Thought Leadership
Deutschland muss den Cyber Resilience Act der EU national umsetzen, und das BMI hat dafür einen Referentenentwurf vorgelegt. Der Bundesverband IT-Sicherheit (TeleTrusT) hat sich das Papier genauer angeschaut.
Der CRA gilt als EU-Verordnung zwar direkt, trotzdem muss jeder Mitgliedstaat selbst regeln, wer sich um Marktüberwachung, Notifizierung, Bußgelder und die Unterstützung von Unternehmen kümmert. Der Entwurf packt das alles dem BSI auf den Tisch. Grundsätzlich keine schlechte Idee, findet TeleTrusT, denn das „nutzt vorhandene Cybersicherheitskompetenz und verhindert eine zersplitterte Vollzugspraxis”.
Das Problem liegt woanders: Wer dem BSI so viele neue Aufgaben überträgt, muss auch dafür sorgen, dass die Behörde die stemmen kann. Genau das tut der Entwurf aber nicht. Es sei „nicht ausreichend, den Mehrbedarf an Personal und Sachmitteln lediglich künftigen Haushaltsverfahren zu überlassen”, kritisiert der Verband.
Wenn Akkreditierung zum Hindernis wird
Richtig deutlich wird TeleTrusT bei einem Punkt: Der Entwurf erlaubt es, Konformitätsbewertungsstellen auch ohne vollständige Akkreditierung zuzulassen, wenn ein „öffentliches Interesse” besteht. Klingt erstmal harmlos, birgt aber Sprengstoff. Denn wenn schon der bloße Mangel an Prüfstellen als öffentliches Interesse durchgeht, wird die Ausnahme schnell zur Regel. Die Regelung drohe dann „zu einem Instrument bloßer Kapazitäts- und Marktzugangssicherung” zu werden.
Die Konsequenz wäre fatal: Nicht ausreichend geprüfte Prüfer prüfen dann Produkte, die eigentlich strenge Sicherheitsanforderungen erfüllen sollen. TeleTrusT bringt es auf den Punkt: „Wer Engpässe bei der Akkreditierung durch erleichterte Notifizierung kompensiert, schwächt am Ende die Qualitätssicherung des CRA selbst.” Die bessere Lösung sei, die Deutsche Akkreditierungsstelle (DAkkS) rechtzeitig so aufzustellen, dass bis zum Stichtag am 11. Dezember 2026 genug Stellen regulär akkreditiert sind.
1,28 Millionen für alle?
Auch das Thema Unterstützung für Unternehmen sieht der Verband kritisch. Der Entwurf sieht 1,281 Millionen Euro jährlich für Schulungen und Sensibilisierung vor. Der Betrag sei „ersichtlich zu knapp bemessen”, stellt TeleTrusT fest. Zum Vergleich: Beim NIS2-Gesetz wurden allein für Schulungen in der Bundesverwaltung rund 5 Millionen Euro veranschlagt. Für die betroffene Wirtschaft rechnete man dort sogar mit über 165 Millionen Euro jährlich. Der CRA ist zwar ein anderer Kontext, aber die Größenordnung zeigt, wie weit die eingeplante Summe von der Realität entfernt ist.
TeleTrusT vermutet hinter dem dünnen Angebot vor allem Pflichterfüllung auf dem Papier. Es liege „der Eindruck nahe, dass hier vor allem unionsrechtliche Mindestvorgaben formal abgearbeitet werden”, ohne dass ein echtes Unterstützungskonzept dahinterstehe. Obendrein fehlten zwei Maßnahmen komplett, die der CRA ausdrücklich vorsieht: ein Kommunikationskanal speziell für Kleinst- und Kleinunternehmen und Hilfe bei Konformitätsbewertungen.
Der Verband wirft zudem eine interessante Frage auf: Sollte ausgerechnet das BSI die Unternehmen an die Hand nehmen, wenn es gleichzeitig als Marktüberwachungsbehörde Bußgelder verhängt? TeleTrusT schlägt vor, die Unterstützung lieber an externe, unabhängige Stellen zu vergeben.
Reallabor: Gute Idee, kaum Substanz
Ein Reallabor für Cyberresilienz klingt erstmal vielversprechend. Unternehmen könnten dort in geschützter Umgebung testen, ob ihre Produkte den CRA-Anforderungen genügen. TeleTrusT begrüßt die Idee grundsätzlich, sieht aber das Risiko, dass das Ganze „mehr Symbolcharakter als wirksame Unterstützung” hat. Denn was das Reallabor konkret bieten soll, wer Zugang bekommt und nach welchen Kriterien, lässt der Entwurf weitgehend offen.
Beim Thema Bußgelder und Durchsetzung plädiert TeleTrusT für Augenmaß. Der CRA ist ein technisch anspruchsvolles Regelwerk, und gerade am Anfang werden viele Unternehmen nicht genau wissen, wie sie die Anforderungen umsetzen sollen. „Sanktionen dürfen nicht an die Stelle einer praxistauglichen Orientierung treten”, fordert der Verband. Erst müssten klare Leitlinien und nachvollziehbare Maßstäbe her, bevor die Bußgeldbescheide verschickt werden.
Die Uhr tickt
Die ersten CRA-Regelungen greifen ab dem 11. Juni 2026. Das ist in gut zwei Monaten. Damit Deutschland nicht in ein Vertragsverletzungsverfahren stolpert, muss das Durchführungsgesetz bis dahin stehen. Bei der NIS2- und CER-Richtlinie kam Deutschland bereits zu spät. Das sollte sich nicht wiederholen.
