Cyber Resilience Act: Der Wendepunkt in der IT-Sicherheit für Unternehmen
Heute ist der 12.07.2026, und die Welt der Cybersicherheit steht vor einem gewaltigen Umbruch. Die Anforderungen, die an Unternehmen gestellt werden, wachsen stetig, und das nicht zuletzt wegen des neuen Cyber Resilience Acts (CRA). Ab dem 11. September 2026 müssen Unternehmen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle über eine zentrale Plattform der ENISA melden. Das klingt erst einmal nach viel Papierkram – aber hey, es geht schließlich um unsere digitale Sicherheit! Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich auf die Fahnen geschrieben, die Sicherheitsstandards zu erhöhen und die Unternehmen bei der Umsetzung zu unterstützen.
Ein Blick auf die jüngsten Entwicklungen zeigt, dass der Cyber Resilience Act nicht das einzige Gesetz ist, das auf uns zukommt. Am 6. Dezember 2025 trat das NIS2-Umsetzungsgesetz (NIS2UmsG) in Kraft. Es verpflichtet mittlere Unternehmen, umfassende Risikomanagement-Maßnahmen zu ergreifen. Dabei sind die Meldefristen klar geregelt: eine erste Warnmeldung innerhalb von 24 Stunden, gefolgt von einer detaillierten Meldung nach 72 Stunden und einem Abschlussbericht nach einem Monat. Und sollte das nicht eingehalten werden, drohen saftige Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Das ist kein Pappenstiel!
Die Bedrohungslage
In der aktuellen Situation sind Unternehmen mehr denn je gefordert. Eine ENISA-Untersuchung aus Juni 2026 zeigt, dass 66 % der Unternehmen sich zwar der neuen Anforderungen bewusst sind, aber nur 13 % verstehen die technische Dokumentation, die notwendig ist, um die neuen Vorschriften umzusetzen. Der Druck wächst und mit ihm auch die Bedrohungen. Besonders alarmierend ist die neue Phishing-Kampagne „EvilTokens“, die es schafft, E-Mail-Filter zu umgehen und Microsoft-365-Konten zu übernehmen. Und dann ist da noch der autonome KI-Ransomware-Agent „JADEPUFFER“, der selbständig Schwachstellen ausnutzen kann. Ein beunruhigendes Szenario, das die Lage für Unternehmen in den Branchen Beratung (75,6 %) und Finanzdienstleistungen (72,8 %) zusätzlich verschärft.
Führende Softwarehersteller sind sich der Herausforderung bewusst und passen ihre Wartungsstrategien an. Microsoft hatte im Juni 2026 einen Rekord-Patchday mit über 200 behobenen Schwachstellen. Cisco hat angekündigt, ab Juli 2026 Sicherheitsupdates im zweiwöchentlichen Rhythmus zu veröffentlichen – eine Reaktion auf die zunehmende Bedrohungslage. Auch Adobe und Oracle haben ihre Update-Zyklen verkürzt. Unternehmen sehen sich gezwungen, in die IT-Sicherheit zu investieren, auch wenn über die Hälfte der befragten Entscheider KI-gestütztes Phishing als größte Sorge einstuft, nur 19 % räumen diesen Investitionen höchste Priorität ein. Irgendwie widersprüchlich, oder?
Regulierung als Chance
Die neuen Gesetze bieten Unternehmen aber auch die Möglichkeit, ihre IT-Sicherheit strukturell und strategisch neu zu verankern. Fachleute empfehlen, die Regulierung als Hebel zu nutzen. Schließlich müssen Unternehmen, die unter die NIS2-Richtlinie fallen, Risikomanagementmaßnahmen umsetzen und überwachen. Der Koordinator der Bundesregierung für Informationssicherheit wird zudem dafür sorgen, dass die Zusammenarbeit zwischen Staat und Wirtschaft gestärkt wird. Auf diese Weise wird nicht nur die IT-Sicherheit in Deutschland verbessert, sondern auch ein einheitlicher Rechtsrahmen für Cybersicherheit innerhalb der EU geschaffen.
Es bleibt spannend zu beobachten, wie sich die Lage weiterentwickeln wird. Die Übergangsfristen für die vollständige Umsetzung des CRA laufen bis Ende 2027, und Hersteller müssen ihre Produkte sicher konfigurieren und Sicherheitsaktualisierungen ermöglichen. Mit den neuen Anforderungen wird eine Transparenz geschaffen, die in der Vergangenheit oft gefehlt hat. Am Ende des Tages sind es jedoch die Unternehmen, die die Verantwortung für ihre Cyber-Sicherheit tragen müssen. Man kann nur hoffen, dass sie dieser Verantwortung gerecht werden, bevor es zu spät ist.
