Mit dem European Cyber Resilience Act (CRA) schafft die Europäische Union einen verbindlichen Rahmen für die Sicherheit digitaler Produkte. Für Hersteller und Betreiber vernetzter Kommunikations- und Sicherheitslösungen ist das ein wichtiges Signal: Cybersicherheit ist heute weit mehr als ein IT-Thema. Sie ist eine grundlegende Voraussetzung für physische Sicherheit, betriebliche Kontinuität und den verlässlichen Betrieb kritischer Infrastrukturen.
Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten ab 11. September 2026, die wesentlichen Anforderungen der Verordnung ab 11. Dezember 2027.
Die wesentlichen Anforderungen des CRA verlangen, dass digitale Produkte sicher entwickelt, mit geeigneten Schutzmechanismen ausgestattet und während ihres Support-Zeitraums aktiv gegen Schwachstellen abgesichert werden. Gleichzeitig müssen Hersteller Risiken bewerten, Sicherheitsinformationen transparent bereitstellen und deren Einhaltung über Dokumentation, Konformitätsbewertung und CE-Kennzeichnung nachweisen. Weiters sind für das Schwachstellenmanagement künftig klar definierte Fristen einzuhalten. Damit wird deutlich: Cybersicherheit wird in Europa zu einem verbindlichen Qualitäts- und Vertrauensmerkmal digitaler Produkte.
Wenn Cybersicherheit zur Voraussetzung für physische Sicherheit wird
Gerade bei vernetzten Kommunikations- und Sicherheitslösungen sind Cyber- und physische Sicherheit heute untrennbar miteinander verbunden. In sicherheitskritischen Umgebungen wie Energie- und Wasserversorgung, Rechenzentren, öffentlichen Verwaltungen, Gesundheits- und Bildungseinrichtungen oder der produzierenden Industrie können Cybervorfälle unmittelbare Auswirkungen auf reale Abläufe, Gebäude und Menschen haben. Unzureichend geschützte Geräte, Systeme oder Cloudservices stellen hier ein erhebliches Risiko für Verfügbarkeit, Integrität und Reaktionsfähigkeit dar.
Europäische Resilienz beginnt bei Entwicklung und Lieferkette
Mit dem CRA rücken nicht nur technische Sicherheitsanforderungen stärker in den Fokus, sondern auch die Resilienz von Lieferketten. Für in Europa entwickelte und produzierte digitale Produkte gewinnen Themen wie Herkunft sicherheitskritischer Komponenten, Transparenz in der Wertschöpfungskette und Kontrolle über geopolitische Abhängigkeiten deutlich an Bedeutung. Das Label „Made in Austria“ wird damit in sicherheitskritischen Märkten zu einem strategischen Faktor für Vertrauen, Nachvollziehbarkeit und Versorgungssicherheit.
Commend: Cybersicherheit als gelebter, ganzheitlicher Ansatz
Für Commend ist diese Entwicklung natürlich besonders relevant – zugleich können wir ihr mit großer Gelassenheit begegnen. Denn Cybersicherheit ist bei uns seit Jahren ein fest verankerter Bestandteil der Unternehmens- und Produktstrategie. Als international führender Anbieter professioneller Intercom- und Sicherheitskommunikationslösungen mit Entwicklung und Produktion in Salzburg verfolgt Commend einen ganzheitlichen Ansatz: von einem zertifizierten ISO/IEC-27001-basierten Informationssicherheitsmanagement über sichere Entwicklungsprozesse nach IEC 62443-4-1 bis hin zu Security Advisories, einer Vulnerability Disclosure Policy und einem klaren Fokus auf „Privacy and Security by Design“.
