Stimmen zum Cyber Resilience Act.
Der CRA wurde von Anfang an kontrovers diskutiert. Die Meinungen reichen von überzeugter Befürwortung bis zu deutlicher Kritik. Wir ordnen ein.
Befürwortende Stimmen
Aus Sicht der EU-Kommission und vieler Cybersecurity-Experten schließt der CRA eine echte Lücke. Die zentrale Idee — Hersteller systemisch in die Pflicht zu nehmen, statt nur die Endanwender mit Folgen leben zu lassen — wird breit unterstützt. Verpflichtende SBOM, klare Meldewege, einheitliche Mindeststandards: Das gab es vorher nicht.
Kritische Stimmen
Open-Source-Communities und kleine Hersteller haben in der Diskussion massiv gewarnt: Wer trägt die Compliance-Last bei Free-Software-Projekten ohne kommerzielle Hinterlegung? Die EU hat darauf mit Erwägungsgrund 18 und Art. 24 reagiert (leichteres Pflichtregime für Stiftungen/Vereine über 2 Mio. € Einnahmen, vollständige Befreiung darunter), aber Detailfragen bleiben in der Praxis.
Auch die Kosten- und Aufwandsdiskussion ist nicht ausgestanden. Studien des Industrieverbands Bitkom und des ZVEI haben für Mittelständler Compliance-Aufwände im sechsstelligen Bereich abgeschätzt. Die EU-Kommission rechnet mit deutlich niedrigeren Werten — die Wahrheit liegt vermutlich dazwischen und hängt stark vom Reifegrad des bestehenden Security-Managements ab.
Unsere Einschätzung
Der CRA ist ein ambitioniertes Regulierungsprojekt, das die Cybersicherheit in Europa langfristig verbessern wird. Für KMU bedeutet er kurzfristig Aufwand, aber auch eine Chance: Wer jetzt in Security investiert, sichert sich einen Wettbewerbsvorteil.
Die gute Nachricht: Sie müssen das nicht alleine stemmen. Förderprogramme helfen bei der Finanzierung, und Plattformen wie codAIx reduzieren den Implementierungsaufwand erheblich.
Mehr zum CRA erfahren →