Der Cyber Resilience Act macht Cybersecurity zur Voraussetzung für die CE-Kennzeichnung. Ohne nachweisbare IT-Sicherheit gibt es keinen EU-Marktzugang mehr. Hersteller müssen daher die Vorgaben zeitnah umsetzen. Der msg-Vorstand Karsten Redenius erklärt im Gespräch, welche fünf Schritte Unternehmen in den nächsten 100 Tagen unbedingt starten sollten.
Karsten Redenius ist seit 2019 Mitglied des msg-Vorstands und verantwortet die msg-Branchen Life Sciences & Chemicals, Travel & Transport, Consumer Products, Telecommunications und Utilities.
(Bild: MSG Systems AG)
Der EU Cyber Resilience Act (CRA) verpflichtet Hersteller digitaler Produkte – von IoT-Geräten über Software bis zu industriellen Komponenten – zu verbindlichen Cybersicherheitsstandards über den gesamten Produktlebenszyklus. Für die deutsche Wirtschaft bedeutet das einerseits mehr Schutz: Angesichts jährlicher Schäden von über 200 Milliarden Euro durch Cyberangriffe könnte der CRA Lieferketten absichern und das Sicherheitsniveau spürbar anheben.
Andererseits stehen gerade mittelständische Unternehmen vor enormen Herausforderungen. Die Umsetzung erfordert Security by Design, umfassende Risikobewertungen, kontinuierliches Schwachstellenmanagement und Meldepflichten – Aufgaben, für die vielen KMU schlicht Personal und Budget fehlen. Verstöße können mit bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes bestraft werden. Produkte ohne Compliance-Nachweis droht der Ausschluss vom EU-Markt.
Welche konkreten Handlungsoptionen die deutsche Wirtschaft jetzt hat und wie sich Unternehmen pragmatisch auf den CRA vorbereiten können, erklärt Karsten Redenius, Vorstand der MSG Systems AG, im Interview.
Security-Insider: Herr Redenius, Sie sagen: „Der Cyber Resilience Act ist kein Schutzschild, sondern ein Weckruf.“ Was genau ist die Botschaft dahinter – und wer verschläft sie derzeit am ehesten (Branchen, Unternehmensgrößen)?
Karsten Redenius: Der CRA hat das Ziel, die Cyber-Resilience der europäischen Wirtschaft zu stärken, und kann langfristig das Vertrauen in digitale Produkte erhöhen. Unternehmen, die auf Qualität und Sicherheit setzten, können sich dadurch einen echten Wettbewerbsvorteil sichern. Ein klarer Trend ist derzeit nicht abzusehen, aber unsere Befragungen und die Aussagen des BITKOM zeigen, dass insbesondere kleine und mittelständische Unternehmen mit der Umsetzung der Anforderungen kämpfen und eine praxisgerechte Unterstützung benötigen.
Security-Insider: Was ist die zentrale Neuerung des CRA gegenüber dem Status quo – technisch wie organisatorisch – die Hersteller ab sofort in ihre Produkt und Update Roadmap einbauen müssen?
Karsten Redenius: Der CRA bringt eine EU-weit einheitliche und verbindliche Sicherheitsregulierung für Produkte mit digitalen Elementen – etwas, das es in dieser Form bislang nicht gab – und zwingt produzierende Unternehmen dazu, einen „Security by Design“- und „Security by Default“- Ansatz umzusetzen. Zusätzlich muss ein Schwachstellenmanagement implementiert, Lifecycle-Sicherheits-Updates bereitgestellt sowie Meldepflichten für aktiv ausgenutzte Schwachstellen eingehalten werden. Ergänzt wird dies durch eine verpflichtende Produkt-Dokumentation mit relevanten CRA-Hinweisen.
Security-Insider: Wo zieht der CRA die Produktlinie, wo NIS 2 die Service /Betriebs Linie? Welche Überschneidungen gibt es praktisch für Hersteller, Betreiber und SaaS Anbieter und wie vermeidet man Doppelarbeit?
Karsten Redenius: Der CRA reguliert Produkte mit digitalen Elementen (Hard- und Software) während die NIS 2- Richtlinie auf die Organisationen sowie deren Betriebs- und Sicherheitsprozesse abzielt.
Doppelarbeit lässt sich vermeiden, indem eine Compliance-Matrix erstellt wird, die sowohl die CRA- als auch die NIS 2-Anforderungen systematisch gegenüberstellt und auflistet und gemeinsame Aktivitäten identifiziert, mit denen mehrere Anforderungen erfüllt werden können. Zusätzlich helfen die Zusammenführung von Teams sowie ein einheitliches Schwachstellenmanagement dabei, redundante Prozesse zu vermeiden.
Security-Insider: Welche Produktkategorien trifft es am härtesten (z. B. OS/Hypervisor, Browser, VPN, Netzkomponenten, PAM/PKI, IoT/OT) und was heißt das für die Lieferkette (Zuliefer Software, Open Source Bausteine)?
Karsten Redenius: Der CRA gilt grundsätzlich für alle Produkte mit digitalen Elementen. Dazu zählen Software-Lösungen und Apps ebenso wie IOT-Geräte, Industrie- und OT-Komponenten, Router, Kameras, Smart-Home-Produkte.
Der CRA verlangt, dass Hersteller und Zulieferer eine „Software Bill of Materials“ (SBOM) bereitstellen oder zumindest alle relevanten Komponenten offenlegen. Zulieferer müssen Listen sämtlicher Third-Party-Bibliotheken, Firmware- und Open-Source-Module liefern; Hersteller sind verpflichtet, diese Informationen zu prüfen und auditierbar zu dokumentieren.
Security-Insider: Was müssen Hersteller nachweisbar etabliert haben, um die CE Kennzeichnung unter CRA zu tragen (u. a. Secure by Design/Default, automatisierte Sicherheits Updates, CVD/PSIRT Prozesse, Software Stückliste (SBOM), definierter Unterstützungszeitraum)?
Karsten Redenius: Der CRA macht Cybersecurity erstmals zu einer vollwertigen Voraussetzung für die CE-Kennzeichung. Das bedeutet: Ohne nachweisbare IT-Sicherheit kein CE-Zeichen und damit keinen Marktzugang in der EU.
Betroffene Produkthersteller müssen künftig unter anderem folgende Punkte erfüllen und implementieren:
Security by Design
SBOM (Software Bill of Materials)
Dokumentation & Tests
Etablierte Meldeprozesse
Update-Pflichten
Kontrolle der Lieferkette
Security-Insider: Welche harmonisierten Normen oder EU Zertifizierungsschemata (EUCC „substantial“) werden für Hersteller am wichtigsten und rechnen Sie mit Lücken?
Karsten Redenius: Das europäische Cybersecurity Certification Framework spielt hier eine zentrale Rolle. Für Hersteller zeichnen sich mehrere Normen als besonders relevant ab:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
ISO 62443 (Security für industrielle Automatiserung)
ETSI 303 345 (Basis-Sicherheit für Consumer-IoT-Produkte)
ISO 27001 (ISMS)
ISO 15408 (Bewertung kryptografischer Komponenten)
ISO 30111 (Schwachstellen Handling)
ISO 122027 / 15288 (Software- und System-Lebenszyklusprozesse)
Security-Insider: Wie organisieren Hersteller die neuen Frühwarn-, 72 Stunden- und Abschlussberichte bei aktiv ausgenutzten Schwachstellen bzw. schweren Sicherheitsvorfällen, inklusive Legacy Produkten, die schon am Markt sind?
Karsten Redenius: Der CRA verpflichtet betroffene Hersteller zu Frühwarnmeldungen innerhalb von 24 Stunden sowie Detailmeldungen innerhalb von 72 Stunden – auch für Produkte, die sich bereits im Markt befinden. Dies erfordert den Aufbau klar definierter Prozesse. Empfehlenswert ist die Etablierung eines „Product Security Incident Response Teams“ (PSIRT), die vollständige Inventarisierung aller Produkte einschließlich Legacy -Bestände, die Durchführung von Risikoanalysen, eine kontinuierliche Schwachstellenüberwachung sowie eine lückenlose Dokumentation.
Security-Insider: Wann braucht es Drittbewertung bzw. notifizierte Stellen statt interner Kontrolle und rechnen Sie 2026/27 mit Kapazitätsengpässen bei Prüfstellen oder harmonisierten Normen?
Karsten Redenius: Für sogenannte Standardprodukte mit vergleichsweise geringem Risiko genügt laut CRA in der Regel die Selbstbewertung durch den Hersteller (Produkte ohne kritische Sicherheitsfunktionen). Bei wichtigen und kritischen Produkten ist hingegen eine Drittbewertung durch eine notifizierte Stelle verpflichtend. Mit Kapazitätsengpässen bei Prüfstellen ist aus unserer Sicht ab Ende 2026 zu rechnen, wobei das BSI bereits entsprechende Ressourcen aufbaut.
Security-Insider: Wie real ist die Gefahr von Marktrücknahmen oder „Stop Ship“, und welche Strategien (Risiko und EOL Management, Vermeidung „wesentlicher Änderungen“) empfehlen Sie, um das zu verhindern?
Karsten Redenius: Weist ein Produkt eine schwerwiegende, nicht behobene Sicherheitslücke auf, muss der Hersteller mit einem „Stop Ship“ rechnen und darf das Produkt weder weiter produzieren noch ausliefern. Ein Rückruf ist erforderlich, wenn sich eine Sicherheitsgefahr nicht anders mitigieren lässt. Ein „End-of -Life“ ist im CRA grundsätzlich zulässig, jedoch nur, wenn es klar definiert und transparent kommuniziert wird. Ein Produkt darf nicht einfach auslaufen, solange weiterhin Sicherheitsrisiken bestehen. Nach Erreichen des EOL besteht weiterhin eine Pflicht zur Risiko-Kommunikation, jedoch keine Verpflichtung mehr zur Bereitstellung von Patches nach dem angegebenen Support-Ende.
Security-Insider: Welche Kostenblöcke (Engineering, Compliance, Zertifizierung, Incident Handling) sind zu erwarten – und wie bewerten Sie das Risiko von Geldbußen sowie Haftung, gerade für KMU und Open Source Stewards?
Karsten Redenius: Die Kosten für die Einführung der CRA-Konformität sind individuell zu bewerten und hängen von der Anzahl und Komplexität der Produkte ab. Bei Verletzung der essenziellen Sicherheitsanforderungen können Geldbußen von bis zu 15 Mio. Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes verhängt werden. Weitere mögliche Sanktionen sind Verkaufsverbote, Produktrückrufe sowie der Entzug der CE-Kennzeichnung.
Security-Insider: Welche 5 konkreten Schritte sollten Unternehmen in den nächsten 100 Tagen starten, um 2026/27 nicht in Zeitnot zu geraten (z. B. PSIRT aufstellen, SBOM Baseline, Update Kanal „secure by default“, Supportzeiträume festlegen, Lieferantenpflichten vertraglich regeln)?
Karsten Redenius: Zunächst sollte eine vollständige Bestandsaufnahme aller Produkte mit digitalen Elementen erfolgen, gefolgt von einer Risikobewertung gemäß den CRA-Risikoklassen. Praxisgerecht ist es dabei, die Produktlebenszyklen sowie die bestehende Kundenbasis zu berücksichtigen.
Weitere zentrale Schritte sind der Aufbau eines strukturierten Schwachstellenmanagements (etwa durch die Einrichtung von PSIRTs –, die Implementierung von SBOMs sowie die Einführung eines „Secure by Design and Default“-Prozesses mit verbindlichen Security-Tests, Security-Standards und zentraler Sicherheitsdokumentation. Ergänzend sind Meldeworkflows (24- Stunden-Erstmeldung, 72 Stunden-Detailmeldung) sowie die Konformitätsbewertung zur CE-Erklärung zu etablieren.
Security-Insider: Worin sehen Sie den Business Case für den CRA (z. B. schnellere Ausschreibungen, geringere Incident Kosten, Exportvorteil)?
Karsten Redenius: Der Wettbewerbsvorteil für Produkthersteller, die CRA-konform produzieren, liegt zweifelsfrei in geringeren Incindent-Risiken und -Kosten. Zudem ist ein schneller europaweiter Marktzugang gewährleistet, und die Export-Dokumentation wird vereinfacht.
Security-Insider: Herr Redenius, vielen Dank für das Gespräch!
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/a7/a0a79477237ee3716f931a9d4cdaf779/0130103223v2.jpeg "Die Zahl der registrierten IT-Sicherheitsvorfälle in der Landesverwaltung Sachsen-Anhalt stieg von 45 im Jahr 2024 auf 73 im Jahr 2025, während der Energiekonzern Eon von einer Verzehnfachung der täglichen Angriffe auf seine Netzinfrastruktur innerhalb von fünf Jahren berichtet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/07/f607736290a30a40b0876cf3e1de5424/0130167213v2.jpeg "Die DarkSword-Exploit-Kette nutzt mehrere Schwachstellen in iOS aus, um vollständige Kernelrechte zu erlangen, Sandbox-Beschränkungen zu umgehen und daraufhin Malware zu installieren, wodurch sensible Daten exfiltriert werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/0e/0d0e94ef36ab18908daf271ce57c5b6e/0130083847v2.jpeg "Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4f/40/4f404cccff308914c8284689fd16153f/0130070733v2.jpeg "Die KI von Codewall wählte selbstständig McKinsey als Ziel, da sie auf eine öffentlich zugängliche Richtlinie zur verantwortungsvollen Offenlegung und die kürzlich durchgeführten Updates zu „Lilli“ stieß. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/63/92635bb91f1886ceef05e9c41e0532c3/0130004208v2.jpeg "Die Reaktionszeit ist bei Cyberangriffen entscheidend. Je schneller Security-Teams Bedrohungen erkennen und abwehren können, desto geringer der Schaden. (Bild: © Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/fb/79fb569f08e89e72c83e2dd670d2d2df/0130010051v2.jpeg "Cyberversicherung oder Incident Response Retainer: Beide Ansätze haben Vor- und Nachteile. Eine sorgfältige Prüfung der eigenen Anforderungen ist entscheidend. (Bild: © Sarfraz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/a4/4ca48ee3de835f32513f2df9448470c5/0130022845v2.jpeg "Hardwarebasierte Enklaven schützen Daten während der Verarbeitung. Quantencomputer bedrohen aber die zugrundeliegende Verschlüsselung langfristig. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/fb/91fbab616893b3905c110fff8e911abe/0130017674v2.jpeg "Bevor Unternehmen quantensichere Kryptografie einsetzen können, müssen sie wissen, wo entsprechende Zertifikate und Schlüssel überhaupt im Einsatz sind. (Bild: © PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/cd/2bcd55b5227bc3a23f2045b7dc01bfef/0130018097v2.jpeg "Karsten Redenius ist seit 2019 Mitglied des msg-Vorstands und verantwortet die msg-Branchen Life Sciences & Chemicals, Travel & Transport, Consumer Products, Telecommunications und Utilities. (Bild: MSG Systems AG)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/d9/a2/d9a2e8259432f5c1e375670f58f34294/0126917862v2.jpeg "70 Prozent der Verluste für die deutsche Wirtschaft sind auf Cyberangriffe zurückzuführen. Davon machen wiederum Ransomware-Attacken 34 Prozent aus. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/00/3b00ece51f9d7136ddba9ddf090c7826/0129889664v1.jpeg "NIS-2 und der CRA markieren einen Paradigmenwechsel: Cybersicherheit in Unternehmen, Dienstleistungen und Produkten wird durch die neuen gesetzlichen Anforderungen vom technischen Thema zur knallharten Compliance-Pflicht. (Bild: © mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e4127168b581f5e3497d92aaee6aa9d4/0128222584v2.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im ersten Teil erfahren Sie, warum der Cyber Resilience Act für Unternehmen und Kunden wichtig ist. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/93/bd/93bd2c1a427d9411551d17d36128c759/0128222866v2.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im zweiten Teil erfahren Sie, welche Produkte überhaupt betroffen sind, was die Sicherheitsanforderungen des CRA sind und wie Hersteller mit Schwachstellen umgehen sollten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/8d/cb8da441ed1c6a1bfc27ed55204cccad/0128222866v1.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im dritten Teil erfahren Sie mehr über die Fristen, die Hersteller digitaler Produkte einhalten müssen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/e4/5ce4cfb0507a772153f22c5fb269c2e1/0128222866v1.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im vierten und letzten Teil erfahren Sie, welche Produktkategorien es gibt, wie Sie deren Konformität sicherstellen und welche Konsequenzen bei Nichteinhaltung drohen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")