Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen und erstmals expliziten Anforderungen an Container Management, Confidential Computing und Post-Quantum-Kryptografie setzt das Dokument den neuen Standard für die Sicherheitsbewertung von Cloud-Diensten in Europa.

Für Unternehmen, die Cloud-Dienste nutzen oder anbieten, ist der C5 kein optionales Gütesiegel — er ist der zentrale Referenzrahmen, an dem sich Auftraggeber, Aufsichtsbehörden und Versicherer orientieren.

Was ist der C5 — und warum jetzt ein Update?

Der Cloud Computing Compliance Criteria Catalogue (C5) definiert seit 2016 Mindestanforderungen an die Informationssicherheit von Cloud-Diensten. Er richtet sich an Cloud-Anbieter, die ihre Sicherheitsmaßnahmen durch eine unabhängige Prüfung (C5-Testat) nachweisen wollen — und an Organisationen, die Cloud-Dienste informiert auswählen möchten, statt auf Marketingversprechen zu vertrauen.

Der Vorgänger C5:2020 war sechs Jahre im Einsatz. In dieser Zeit haben sich Bedrohungslage, regulatorische Rahmenbedingungen und Cloud-Technologien grundlegend verändert. Der C5:2026 schließt diese Lücke — und tut das mit explizitem Blick auf die europäische Harmonisierung: Der C5:2020 diente als Basis für das geplante EUCS (European Cybersecurity Certification Scheme for Cloud Services) auf Substantial-Level. Die dort entwickelten Anforderungen fließen nun zurück in den C5:2026.

Die zentralen Neuerungen im C5:2026

Das BSI benennt die Key Changes explizit in der Einleitung des Katalogs:

Container Management (OPS-34, OPS-35): Komplett neue Kriterien für Container-Sicherheit. Angesichts der Tatsache, dass Container-basierte Deployments heute Standard in Cloud-Umgebungen sind, war das längst überfällig. Die Kriterien adressieren sowohl Policies als auch deren Implementierung.

Confidential Computing (OPS-32, OPS-33): Ebenfalls neu — Anforderungen an die Verarbeitung von Daten in geschützten Enclaves und Remote Attestation. Das ist technologisch bedeutsam: Confidential Computing ermöglicht es, Daten auch während der Verarbeitung kryptografisch zu schützen, nicht nur at rest und in transit.

Post-Quantum-Kryptografie (CRY-Bereich): Der C5:2026 adressiert die Vorbereitung auf quantenresistente Verschlüsselung. Das betrifft insbesondere das Cryptographic Change Management (CRY-02) und die Review of Cryptography Practices (CRY-03). Cloud-Anbieter müssen nachweisen, dass sie sich auf den Übergang zu Post-Quantum-Algorithmen vorbereiten.

Supply Chain Management (SSO-01 bis SSO-08): Der Bereich wurde auf acht Kriterien erweitert — deutlich umfangreicher als zuvor. Neue Anforderungen umfassen unter anderem das Führen eines Verzeichnisses aller Service-Organisationen (SSO-04), das Monitoring der Compliance (SSO-05), Vertragskündigungsstrategien (SSO-06) und die Steuerung von Lieferanten funktionaler Komponenten (SSO-08).

Multi-Tenancy und Souveränität: Detailliertere Behandlung von Datentrennung (OPS-30, OPS-31) und eine neue Systematik für Partitions, Regions und Zones, die Transparenz darüber schafft, wo Daten tatsächlich verarbeitet werden. Das BSI definiert diese Begriffe präzise — eine Partition umfasst Regions mit einheitlichem IAM, eine Region ist auf eine Metropolregion begrenzt, eine Zone besteht aus mindestens zwei physisch getrennten Standorten.

Strukturelle Überarbeitung: C5-Kriterien bestehen jetzt aus Sub-Kriterien, die inhaltlich klar voneinander abgegrenzt sind. Das ermöglicht präziseres Mapping auf Controls in den Kontrollsystemen der Cloud-Anbieter und schafft mehr Klarheit beim Audit. Zusätzlich werden Additional-Kriterien explizit als “additional sharpen” (verschärfen bestehende Basiskriterien) oder “additional complement” (ergänzen neue Anforderungen) klassifiziert.

Referenzstandards

Der C5:2026 basiert auf einer Reihe aktueller Standards und Regelwerke. Neben dem EUCS Substantial-Level wurden insbesondere die CSA Cloud Controls Matrix v4, die ISO/IEC 27001:2022 und die NIS-2-Richtlinie berücksichtigt. Zusätzlich floss praktische Erfahrung von Cloud-Anbietern, Prüfern und Beratern in die Revision ein.

Warum der C5 für Cloud-Kunden relevant ist

Ein verbreitetes Missverständnis: Der C5 richtet sich nur an Cloud-Anbieter. In der Praxis ist er mindestens ebenso relevant für Organisationen, die Cloud-Dienste nutzen — also für praktisch jedes Unternehmen.

Der C5 bietet Cloud-Kunden einen strukturierten Rahmen, um die Sicherheit ihrer Anbieter zu bewerten. Statt sich auf Hochglanzbroschüren und ISO-27001-Zertifikate zu verlassen, können Unternehmen anhand des C5-Testats nachvollziehen, welche konkreten Sicherheitsmaßnahmen ein Anbieter implementiert hat — und wo es Abweichungen oder Einschränkungen gibt.

Für NIS2-pflichtige Unternehmen wird das besonders relevant: Die Richtlinie verlangt Risikomanagementmaßnahmen für die gesamte Lieferkette. Wer Cloud-Dienste ohne belastbare Sicherheitsbewertung einsetzt, wird Schwierigkeiten haben, seine Sorgfaltspflichten nachzuweisen. Ein aktuelles C5-Testat des Anbieters ist hier ein konkreter, dokumentierbarer Nachweis.

C5 im regulatorischen Kontext

Der C5:2026 steht nicht isoliert. Er ist Teil eines zunehmend dichten Netzes europäischer Cybersicherheitsregulierung:

NIS-2: Verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu Risikomanagement — einschließlich Lieferkettensicherheit (Art. 21 Abs. 2 lit. d). Der C5 liefert den Bewertungsrahmen für Cloud-Anbieter in dieser Kette.

DORA: Der Digital Operational Resilience Act adressiert den Finanzsektor und stellt spezifische Anforderungen an IKT-Drittdienstleister. Der C5 ist ein anerkannter Rahmen für deren Bewertung.

Cyber Resilience Act (CRA): Reguliert die Sicherheit von Produkten mit digitalen Elementen. Für Cloud-basierte Software sind C5 und CRA komplementär: Der CRA adressiert das Produkt, der C5 den Betrieb.

EUCS: Das geplante European Cybersecurity Certification Scheme for Cloud Services baut direkt auf dem C5 auf. Der C5:2026 wurde explizit so gestaltet, dass er mit dem EUCS Substantial-Level kompatibel ist. Wer heute ein C5-Testat hat, ist für EUCS vorbereitet.

Handlungsempfehlungen

Für Cloud-Kunden: Fordern Sie von Ihren Cloud-Anbietern ein aktuelles C5-Testat (Typ 2) an. Integrieren Sie die C5-Anforderungen in Ihre Beschaffungskriterien und Ihre NIS-2-Dokumentation. Achten Sie insbesondere auf die neuen Supply-Chain-Kriterien: Fragen Sie Ihren Anbieter, wie er seine eigenen Zulieferer überwacht (SSO-05) und ob er ein Verzeichnis seiner Service-Organisationen führt (SSO-04).

Für Cloud-Anbieter: Beginnen Sie jetzt mit der Gap-Analyse gegen den C5:2026. Die komplett neuen Bereiche Container Management und Confidential Computing erfordern möglicherweise sowohl technische als auch prozessuale Anpassungen. Prüfen Sie außerdem Ihre Krypto-Strategie: Post-Quantum-Readiness ist keine Zukunftsmusik mehr, sondern Prüfgegenstand.

Für KRITIS-Betreiber: Der C5 ist für Sie nicht optional. § 8a BSIG verlangt angemessene technische und organisatorische Maßnahmen. Ein C5-Testat Ihrer Cloud-Anbieter ist ein zentraler Baustein in Ihrem Nachweiskonzept — und mit dem C5:2026 jetzt deutlich aussagekräftiger als zuvor.

Cybersicherheit ist längst kein reines IT-Thema mehr — sie ist Chefsache. Das wird spätestens mit NIS-2 und dem EU AI Act auch regulatorisch unmissverständlich. In einem aktuellen Beitrag für contentway bringt Dr. Andreas Herch, CEO der Business Unit accompio Enterprise, die zentrale Botschaft auf den Punkt: Wer Cyberresilienz will, braucht Führung — nicht nur Technik.

NIS-2 macht Cybersicherheit zur Pflichtaufgabe der Geschäftsführung

Die NIS-2-Richtlinie und der EU AI Act heben das Schutzniveau in Europa auf ein verbindlicheres Level. Was früher als freiwillige Kür galt — Risikomanagement, Incident Response, Business Continuity, Audits — wird jetzt Pflicht. Und die Verantwortung liegt nicht mehr bei der IT-Abteilung allein, sondern direkt bei der Geschäftsführung. Inklusive persönlicher Haftung.

Dr. Herch formuliert es klar: Cybersicherheit ist eine strategische Führungsaufgabe geworden. Unternehmen müssen Prozesse, Governance und Verantwortlichkeiten strukturell verankern. NIS-2 zwingt dazu — und das ist im Kern keine Bedrohung, sondern eine Chance.

Der blinde Fleck: Fokus auf Technik statt auf Menschen

Ein zentraler Punkt des Artikels verdient besondere Aufmerksamkeit: Häufig liegt der Fokus von IT-Organisationen zu stark auf der Technik. Die Mitarbeitenden, deren Verhalten oft die Haupteinfallstore sind, werden dagegen häufig vergessen. Firewalls und Endpoint Protection sind notwendig — aber ohne Awareness-Programme, klare Governance-Strukturen und definierte Verantwortlichkeiten bleiben sie Lösungen für nur die Hälfte des Problems.

Organisatorische Maßnahmen sind neben den technischen Schritten genauso wichtig: Governance-Strukturen aufbauen, Verantwortlichkeiten klar definieren, zentrale Aufgaben so verteilen, dass sie nicht in Zuständigkeitslücken fallen.

Der richtige Startpunkt: Security-IST-Analyse

Dr. Herch empfiehlt Unternehmen, zunächst einen erfahrenen Dienstleister mit einer Security-IST-Analyse zu beauftragen — Status quo und Benchmark ermitteln, bevor investiert wird. Das klingt selbstverständlich, wird aber in der Praxis oft übersprungen. Stattdessen wird in teure Software investiert, ohne zu wissen, wo die tatsächlichen Lücken liegen.

Erst ein Audit, das die komplette Bandbreite einer möglichen Cyberstrategie durchspielt, deckt NIS-2-Lücken auf und lenkt den Fokus auf die relevanten Baustellen. Darauf aufbauend lässt sich ein passendes Sicherheitskonzept ableiten.

Schlüsselführungsfragen für die Geschäftsführung

Der Artikel nennt eine Reihe von Fragen, die jede Geschäftsführung beantworten können sollte — und die in der Praxis erschreckend oft unbeantwortet bleiben:

Wie sind wir IT-technisch für einen Produktionsausfall vorbereitet? Wie aktuell ist unser Notfallkonzept? Wurden alle NIS-2-Vorgaben umgesetzt? Wo haben wir noch Lücken? Deckt unsere Cyber-Versicherung unser Geschäftsmodell ab?

Wenn diese Fragen nicht spontan und substanziell beantwortet werden können, ist das ein klares Signal: Es besteht Handlungsbedarf — und zwar auf Führungsebene, nicht in der IT-Abteilung.

Was man nicht messen kann, kann man auch nicht steuern. Dieser Grundsatz gilt in der Betriebswirtschaft seit Jahrzehnten — nur in der Cybersicherheit wird er konsequent ignoriert. Unternehmen investieren jährlich erhebliche Mittel in Security-Maßnahmen, ohne ein echtes Verständnis dafür zu haben, welche Risiken sie damit tatsächlich adressieren — und welche nicht.

In einem aktuellen Interview für contentway erläutert Asdrúbal Pichardo, Managing Director und CEO von Squalify, warum die finanzielle Quantifizierung von Cyberrisiken ein zentraler Hebel für bessere Sicherheitsentscheidungen ist.

Cyberrisiken als betriebswirtschaftliche Größe

Das Kernproblem: Cybersicherheit wird in den meisten Unternehmen weiterhin als Angelegenheit der IT-Abteilung behandelt. Investitionen orientieren sich an Checklisten oder subjektiven Einschätzungen statt an messbaren Auswirkungen auf das Geschäft. Die Folge: Vorstände und Geschäftsführer können nicht beurteilen, ob jeder investierte Euro dort wirkt, wo er das Unternehmen tatsächlich schützt.

Squalify verfolgt einen anderen Ansatz: Das Unternehmen übersetzt Cyberrisiken in finanzielle Kennzahlen — ROI, EBIT, Cashflow. Damit sprechen IT und Vorstand endlich die gleiche Sprache. Das Cyberrisiko wird auf Unternehmensebene betrachtet: die Konsequenzen eines Cyber-Vorfalls auf das Unternehmen quantifiziert, mit direkter Relevanz für die Geschäftsführung.

42 Datenpunkte für belastbare Risikoaussagen

Bemerkenswert ist die Effizienz des Ansatzes: Anhand von nur 42 Datenpunkten berechnet die Squalify-Plattform bereits belastbare Zahlen mit Vorstandsrelevanz. Das Quantifizierungsmodell basiert auf historischen Daten zu tatsächlichen Cyber-Verlusten von mehr als 100.000 Unternehmen weltweit und der Expertise von Munich Re, einem der führenden Cyber-Rückversicherer.

Die Ergebnisse werden auf Basis eines standardisierten, an Unternehmensdaten angepassten Modells in finanzielle Kennzahlen übersetzt. Das ermöglicht präzise Risikoaussagen mit minimalem Aufwand — ein entscheidender Vorteil gegenüber klassischen Risk-Assessments, die oft Monate dauern und trotzdem abstrakt bleiben.

Typische Anwendungsfälle

Unternehmen nutzen die Plattform laut Pichardo vor allem, um festzustellen, welche Investitionen in Cybersicherheit den größten Effekt haben und das Risiko am stärksten reduzieren. Gerade Großunternehmen setzen Squalify außerdem zur transparenten Steuerung von Tochtergesellschaften oder für objektive Benchmarks mit Wettbewerbern ein. Darüber hinaus unterstützt die Plattform bei der Auswahl geeigneter Cyberversicherungen.

Warum das für die Geschäftsführung relevant ist

Die finanzielle Quantifizierung von Cyberrisiken adressiert ein Problem, das mit NIS-2 akuter denn je ist: Geschäftsführer haften persönlich für die Angemessenheit ihrer Sicherheitsmaßnahmen. Doch wie weist man Angemessenheit nach, wenn man die Risiken nicht beziffern kann? Wer seine Cyberrisiken in Euro ausdrücken kann, trifft bessere Entscheidungen — und kann diese gegenüber Aufsichtsbehörden, Versicherern und Geschäftspartnern belegen.

Der Ansatz zeigt, wohin sich die Branche entwickelt: Weg vom Bauchgefühl, hin zu datengetriebenen Sicherheitsentscheidungen auf Vorstandsebene.

Der EU Cyber Resilience Act (CRA) ist seit Ende 2024 in Kraft und entfaltet ab dem 11. Juni 2026 erste Wirkung. Mit ihm schafft die EU erstmals einen einheitlichen Rechtsrahmen für die Cybersicherheit von Produkten mit digitalen Elementen — von der Firmware im Router bis zur Cloud-basierten Unternehmenssoftware. Für Hersteller, Importeure und Händler gelten weitreichende neue Pflichten. Aber auch für Unternehmen, die solche Produkte einsetzen, ändert sich mehr als auf den ersten Blick erkennbar.

Worum geht es beim CRA?

Der CRA verfolgt einen horizontalen Ansatz: Er reguliert nicht einzelne Branchen, sondern alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Das umfasst Hardware mit eingebetteter Software ebenso wie eigenständige Softwareprodukte. Betroffen sind unter anderem Firewalls, Router, Switches, industrielle Steuerungen, Smart-Home-Geräte, aber auch Business-Software, ERP-Systeme und Cloud-Dienste.

Im Kern verlangt der CRA:

• Security by Design: Cybersicherheit muss von der Konzeption bis zum Ende des Produktlebenszyklus mitgedacht werden
• Schwachstellenmanagement: Hersteller müssen bekannt gewordene Schwachstellen aktiv managen und Sicherheitsupdates bereitstellen — kostenlos und über einen definierten Zeitraum
• Meldepflichten: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die ENISA gemeldet werden
• Konformitätsbewertung: Produkte müssen vor dem Inverkehrbringen nachweislich die CRA-Anforderungen erfüllen — je nach Risikoklasse durch Selbstbewertung oder durch eine unabhängige Prüfstelle
• Dokumentationspflichten: Technische Dokumentation, Software Bill of Materials (SBOM) und Konformitätserklärung werden Pflicht

Zeitplan: Was gilt ab wann?

Der CRA tritt stufenweise in Kraft:

• Ab 11. Juni 2026: Pflichten für Konformitätsbewertungsstellen greifen
• Ab 11. September 2026: Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle
• Ab 11. Dezember 2027: Alle CRA-Anforderungen gelten vollständig — Produkte ohne CRA-Konformität dürfen nicht mehr in Verkehr gebracht werden

Parallel dazu muss Deutschland ein nationales Durchführungsgesetz verabschieden. Der aktuelle Referentenentwurf des BMI sieht vor, dem BSI die zentrale Rolle als Marktüberwachungsbehörde, CSIRT und Beschwerdestelle zuzuweisen. TeleTrusT, der Bundesverband IT-Sicherheit, kritisiert in seiner aktuellen Stellungnahme vom 1. April 2026 allerdings, dass die personelle und finanzielle Ausstattung des BSI dafür nicht gesichert sei und die vorgesehenen Unterstützungsmaßnahmen für Unternehmen mit nur 1,28 Mio. Euro jährlich massiv unterfinanziert seien.

Wen betrifft der CRA direkt?

Hersteller

Wer Produkte mit digitalen Elementen herstellt und in der EU in Verkehr bringt, ist Hauptadressat des CRA. Das betrifft nicht nur klassische Hardware-Hersteller, sondern ausdrücklich auch Softwareunternehmen. Selbst Open-Source-Projekte können unter bestimmten Voraussetzungen erfasst sein, wenn sie kommerziell genutzt werden.

Importeure und Händler

Wer Produkte aus Drittstaaten in die EU importiert oder weitervertreibt, muss sicherstellen, dass die CRA-Anforderungen erfüllt sind. Im Klartext: Wer IT-Produkte aus den USA, China oder anderen Nicht-EU-Staaten bezieht und im eigenen Geschäftsbetrieb einsetzt oder weiterverkauft, trägt Mitverantwortung.

Anwender und Betreiber

Unternehmen, die Produkte mit digitalen Elementen einsetzen, sind zwar nicht direkt Adressaten des CRA. Mittelbar betrifft sie der CRA aber erheblich — und genau hier wird es für die Kunden von NEOSEC relevant.

Was der CRA für NEOSEC-Kunden konkret bedeutet

1. Höhere Baseline-Sicherheit in der Lieferkette

Der CRA wird dafür sorgen, dass Produkte, die in der EU verkauft werden, ein Mindestmaß an Cybersicherheit mitbringen. Für Betreiber kritischer Infrastrukturen und NIS2-pflichtige Unternehmen bedeutet das langfristig: Die Produkte, die Sie einkaufen, werden sicherer. Kurzfristig bedeutet es allerdings auch: Ihre bestehenden Beschaffungsprozesse müssen angepasst werden. Fragen Sie Ihre Lieferanten nach CRA-Konformität, SBOM und Schwachstellenmanagement-Prozessen.

2. Wechselwirkung mit NIS2

NIS2 verpflichtet Unternehmen zu Risikomanagementmaßnahmen — und dazu gehört ausdrücklich auch die Sicherheit in der Lieferkette (Art. 21 Abs. 2 lit. d NIS2-Richtlinie). Der CRA liefert hier das Pendant auf Produktseite. Wer als NIS2-pflichtige Einrichtung Produkte ohne CRA-Konformität einsetzt, könnte mittelfristig Schwierigkeiten bekommen, die eigenen Lieferkettensicherheitspflichten nachzuweisen. Umgekehrt wird die CRA-Konformität eines Produkts zu einem belastbaren Nachweis im Rahmen Ihres NIS2-Risikomanagements.

3. Software Bill of Materials wird Standard

Der CRA macht die SBOM — eine maschinenlesbare Aufstellung aller Softwarekomponenten eines Produkts — zur Pflicht. Für Ihr Schwachstellenmanagement ist das ein Gewinn: Wenn ein neues CVE veröffentlicht wird, können Sie anhand der SBOM Ihrer eingesetzten Produkte sofort prüfen, ob betroffene Komponenten in Ihrem Netz laufen. Voraussetzung dafür ist, dass Sie SBOMs Ihrer Lieferanten einfordern und systematisch auswerten — idealerweise automatisiert über Ihr SIEM.

4. Meldepflichten ergänzen sich

NIS2 verpflichtet Betreiber zur Meldung von Sicherheitsvorfällen. Der CRA verpflichtet Hersteller zur Meldung aktiv ausgenutzter Schwachstellen. Für Sie als Betreiber heißt das: Sie erfahren schneller von Schwachstellen in den Produkten, die Sie einsetzen. Gleichzeitig steigt die Anforderung, diese Informationen auch operativ zu verarbeiten — also zeitnah zu bewerten, zu priorisieren und zu patchen.

5. Übergangszeit nutzen

Bis Dezember 2027 gilt die volle Übergangsfrist. Diese Zeit sollten Unternehmen nutzen, um ihre Beschaffungsprozesse, Lieferantenanforderungen und das interne Schwachstellenmanagement auf den CRA vorzubereiten. Warten Sie nicht, bis Ihre Lieferanten von sich aus CRA-konforme Produkte liefern — setzen Sie die Anforderungen jetzt schon in Ihre Einkaufsbedingungen.

Handlungsempfehlungen

Für alle Unternehmen, die IT-Produkte einsetzen:

• Inventar erstellen: Welche Produkte mit digitalen Elementen setzen Sie ein? Welche davon kommen von Herstellern außerhalb der EU?
• Lieferantenanforderungen anpassen: Nehmen Sie CRA-Konformität, SBOM-Bereitstellung und definierte Supportzeiträume in Ihre Beschaffungsanforderungen auf
• SBOM-Management aufbauen: Etablieren Sie Prozesse, um SBOMs Ihrer Lieferanten entgegenzunehmen, zu speichern und bei neuen CVEs automatisiert abzugleichen
• Schwachstellenmanagement schärfen: Stellen Sie sicher, dass Ihr SOC oder SIEM die Herstellermeldungen zu Schwachstellen aufnehmen und priorisieren kann
• NIS2-Dokumentation ergänzen: Die CRA-Konformität Ihrer eingesetzten Produkte wird ein wichtiger Baustein in Ihrer NIS2-Risikomanagement-Dokumentation

Für Unternehmen, die selbst Produkte herstellen oder vertreiben:

• CRA-Betroffenheit prüfen: Fallen Ihre Produkte unter den CRA? In welche Risikoklasse?
• Security-by-Design verankern: Überprüfen Sie Ihre Entwicklungsprozesse — Cybersicherheit muss ab der Konzeptionsphase integriert sein
• Schwachstellenmanagement-Prozess etablieren: 24-Stunden-Meldepflicht an die ENISA bei aktiv ausgenutzten Schwachstellen — das erfordert funktionierende interne Prozesse
• SBOM generieren: Automatisieren Sie die Erstellung von Software Bills of Materials als Teil Ihrer CI/CD-Pipeline
• Konformitätsbewertung vorbereiten: Klären Sie frühzeitig, ob eine Selbstbewertung ausreicht oder eine Prüfstelle hinzugezogen werden muss

Was noch unklar ist

Der CRA ist als EU-Verordnung unmittelbar anwendbar, benötigt aber nationale Durchführungsgesetze — und genau dort gibt es Nachholbedarf. Der aktuelle deutsche Referentenentwurf weist laut TeleTrusT erhebliche Lücken auf: Die Ausnahme von der Akkreditierungspflicht für Konformitätsbewertungsstellen ist zu weit gefasst, das geplante Reallabor für Cyberresilienz bleibt inhaltlich vage, und die finanzielle Ausstattung der Unterstützungsmaßnahmen für KMU ist unzureichend.

Für Unternehmen bedeutet das: Planen Sie nicht mit dem Minimalstandard des Durchführungsgesetzes, sondern orientieren Sie sich direkt an den Anforderungen der EU-Verordnung selbst. Das nationale Gesetz wird nur den Vollzugsrahmen regeln — die materiellen Pflichten stehen bereits fest.

Einordnung

Der CRA ist neben NIS2 und der CER-Richtlinie der dritte große Baustein im EU-Cybersicherheitsrahmen. Während NIS2 die Betreiber adressiert und die CER-Richtlinie die physische Resilienz, schließt der CRA die Lücke auf Produktseite. Für Unternehmen, die bereits unter NIS2 fallen, ist der CRA keine zusätzliche Belastung, sondern eine sinnvolle Ergänzung: Er sorgt dafür, dass die Produkte, die Sie einsetzen, endlich den Sicherheitsstandards entsprechen müssen, die Sie selbst einhalten sollen.

Ob der CRA in der Praxis funktioniert, wird maßgeblich davon abhängen, ob die Marktüberwachung durch das BSI tatsächlich wirksam wird — und ob Unternehmen die Übergangszeit nutzen, statt sie aussitzen.

---

Sie möchten wissen, wie der CRA konkret auf Ihr Unternehmen wirkt und wie Sie Ihre NIS2-Compliance um die CRA-Dimension erweitern? NEOSEC unterstützt Sie bei der Gap-Analyse, der Bewertung Ihrer Lieferkette und der Integration in Ihr bestehendes Risikomanagement. Sprechen Sie uns an.