: Es unterstützt Hersteller, Importeure und weitere Wirtschaftsakteure mit konkreten Informationen, technischen Leitlinien und Umsetzungsempfehlungen, um die abstrakten Vorgaben der Verordnung praxisnah operationalisierbar zu machen. Das BSI agiert dabei nicht als zusätzliche Aufsichtsinstanz, sondern als fachliche Orientierungs- und Standardisierungsstelle, insbesondere an der Schnittstelle zwischen Regulierung, Normung und technischer Umsetzung. Zielrichtung derRead More →