Neue EU-Vorgaben für IT-Teams – das sollten Sie tun

Der CRA ist das Schwergewicht unter den neuen Regelungen. Er verpflichtet Hersteller und Anbieter digitaler Produkte dazu, Cybersicherheit nicht als Add-on, sondern als Grundprinzip zu behandeln. Das Ziel ist es, ein einheitlich hohes Sicherheitsniveau im Binnenmarkt sicherzustellen und Risiken schon im Produktdesign zu minimieren.

1. Security by Design & Default

Hersteller müssen Cybersicherheit von Anfang an mitdenken, nicht erst als Patch. Das heißt:

• Produkte müssen mit minimaler Angriffsfläche ausgeliefert werden.
• Sichere Standardeinstellungen sind Pflicht (keine offenen Ports, keine Default-Passwörter).
• Schutz vor bekannten Schwachstellen über den gesamten Lebenszyklus.
• Etablierte Secure-Development-Prozesse.
• Nachweisbare Risikoanalysen für Cyberbedrohungen.
• Cybersicherheit wird zur Produktpflicht, nicht zur optionalen Zusatzleistung.

2. Transparenz: Wer trägt wofür Verantwortung?

Der CRA macht Sicherheitsmaßnahmen nachvollziehbar und prüfbar. Konkret bedeutet das:

• Klare Benennung der Verantwortlichkeiten im Unternehmen.
• Offenlegung sicherheitsrelevanter Informationen gegenüber Behörden.
• Verpflichtung zur Meldung aktiv ausgenutzter Schwachstellen.
• Information der Kunden über bekannte Risiken und Sicherheitsupdates.
• Nachvollziehbarkeit, welche Sicherheitsmaßnahmen umgesetzt wurden.
• Sicherheit darf nicht mehr „implizit angenommen“, sondern muss belegt werden.

3. Dokumentation: Beweis statt Behauptung

Unternehmen müssen zeigen können, dass ihre Produkte sicher entwickelt und betrieben werden. Dazu gehören unter anderem:

• Technische Produktdokumentation zur Cybersicherheit
• Bedrohungs- und Risikoanalysen (Threat Modeling)
• Dokumentierte Secure-Development-Prozesse
• Prozesse zum Vulnerability- und Patch-Management
• Nachweise über Sicherheitsupdates über den gesamten Produktlebenszyklus
• Wer nicht dokumentieren kann, gilt im Zweifel als nicht compliant.

Praxis-Check: IT-Teams sollten ihre Produkt- und Softwareportfolios frühzeitig auf CRA-Relevanz prüfen, Security Requirements in die Entwicklungs- und Beschaffungsprozesse integrieren sowie ein strukturiertes Vulnerability-Management etablieren.

Alle Unternehmen, die zur kritischen Infrastruktur gehören, müssen NIS2 bis 2026 umsetzen. Das betrifft Energieversorger, Gesundheitseinrichtungen, Verkehrsbetriebe, Wasserversorger sowie Branchen im kommunalen Bereich.

Was NIS2 fordert:

• Implementierung von Risikomanagement-Maßnahmen
• Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden
• Regelmäßige Sicherheitsaudits und Schwachstellenanalysen
• Sicherstellung der Lieferkettensicherheit
• Benennung von Verantwortlichen auf Führungsebene

Praxis-Check: Der Kreis der betroffenen Organisationen wurde gegenüber der ersten NIS-Richtlinie deutlich erweitert. Auch mittelgroße Unternehmen fallen nun unter die Regelung, wenn sie in einem der definierten Sektoren tätig sind. Für öffentliche Verwaltungen und kommunale IT-Dienstleister heißt das: Frühzeitig prüfen, ob sie unter die NIS2-Richtlinie fallen. Die Umsetzung braucht Zeit.

Der Data Act regelt, wer auf Daten aus vernetzten Produkten, wie IoT, zugreifen darf und wie diese Daten zwischen Nutzern, Unternehmen und öffentlichen Stellen geteilt werden. Besonders relevant wird er für Cloud-Anbieter, IoT-Hersteller und datenintensive Geschäftsmodelle. Zentrale Punkte:

• Nutzer erhalten mehr Kontrolle über ihre Daten
• Erleichterter Anbieterwechsel (Maßnahmen gegen Vendor Lock-in)
• Verpflichtung zur Datenportabilität
• Faire Vertragsbedingungen bei Datenzugriff
• Regelungen zum Datenzugang für Behörden in Notfällen

Praxis-Check: Der Data Act zielt darauf ab, Datensilos aufzubrechen und einen fairen Datenaustausch zu ermöglichen. Für Unternehmen bedeutet das: Transparente Datennutzungsvereinbarungen und technische Exportmöglichkeiten werden zur Pflicht. Besonders Cloud-Dienste müssen ihre Verträge und technischen Schnittstellen überprüfen. Für Open Source-Anbieter beziehungsweise Open Source-nahe Dienstleister und Anbieter wird sich dadurch wenig Neues ergeben: Offenheit, Transparenz, Vermeidung von LockIns sind und waren schon immer Kernbestandteil der Geschäftsstrategien in diesem Bereich.

KI-Systeme werden zunehmend reguliert und das hat direkte Auswirkungen auf IT-Teams, die KI-Tools einsetzen oder entwickeln. Die EU-KI-Verordnung (AI Act) teilt KI-Systeme in Risikoklassen ein und stellt je nach Einstufung unterschiedliche Anforderungen. Worauf Sie achten müssen:

• Transparenzpflichten bei KI-gestützten Entscheidungen
• Dokumentation der Trainingsdaten und Algorithmen
• Besondere Anforderungen bei Hochrisiko-KI-Systemen in HR, Kreditvergabe, kritischer Infrastruktur)
• Kennzeichnungspflicht für KI-generierte Inhalte
• Verbot bestimmter KI-Anwendungen (wie Social Scoring)
• KI-Agenten als neues Risiko

Praxis-Check: Aktuell wird vor allem vor KI-Agenten in Betriebssystemen gewarnt. Diese Assistenten erhalten weitreichende Zugriffe, analysieren Nachrichten, Dateien oder Browserverläufe und können so selbst verschlüsselte Kommunikation schwächen. Solche Agenten laufen oft unbemerkt im Hintergrund, benötigen Cloud-Verarbeitung und schaffen neue Risiken für Überwachung und Datenmissbrauch. KI ist disruptiv – nicht nur technologisch, sondern auch regulatorisch. Wer KI-Systeme einsetzt, sollte frühzeitig klären, in welche Risikoklasse diese fallen und welche Dokumentations- und Testpflichten gelten.