Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Der Cyber Resilience Act wird schnell zu einer strategischen Priorität, nicht nur für Unternehmen mit Sitz in der EU, sondern auch für alle Unternehmen, die digitale Produkte auf dem europäischen Markt verkaufen. Während die Fristen für die Einhaltung der Vorschriften bis 2027 verlängert wurden, stellen sich die Ingenieur- und Sicherheitsteams bereits jetzt schwierige Fragen zu Sicherheitspraktiken bei der Konzeption, zum Umgang mit Schwachstellen und zu den Entwicklungskapazitäten.
Im Gegensatz zu vielen Vorschriften, die den Schwerpunkt auf Dokumentation und Audits legen, stellt die CRA die Konzeption und Entwicklung sicherer Software in den Mittelpunkt der Konformität. Unternehmen, die frühzeitig in Sicherheitsfunktionen investieren, werden schneller konform sein und sich auf einem Markt abheben, auf dem die Produktsicherheit zu einem Kaufkriterium wird.
Was das Gesetz über Cyberresilienz verlangt
Das Gesetz zur Cyberresilienz (Cyber Resilience Act, CRA) führt grundlegende Anforderungen an die Cybersicherheit für die meisten Produkte mit einer digitalen Komponente ein, die in der EU auf den Markt gebracht werden, darunter Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme.
Noch wichtiger ist, dass sich dadurch die Frage der Verantwortung verschiebt.
Sicherheit ist nicht mehr nur eine Frage der Ausführung oder des Betriebs. Im Rahmen der CRA wird sie zu einer Verpflichtung bei der Konzeption und Entwicklung, die die Architektur, die Umsetzung, die Wartung und das Management von Schwachstellen umfasst.
Für die Verantwortlichen für Technik und Sicherheit bedeutet dies:
- Die Produkte müssen gemäß den Grundsätzen der Sicherheit bereits bei der Konzeption hergestellt werden.
- Bekannte Schwachstellen sollten nach Möglichkeit vermieden und wirksam behandelt werden.
- Unternehmen müssen nachweisen, dass sichere Entwicklungspraktiken vorhanden sind.
Zusammenfassend lässt sich sagen: Die Konformität ist untrennbar mit der Art und Weise verbunden, wie Entwickler Code schreiben und verwalten.
An wen richtet sich die CRA?
Obwohl die CRA von der EU eingeführt wurde, gilt sie für alle Organisationen weltweit, die die betreffenden digitalen Produkte auf dem EU-Markt vertreiben, insbesondere:
- Softwareanbieter und SaaS-Anbieter, deren Dienste als Komponenten zur Fernverarbeitung von Daten der abgedeckten Produkte fungieren
- Hersteller digitaler oder vernetzter Produkte
- Importeure, Händler und Einzelhändler
- Organisationen, die digitale Komponenten von Drittanbietern integrieren
Für globale Unternehmen ist die Vorbereitung auf CRA eine Voraussetzung für die grenzüberschreitende Entwicklung und keine regionale Compliance-Maßnahme.
Warum starten Organisationen jetzt damit?
Wichtigste Schritte:
- September 2026 – Die Meldepflicht für Sicherheitslücken tritt in Kraft.
- Dezember 2027 – Vollständige Konformität erforderlich
Auf dem Papier mag diese Chronologie bequem erscheinen. In Wirklichkeit vollzieht sich die Transformation der Entwicklung nicht in Quartalen, sondern im Laufe von Jahren.
„Secure by Design“ ist keine Aktualisierung der Richtlinien. Es erfordert:
- Die Kompetenzen Tausender Entwickler in allen Sprachen und Teams verbessern
- Sicherheitsanforderungen bereits bei der Konzeption in die täglichen Arbeitsabläufe integrieren
- Von der reaktiven Behebung von Schwachstellen zur Prävention
- Schaffung messbarer Nachweise dafür, dass sichere Entwicklungspraktiken konsequent angewendet werden
Diese Veränderungen wirken sich auf die Personalbeschaffung, die Integration, architektonische Entscheidungen, SDLC-Prozesse und die Ingenieurskultur aus. Unternehmen, die bis Ende 2026 warten, werden unter dem Druck der Regulierung versuchen, ihre Kapazitäten zu modernisieren – eine Lösung, die wesentlich kostspieliger und störender ist.
Die Anwendung des Gesetzes birgt auch erhebliche finanzielle Risiken. Gemäß Artikel 64 der CRA können die Strafen bei Verstößen gegen die grundlegenden Anforderungen an die Cybersicherheit bis zu 15 Millionen Euro betragen, was 2,5 % des weltweiten Jahresumsatzes entspricht.
Es ist einfach zu spät, bis Ende 2026 zu warten.
Das CRA ist letztendlich eine Herausforderung für die Fähigkeiten der Entwickler.
Viele Vorschriften legen den Schwerpunkt auf Richtlinien und Dokumentation. Die CRA geht noch einen Schritt weiter und stellt eine Verbindung zwischen der Einhaltung von Vorschriften und den tatsächlichen Praktiken bei der Konzeption und Erstellung von Software her. Dies weckt Erwartungen an die sichere Entwicklung als operative Disziplin und nicht nur als Governance-Anforderung.
Für die Verantwortlichen im Bereich Engineering bedeutet dies, dass die Konformität von der konsequenten Anwendung sicherer Praktiken durch die Entwicklungsteams abhängt, darunter insbesondere:
- Die gängigen Schwachstellenklassen verstehen
- Anwendung der Grundsätze für sicheres Design und sichere Architektur
- Vermeiden Sie unsichere Implementierungsmodelle
- Verantwortungsbewusste Verwaltung von Komponenten von Drittanbietern und Open Source
Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Allerdings zeigen diese Tools ihre Schwächen erst, wenn der Code geschrieben ist. Sicherheit durch Design verpflichtet Entwickler dazu, Schwachstellen von vornherein zu vermeiden, und zwar einheitlich in allen Teams, Sprachen und Produkten.
Werkzeuge allein können dies nicht leisten. Die Ergebnisse im Bereich der Sicherheit durch Design hängen von den Fähigkeiten des Menschen ab.
Wie Secure Code Warrior zur Vorbereitung der CRA Secure Code Warrior
Secure Code Warrior auf die CRA abgestimmte Lernpfade, die Folgendes kombinieren:
- UNE Standard-CRA-Anforderung, die den technischen Sicherheitsanforderungen in Anhang I Teil I entspricht
- UNE Konzeptuelle Kollektion Secure by Design
- Praktisches Erlernen sprachspezifischer Schwachstellen
Lesen Sie unseren Leitfaden zu allen CRA-konformen Lerninhalten in SCW. SCW zertifiziert keine Konformität. Wir unterstützen die CRA-Vorbereitung durch strukturiertes Lernen und messbare Verbesserung der Fähigkeiten gemäß den Grundsätzen der sicheren Regulierungsentwicklung.
Beginnen Sie jetzt mit den Vorbereitungen für die CRA
Das CRA spiegelt die Richtung wider, die die Branche einschlägt: Sicherheit durch Konstruktionsengineering ist die Standarderwartung. Unternehmen, die jetzt in die Fähigkeiten ihrer Entwickler investieren, sind besser aufgestellt, um die Konformität sicherzustellen und langfristig widerstandsfähigere und risikoärmere Software zu entwickeln.
Weitere Informationen darüber, wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior , finden Sie in unserer Wissensdatenbank: Wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Shannon Holt ist eine Vermarkterin von Cybersicherheitsprodukten mit Hintergrund in Anwendungssicherheit, Cloud-Sicherheitsdiensten und Compliance-Standards wie PCI-DSS und HITRUST.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Shannon Holt ist eine Vermarkterin von Cybersicherheitsprodukten mit Hintergrund in Anwendungssicherheit, Cloud-Sicherheitsdiensten und Compliance-Standards wie PCI-DSS und HITRUST.
Shannon Holt ist Produktvermarkterin für Cybersicherheit mit Erfahrung in Anwendungssicherheit, Cloud-Sicherheitsdiensten und Compliance-Standards wie PCI-DSS und HITRUST. Ihr großes Ziel ist es, sichere Entwicklung und Compliance für technische Teams praktikabler und zugänglicher zu gestalten und die Lücke zwischen Sicherheitserwartungen und der Realität moderner Softwareentwicklung zu schließen.
Der Cyber Resilience Act wird schnell zu einer strategischen Priorität, nicht nur für Unternehmen mit Sitz in der EU, sondern auch für alle Unternehmen, die digitale Produkte auf dem europäischen Markt verkaufen. Während die Fristen für die Einhaltung der Vorschriften bis 2027 verlängert wurden, stellen sich die Ingenieur- und Sicherheitsteams bereits jetzt schwierige Fragen zu Sicherheitspraktiken bei der Konzeption, zum Umgang mit Schwachstellen und zu den Entwicklungskapazitäten.
Im Gegensatz zu vielen Vorschriften, die den Schwerpunkt auf Dokumentation und Audits legen, stellt die CRA die Konzeption und Entwicklung sicherer Software in den Mittelpunkt der Konformität. Unternehmen, die frühzeitig in Sicherheitsfunktionen investieren, werden schneller konform sein und sich auf einem Markt abheben, auf dem die Produktsicherheit zu einem Kaufkriterium wird.
Was das Gesetz über Cyberresilienz verlangt
Das Gesetz zur Cyberresilienz (Cyber Resilience Act, CRA) führt grundlegende Anforderungen an die Cybersicherheit für die meisten Produkte mit einer digitalen Komponente ein, die in der EU auf den Markt gebracht werden, darunter Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme.
Noch wichtiger ist, dass sich dadurch die Frage der Verantwortung verschiebt.
Sicherheit ist nicht mehr nur eine Frage der Ausführung oder des Betriebs. Im Rahmen der CRA wird sie zu einer Verpflichtung bei der Konzeption und Entwicklung, die die Architektur, die Umsetzung, die Wartung und das Management von Schwachstellen umfasst.
Für die Verantwortlichen für Technik und Sicherheit bedeutet dies:
- Die Produkte müssen gemäß den Grundsätzen der Sicherheit bereits bei der Konzeption hergestellt werden.
- Bekannte Schwachstellen sollten nach Möglichkeit vermieden und wirksam behandelt werden.
- Unternehmen müssen nachweisen, dass sichere Entwicklungspraktiken vorhanden sind.
Zusammenfassend lässt sich sagen: Die Konformität ist untrennbar mit der Art und Weise verbunden, wie Entwickler Code schreiben und verwalten.
An wen richtet sich die CRA?
Obwohl die CRA von der EU eingeführt wurde, gilt sie für alle Organisationen weltweit, die die betreffenden digitalen Produkte auf dem EU-Markt vertreiben, insbesondere:
- Softwareanbieter und SaaS-Anbieter, deren Dienste als Komponenten zur Fernverarbeitung von Daten der abgedeckten Produkte fungieren
- Hersteller digitaler oder vernetzter Produkte
- Importeure, Händler und Einzelhändler
- Organisationen, die digitale Komponenten von Drittanbietern integrieren
Für globale Unternehmen ist die Vorbereitung auf CRA eine Voraussetzung für die grenzüberschreitende Entwicklung und keine regionale Compliance-Maßnahme.
Warum starten Organisationen jetzt damit?
Wichtigste Schritte:
- September 2026 – Die Meldepflicht für Sicherheitslücken tritt in Kraft.
- Dezember 2027 – Vollständige Konformität erforderlich
Auf dem Papier mag diese Chronologie bequem erscheinen. In Wirklichkeit vollzieht sich die Transformation der Entwicklung nicht in Quartalen, sondern im Laufe von Jahren.
„Secure by Design“ ist keine Aktualisierung der Richtlinien. Es erfordert:
- Die Kompetenzen Tausender Entwickler in allen Sprachen und Teams verbessern
- Sicherheitsanforderungen bereits bei der Konzeption in die täglichen Arbeitsabläufe integrieren
- Von der reaktiven Behebung von Schwachstellen zur Prävention
- Schaffung messbarer Nachweise dafür, dass sichere Entwicklungspraktiken konsequent angewendet werden
Diese Veränderungen wirken sich auf die Personalbeschaffung, die Integration, architektonische Entscheidungen, SDLC-Prozesse und die Ingenieurskultur aus. Unternehmen, die bis Ende 2026 warten, werden unter dem Druck der Regulierung versuchen, ihre Kapazitäten zu modernisieren – eine Lösung, die wesentlich kostspieliger und störender ist.
Die Anwendung des Gesetzes birgt auch erhebliche finanzielle Risiken. Gemäß Artikel 64 der CRA können die Strafen bei Verstößen gegen die grundlegenden Anforderungen an die Cybersicherheit bis zu 15 Millionen Euro betragen, was 2,5 % des weltweiten Jahresumsatzes entspricht.
Es ist einfach zu spät, bis Ende 2026 zu warten.
Das CRA ist letztendlich eine Herausforderung für die Fähigkeiten der Entwickler.
Viele Vorschriften legen den Schwerpunkt auf Richtlinien und Dokumentation. Die CRA geht noch einen Schritt weiter und stellt eine Verbindung zwischen der Einhaltung von Vorschriften und den tatsächlichen Praktiken bei der Konzeption und Erstellung von Software her. Dies weckt Erwartungen an die sichere Entwicklung als operative Disziplin und nicht nur als Governance-Anforderung.
Für die Verantwortlichen im Bereich Engineering bedeutet dies, dass die Konformität von der konsequenten Anwendung sicherer Praktiken durch die Entwicklungsteams abhängt, darunter insbesondere:
- Die gängigen Schwachstellenklassen verstehen
- Anwendung der Grundsätze für sicheres Design und sichere Architektur
- Vermeiden Sie unsichere Implementierungsmodelle
- Verantwortungsbewusste Verwaltung von Komponenten von Drittanbietern und Open Source
Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Allerdings zeigen diese Tools ihre Schwächen erst, wenn der Code geschrieben ist. Sicherheit durch Design verpflichtet Entwickler dazu, Schwachstellen von vornherein zu vermeiden, und zwar einheitlich in allen Teams, Sprachen und Produkten.
Werkzeuge allein können dies nicht leisten. Die Ergebnisse im Bereich der Sicherheit durch Design hängen von den Fähigkeiten des Menschen ab.
Wie Secure Code Warrior zur Vorbereitung der CRA Secure Code Warrior
Secure Code Warrior auf die CRA abgestimmte Lernpfade, die Folgendes kombinieren:
- UNE Standard-CRA-Anforderung, die den technischen Sicherheitsanforderungen in Anhang I Teil I entspricht
- UNE Konzeptuelle Kollektion Secure by Design
- Praktisches Erlernen sprachspezifischer Schwachstellen
Lesen Sie unseren Leitfaden zu allen CRA-konformen Lerninhalten in SCW. SCW zertifiziert keine Konformität. Wir unterstützen die CRA-Vorbereitung durch strukturiertes Lernen und messbare Verbesserung der Fähigkeiten gemäß den Grundsätzen der sicheren Regulierungsentwicklung.
Beginnen Sie jetzt mit den Vorbereitungen für die CRA
Das CRA spiegelt die Richtung wider, die die Branche einschlägt: Sicherheit durch Konstruktionsengineering ist die Standarderwartung. Unternehmen, die jetzt in die Fähigkeiten ihrer Entwickler investieren, sind besser aufgestellt, um die Konformität sicherzustellen und langfristig widerstandsfähigere und risikoärmere Software zu entwickeln.
Weitere Informationen darüber, wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior , finden Sie in unserer Wissensdatenbank: Wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior
Der Cyber Resilience Act wird schnell zu einer strategischen Priorität, nicht nur für Unternehmen mit Sitz in der EU, sondern auch für alle Unternehmen, die digitale Produkte auf dem europäischen Markt verkaufen. Während die Fristen für die Einhaltung der Vorschriften bis 2027 verlängert wurden, stellen sich die Ingenieur- und Sicherheitsteams bereits jetzt schwierige Fragen zu Sicherheitspraktiken bei der Konzeption, zum Umgang mit Schwachstellen und zu den Entwicklungskapazitäten.
Im Gegensatz zu vielen Vorschriften, die den Schwerpunkt auf Dokumentation und Audits legen, stellt die CRA die Konzeption und Entwicklung sicherer Software in den Mittelpunkt der Konformität. Unternehmen, die frühzeitig in Sicherheitsfunktionen investieren, werden schneller konform sein und sich auf einem Markt abheben, auf dem die Produktsicherheit zu einem Kaufkriterium wird.
Was das Gesetz über Cyberresilienz verlangt
Das Gesetz zur Cyberresilienz (Cyber Resilience Act, CRA) führt grundlegende Anforderungen an die Cybersicherheit für die meisten Produkte mit einer digitalen Komponente ein, die in der EU auf den Markt gebracht werden, darunter Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme.
Noch wichtiger ist, dass sich dadurch die Frage der Verantwortung verschiebt.
Sicherheit ist nicht mehr nur eine Frage der Ausführung oder des Betriebs. Im Rahmen der CRA wird sie zu einer Verpflichtung bei der Konzeption und Entwicklung, die die Architektur, die Umsetzung, die Wartung und das Management von Schwachstellen umfasst.
Für die Verantwortlichen für Technik und Sicherheit bedeutet dies:
- Die Produkte müssen gemäß den Grundsätzen der Sicherheit bereits bei der Konzeption hergestellt werden.
- Bekannte Schwachstellen sollten nach Möglichkeit vermieden und wirksam behandelt werden.
- Unternehmen müssen nachweisen, dass sichere Entwicklungspraktiken vorhanden sind.
Zusammenfassend lässt sich sagen: Die Konformität ist untrennbar mit der Art und Weise verbunden, wie Entwickler Code schreiben und verwalten.
An wen richtet sich die CRA?
Obwohl die CRA von der EU eingeführt wurde, gilt sie für alle Organisationen weltweit, die die betreffenden digitalen Produkte auf dem EU-Markt vertreiben, insbesondere:
- Softwareanbieter und SaaS-Anbieter, deren Dienste als Komponenten zur Fernverarbeitung von Daten der abgedeckten Produkte fungieren
- Hersteller digitaler oder vernetzter Produkte
- Importeure, Händler und Einzelhändler
- Organisationen, die digitale Komponenten von Drittanbietern integrieren
Für globale Unternehmen ist die Vorbereitung auf CRA eine Voraussetzung für die grenzüberschreitende Entwicklung und keine regionale Compliance-Maßnahme.
Warum starten Organisationen jetzt damit?
Wichtigste Schritte:
- September 2026 – Die Meldepflicht für Sicherheitslücken tritt in Kraft.
- Dezember 2027 – Vollständige Konformität erforderlich
Auf dem Papier mag diese Chronologie bequem erscheinen. In Wirklichkeit vollzieht sich die Transformation der Entwicklung nicht in Quartalen, sondern im Laufe von Jahren.
„Secure by Design“ ist keine Aktualisierung der Richtlinien. Es erfordert:
- Die Kompetenzen Tausender Entwickler in allen Sprachen und Teams verbessern
- Sicherheitsanforderungen bereits bei der Konzeption in die täglichen Arbeitsabläufe integrieren
- Von der reaktiven Behebung von Schwachstellen zur Prävention
- Schaffung messbarer Nachweise dafür, dass sichere Entwicklungspraktiken konsequent angewendet werden
Diese Veränderungen wirken sich auf die Personalbeschaffung, die Integration, architektonische Entscheidungen, SDLC-Prozesse und die Ingenieurskultur aus. Unternehmen, die bis Ende 2026 warten, werden unter dem Druck der Regulierung versuchen, ihre Kapazitäten zu modernisieren – eine Lösung, die wesentlich kostspieliger und störender ist.
Die Anwendung des Gesetzes birgt auch erhebliche finanzielle Risiken. Gemäß Artikel 64 der CRA können die Strafen bei Verstößen gegen die grundlegenden Anforderungen an die Cybersicherheit bis zu 15 Millionen Euro betragen, was 2,5 % des weltweiten Jahresumsatzes entspricht.
Es ist einfach zu spät, bis Ende 2026 zu warten.
Das CRA ist letztendlich eine Herausforderung für die Fähigkeiten der Entwickler.
Viele Vorschriften legen den Schwerpunkt auf Richtlinien und Dokumentation. Die CRA geht noch einen Schritt weiter und stellt eine Verbindung zwischen der Einhaltung von Vorschriften und den tatsächlichen Praktiken bei der Konzeption und Erstellung von Software her. Dies weckt Erwartungen an die sichere Entwicklung als operative Disziplin und nicht nur als Governance-Anforderung.
Für die Verantwortlichen im Bereich Engineering bedeutet dies, dass die Konformität von der konsequenten Anwendung sicherer Praktiken durch die Entwicklungsteams abhängt, darunter insbesondere:
- Die gängigen Schwachstellenklassen verstehen
- Anwendung der Grundsätze für sicheres Design und sichere Architektur
- Vermeiden Sie unsichere Implementierungsmodelle
- Verantwortungsbewusste Verwaltung von Komponenten von Drittanbietern und Open Source
Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Allerdings zeigen diese Tools ihre Schwächen erst, wenn der Code geschrieben ist. Sicherheit durch Design verpflichtet Entwickler dazu, Schwachstellen von vornherein zu vermeiden, und zwar einheitlich in allen Teams, Sprachen und Produkten.
Werkzeuge allein können dies nicht leisten. Die Ergebnisse im Bereich der Sicherheit durch Design hängen von den Fähigkeiten des Menschen ab.
Wie Secure Code Warrior zur Vorbereitung der CRA Secure Code Warrior
Secure Code Warrior auf die CRA abgestimmte Lernpfade, die Folgendes kombinieren:
- UNE Standard-CRA-Anforderung, die den technischen Sicherheitsanforderungen in Anhang I Teil I entspricht
- UNE Konzeptuelle Kollektion Secure by Design
- Praktisches Erlernen sprachspezifischer Schwachstellen
Lesen Sie unseren Leitfaden zu allen CRA-konformen Lerninhalten in SCW. SCW zertifiziert keine Konformität. Wir unterstützen die CRA-Vorbereitung durch strukturiertes Lernen und messbare Verbesserung der Fähigkeiten gemäß den Grundsätzen der sicheren Regulierungsentwicklung.
Beginnen Sie jetzt mit den Vorbereitungen für die CRA
Das CRA spiegelt die Richtung wider, die die Branche einschlägt: Sicherheit durch Konstruktionsengineering ist die Standarderwartung. Unternehmen, die jetzt in die Fähigkeiten ihrer Entwickler investieren, sind besser aufgestellt, um die Konformität sicherzustellen und langfristig widerstandsfähigere und risikoärmere Software zu entwickeln.
Weitere Informationen darüber, wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior , finden Sie in unserer Wissensdatenbank: Wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Lesen Sie unseren Leitfaden zu allen CRA-konformen Lerninhalten in SCW.
PDF herunterladenShannon Holt ist eine Vermarkterin von Cybersicherheitsprodukten mit Hintergrund in Anwendungssicherheit, Cloud-Sicherheitsdiensten und Compliance-Standards wie PCI-DSS und HITRUST.
Shannon Holt ist Produktvermarkterin für Cybersicherheit mit Erfahrung in Anwendungssicherheit, Cloud-Sicherheitsdiensten und Compliance-Standards wie PCI-DSS und HITRUST. Ihr großes Ziel ist es, sichere Entwicklung und Compliance für technische Teams praktikabler und zugänglicher zu gestalten und die Lücke zwischen Sicherheitserwartungen und der Realität moderner Softwareentwicklung zu schließen.
Der Cyber Resilience Act wird schnell zu einer strategischen Priorität, nicht nur für Unternehmen mit Sitz in der EU, sondern auch für alle Unternehmen, die digitale Produkte auf dem europäischen Markt verkaufen. Während die Fristen für die Einhaltung der Vorschriften bis 2027 verlängert wurden, stellen sich die Ingenieur- und Sicherheitsteams bereits jetzt schwierige Fragen zu Sicherheitspraktiken bei der Konzeption, zum Umgang mit Schwachstellen und zu den Entwicklungskapazitäten.
Im Gegensatz zu vielen Vorschriften, die den Schwerpunkt auf Dokumentation und Audits legen, stellt die CRA die Konzeption und Entwicklung sicherer Software in den Mittelpunkt der Konformität. Unternehmen, die frühzeitig in Sicherheitsfunktionen investieren, werden schneller konform sein und sich auf einem Markt abheben, auf dem die Produktsicherheit zu einem Kaufkriterium wird.
Was das Gesetz über Cyberresilienz verlangt
Das Gesetz zur Cyberresilienz (Cyber Resilience Act, CRA) führt grundlegende Anforderungen an die Cybersicherheit für die meisten Produkte mit einer digitalen Komponente ein, die in der EU auf den Markt gebracht werden, darunter Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme.
Noch wichtiger ist, dass sich dadurch die Frage der Verantwortung verschiebt.
Sicherheit ist nicht mehr nur eine Frage der Ausführung oder des Betriebs. Im Rahmen der CRA wird sie zu einer Verpflichtung bei der Konzeption und Entwicklung, die die Architektur, die Umsetzung, die Wartung und das Management von Schwachstellen umfasst.
Für die Verantwortlichen für Technik und Sicherheit bedeutet dies:
- Die Produkte müssen gemäß den Grundsätzen der Sicherheit bereits bei der Konzeption hergestellt werden.
- Bekannte Schwachstellen sollten nach Möglichkeit vermieden und wirksam behandelt werden.
- Unternehmen müssen nachweisen, dass sichere Entwicklungspraktiken vorhanden sind.
Zusammenfassend lässt sich sagen: Die Konformität ist untrennbar mit der Art und Weise verbunden, wie Entwickler Code schreiben und verwalten.
An wen richtet sich die CRA?
Obwohl die CRA von der EU eingeführt wurde, gilt sie für alle Organisationen weltweit, die die betreffenden digitalen Produkte auf dem EU-Markt vertreiben, insbesondere:
- Softwareanbieter und SaaS-Anbieter, deren Dienste als Komponenten zur Fernverarbeitung von Daten der abgedeckten Produkte fungieren
- Hersteller digitaler oder vernetzter Produkte
- Importeure, Händler und Einzelhändler
- Organisationen, die digitale Komponenten von Drittanbietern integrieren
Für globale Unternehmen ist die Vorbereitung auf CRA eine Voraussetzung für die grenzüberschreitende Entwicklung und keine regionale Compliance-Maßnahme.
Warum starten Organisationen jetzt damit?
Wichtigste Schritte:
- September 2026 – Die Meldepflicht für Sicherheitslücken tritt in Kraft.
- Dezember 2027 – Vollständige Konformität erforderlich
Auf dem Papier mag diese Chronologie bequem erscheinen. In Wirklichkeit vollzieht sich die Transformation der Entwicklung nicht in Quartalen, sondern im Laufe von Jahren.
„Secure by Design“ ist keine Aktualisierung der Richtlinien. Es erfordert:
- Die Kompetenzen Tausender Entwickler in allen Sprachen und Teams verbessern
- Sicherheitsanforderungen bereits bei der Konzeption in die täglichen Arbeitsabläufe integrieren
- Von der reaktiven Behebung von Schwachstellen zur Prävention
- Schaffung messbarer Nachweise dafür, dass sichere Entwicklungspraktiken konsequent angewendet werden
Diese Veränderungen wirken sich auf die Personalbeschaffung, die Integration, architektonische Entscheidungen, SDLC-Prozesse und die Ingenieurskultur aus. Unternehmen, die bis Ende 2026 warten, werden unter dem Druck der Regulierung versuchen, ihre Kapazitäten zu modernisieren – eine Lösung, die wesentlich kostspieliger und störender ist.
Die Anwendung des Gesetzes birgt auch erhebliche finanzielle Risiken. Gemäß Artikel 64 der CRA können die Strafen bei Verstößen gegen die grundlegenden Anforderungen an die Cybersicherheit bis zu 15 Millionen Euro betragen, was 2,5 % des weltweiten Jahresumsatzes entspricht.
Es ist einfach zu spät, bis Ende 2026 zu warten.
Das CRA ist letztendlich eine Herausforderung für die Fähigkeiten der Entwickler.
Viele Vorschriften legen den Schwerpunkt auf Richtlinien und Dokumentation. Die CRA geht noch einen Schritt weiter und stellt eine Verbindung zwischen der Einhaltung von Vorschriften und den tatsächlichen Praktiken bei der Konzeption und Erstellung von Software her. Dies weckt Erwartungen an die sichere Entwicklung als operative Disziplin und nicht nur als Governance-Anforderung.
Für die Verantwortlichen im Bereich Engineering bedeutet dies, dass die Konformität von der konsequenten Anwendung sicherer Praktiken durch die Entwicklungsteams abhängt, darunter insbesondere:
- Die gängigen Schwachstellenklassen verstehen
- Anwendung der Grundsätze für sicheres Design und sichere Architektur
- Vermeiden Sie unsichere Implementierungsmodelle
- Verantwortungsbewusste Verwaltung von Komponenten von Drittanbietern und Open Source
Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Allerdings zeigen diese Tools ihre Schwächen erst, wenn der Code geschrieben ist. Sicherheit durch Design verpflichtet Entwickler dazu, Schwachstellen von vornherein zu vermeiden, und zwar einheitlich in allen Teams, Sprachen und Produkten.
Werkzeuge allein können dies nicht leisten. Die Ergebnisse im Bereich der Sicherheit durch Design hängen von den Fähigkeiten des Menschen ab.
Wie Secure Code Warrior zur Vorbereitung der CRA Secure Code Warrior
Secure Code Warrior auf die CRA abgestimmte Lernpfade, die Folgendes kombinieren:
- UNE Standard-CRA-Anforderung, die den technischen Sicherheitsanforderungen in Anhang I Teil I entspricht
- UNE Konzeptuelle Kollektion Secure by Design
- Praktisches Erlernen sprachspezifischer Schwachstellen
Lesen Sie unseren Leitfaden zu allen CRA-konformen Lerninhalten in SCW. SCW zertifiziert keine Konformität. Wir unterstützen die CRA-Vorbereitung durch strukturiertes Lernen und messbare Verbesserung der Fähigkeiten gemäß den Grundsätzen der sicheren Regulierungsentwicklung.
Beginnen Sie jetzt mit den Vorbereitungen für die CRA
Das CRA spiegelt die Richtung wider, die die Branche einschlägt: Sicherheit durch Konstruktionsengineering ist die Standarderwartung. Unternehmen, die jetzt in die Fähigkeiten ihrer Entwickler investieren, sind besser aufgestellt, um die Konformität sicherzustellen und langfristig widerstandsfähigere und risikoärmere Software zu entwickeln.
Weitere Informationen darüber, wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior , finden Sie in unserer Wissensdatenbank: Wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior
Inhaltsverzeichnis
Shannon Holt ist eine Vermarkterin von Cybersicherheitsprodukten mit Hintergrund in Anwendungssicherheit, Cloud-Sicherheitsdiensten und Compliance-Standards wie PCI-DSS und HITRUST.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
.avif)
Neue Risikokategorie in den OWASP Top Ten: Erwarten Sie das Unerwartete
Die OWASP Top 10 2025 fügt die Fehlbehandlung von Ausnahmebedingungen auf Platz 10 hinzu. Reduzieren Sie die Risiken durch eine "fail closed"-Logik, globale Fehlerbehandlungsprogramme und eine strenge Eingabevalidierung.