Cyber Resilience Act: KMU müssen aktiv werden

Der Cyber Resilience Act (CRA), der seit Dezember 2024 in Kraft ist, stellt Unternehmen vor neue Herausforderungen. Insbesondere kleine und mittlere Unternehmen (KMU) sind gefordert, sich proaktiv mit den Anforderungen des Gesetzes auseinanderzusetzen. Ab September 2026 treten die ersten Meldepflichten in Kraft, die eine umfassende Vorbereitung erfordern. Die Verantwortung für die Umsetzung liegt dabei größtenteils bei den Unternehmen selbst.

Umsetzung des Cyber Resilience Act

Die Umsetzung des Cyber Resilience Act ist für viele KMU eine große Herausforderung. Das deutsche Durchführungsgesetz, das die Vorgaben des CRA in nationales Recht umsetzt, steht in der Kritik. Kritiker bemängeln, dass die staatliche Unterstützung für KMU unzureichend ist, um die notwendigen Maßnahmen zur Erhöhung der Cyber-Resilienz zu ergreifen. Viele Unternehmen fühlen sich allein gelassen und wissen nicht, wie sie die Anforderungen erfüllen sollen.

Die Meldepflichten, die ab September 2026 in Kraft treten, verlangen von den Unternehmen, Cybervorfälle zu melden, die erhebliche Auswirkungen auf ihre Betriebsabläufe haben. Dies bedeutet, dass KMU nicht nur in der Lage sein müssen, solche Vorfälle zu erkennen, sondern auch die entsprechenden Meldungen fristgerecht einzureichen. Die Fristen und genauen Anforderungen sind im deutschen Durchführungsgesetz festgelegt, das jedoch noch nicht von allen Unternehmen vollständig verstanden wird.

Ein zentrales Problem für viele KMU ist die fehlende Expertise im Bereich Cybersecurity. Oftmals fehlt es an Fachkräften, die die notwendigen Sicherheitsmaßnahmen implementieren und die Einhaltung der gesetzlichen Vorgaben überwachen können. Dies führt dazu, dass viele Unternehmen zögern, die erforderlichen Schritte zu unternehmen, um ihre Systeme zu schützen und die neuen Anforderungen zu erfüllen.

Kritik an staatlicher Unterstützung

Die Kritik an der staatlichen Unterstützung für KMU im Rahmen des Cyber Resilience Act wird immer lauter. Viele Unternehmen fordern mehr Ressourcen und Hilfestellungen, um die Herausforderungen der Cybersecurity zu bewältigen. Die bestehenden Programme zur Unterstützung von KMU werden als unzureichend angesehen, um die finanziellen und personellen Ressourcen bereitzustellen, die für die Umsetzung der neuen Anforderungen notwendig sind.

Ein weiterer Aspekt der Kritik betrifft die Informationspolitik der Regierung. Viele KMU fühlen sich nicht ausreichend über die konkreten Anforderungen und Fristen informiert. Dies führt zu Unsicherheiten und einer verzögerten Umsetzung der notwendigen Maßnahmen. Die Unternehmen benötigen klare und verständliche Informationen, um die Anforderungen des Cyber Resilience Act erfolgreich umsetzen zu können.

Die Verantwortung für die Cyber-Resilienz liegt somit in den Händen der KMU. Diese müssen sich aktiv mit den Anforderungen des Cyber Resilience Act auseinandersetzen und geeignete Maßnahmen ergreifen, um ihre Systeme zu schützen. Die Zeit drängt, da die ersten Meldepflichten bereits im September 2026 in Kraft treten.

Die Diskussion um den Cyber Resilience Act und die damit verbundenen Herausforderungen für KMU wird in den kommenden Monaten weiter an Bedeutung gewinnen. Unternehmen sind gefordert, sich rechtzeitig auf die neuen Anforderungen vorzubereiten und die notwendigen Schritte zur Verbesserung ihrer Cybersecurity zu unternehmen. Die Umsetzung des Gesetzes wird entscheidend dafür sein, wie gut KMU in der Lage sind, sich gegen Cyberbedrohungen zu wappnen.