CRA für Kleinstunternehmen und KMU

CRA für Kleinstunternehmen und KMU

Warum ist der CRA auch für Kleinstunternehmen und KMUs relevant?

Mit dem Cyber Resilience Act (CRA), Verordnung (EU) 2024/2847, schafft die Europäische Union erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Der Anwendungsbereich ist bewusst unternehmensgrößenneutral ausgestaltet.

Das bedeutet:

Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Start-ups sind nicht vom CRA ausgenommen, sofern sie als Hersteller, Importeure oder Händler von Produkten mit digitalen Elementen auftreten.

Der CRA folgt damit dem Grundsatz, dass Cybersicherheit eine Produkteigenschaft ist – keine Frage der Unternehmensgröße.

Gilt der CRA für alle KMU?

Der CRA gilt nicht automatisch für jedes KMU, sondern rollenabhängig.

Der CRA ist einschlägig, wenn ein KMU:

  • Hersteller von Hardware- oder Softwareprodukten mit digitalen Elementen ist,
  • Produkte unter eigenem Namen oder eigener Marke in Verkehr bringt,
  • Software (auch Open Source mit kommerziellem Kontext) vertreibt oder integriert,
  • Produkte aus Drittstaaten importiert oder
  • als Händler sicherheitsrelevante Änderungen vornimmt.

Nicht maßgeblich sind:

  • Umsatz,
  • Mitarbeiterzahl,
  • Marktstellung.

Entscheidend ist allein, ob ein Produkt mit digitalen Elementen in der EU bereitgestellt wird.

Zentrale CRA-Pflichten für Kleinstunternehmen und KMU

KMU unterliegen denselben materiellen Sicherheitsanforderungen wie große Hersteller. Dazu zählen insbesondere:

Cybersicherheitsanforderungen (Anhang I CRA)

  • Secure-by-design und secure-by-default
  • Keine unsicheren Standardkonfigurationen (z. B. Standardpasswörter)
  • Schutz vor bekannten Schwachstellen
  • Integrität, Authentizität und Zugriffskontrollen
  • Angemessene Kryptographie

Risikobewertung vor Markteintritt

  • Identifikation vorhersehbarer Risiken
  • Ableitung technischer und organisatorischer Maßnahmen
  • Dokumentation der Sicherheitsannahmen

Schwachstellenmanagement

  • Verfahren zur Erkennung und Behebung von Schwachstellen
  • Koordinierte Offenlegung (Coordinated Vulnerability Disclosure)
  • Sicherheitsupdates über den erwarteten Produktlebenszyklus

Meldepflichten

  • Meldung aktiv ausgenutzter Schwachstellen
  • Meldung schwerwiegender Sicherheitsvorfälle
  • Einhaltung enger Fristen gegenüber den zuständigen Stellen

Keine Absenkung der Anforderungen aber Unterstützung für KMU

Der CRA senkt nicht das Sicherheitsniveau für KMU. Stattdessen sieht er gezielte Unterstützungsmechanismen vor, um die Umsetzung zu erleichtern.

Maßnahmen der Mitgliedstaaten

Mitgliedstaaten können Programme entwickeln, etwa:

  • Schulungen und Sensibilisierung
  • Informations- und Beratungsangebote
  • Unterstützung bei Konformitätsbewertungen
  • Zugang zu Prüf- und Testinfrastrukturen
  • Reallabore („Living Labs“)

Diese Maßnahmen sind unterstützend, nicht verpflichtend.

Erleichterungen durch die Europäische Kommission

Die Kommission kann:

  • vereinfachte Vorlagen für technische Dokumentationen bereitstellen,
  • Leitlinien entwickeln, die ausdrücklich die Perspektive von KMU berücksichtigen,
  • Verwaltungsaufwand reduzieren, ohne Sicherheitsanforderungen zu kürzen.

Finanzielle und technische Unterstützung auf EU-Ebene

Über das Programm „Digitales Europa“ stellt die EU:

  • Fördermittel,
  • technische Werkzeuge,
  • Open-Source-Compliance-Lösungen

bereit, um KMU bei der CRA-Umsetzung zu unterstützen.

Die Koordination erfolgt über das Europäische Kompetenzzentrum für Cybersicherheit. Zahlreiche Projekte (z. B. OSCRAT, CONFIRMATE, CRACY, CRA-AI) entwickeln praxisnahe Hilfsmittel speziell für KMU.

Typische Fehlannahmen bei KMU

In der Praxis treten regelmäßig folgende Irrtümer auf:

  • „Der CRA gilt nur für große Tech-Konzerne.“
  • „Start-ups sind ausgenommen.“
  • „Open Source ist automatisch CRA-frei.“

Richtig ist:

Sobald ein Produkt mit digitalen Elementen kommerziell bereitgestellt wird, greift der CRA – unabhängig von der Unternehmensgröße.

CRA-Compliance ist Pflicht, Unterstützung ist vorgesehen

Für Kleinstunternehmen und KMU bedeutet der Cyber Resilience Act:

  • Volle Anwendbarkeit der Sicherheitsanforderungen
  • Keine Reduzierung der materiellen Pflichten
  • Aber gezielte Erleichterungen bei Umsetzung und Dokumentation
  • Zugang zu Fördermitteln, Tools und Leitlinien

Der CRA verfolgt damit einen klaren Ansatz:

Gleiche Sicherheitsstandards für alle – aber proportionale Unterstützung für kleinere Marktteilnehmer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert