Cyber Resilience Act (CRA): Was Banken und Versicherungen jetzt wissen müssen

Was ist der Cyber Resilience Act (CRA)? 

Der CRA schafft europaweit einheitliche Anforderungen an Cybersicherheit für alle „Produkte mit digitalen Elementen“. Das betrifft jede Form von Software oder Hardware, einschließlich sogenannter „Datenfernverarbeitungslösungen“ (engl.: remote data processing solutions) – also Produkte, die Daten nicht nur lokal, sondern auch über Netzwerke verarbeiten, wie z. B. in der Cloud. Ausgenommen vom CRA ist Software-as-a-Service (SaaS), wobei hier aus unserer Sicht noch eine Abgrenzung erfolgen muss, um Klarheit zu bekommen.  

Der CRA verlangt sichere Produktentwicklung, systematisches Schwachstellenmanagement (engl.: vulnerability management) sowie regelmäßige Bereitstellung von Sicherheitsupdates. Darüber hinaus müssen Hersteller und Vertreiber nachweisen, dass ihre Produkte alle Anforderungen erfüllen. Dafür schreibt der CRA Konformitätsbewertungen und eine CE-Kennzeichnung für den EU-Marktzugang vor. Zudem gibt es klare Melde- und Dokumentationspflichten. Bei Verstößen drohen für die betroffenen Unternehmen Sanktionen.  

Der CRA verfolgt einen risikobasierten Ansatz, bei dem die Produkte in drei Klassen unterteilt werden: kritische Produkte, wichtige Produkte (mit zwei Unterklassen) und sonstige Produkte. Je nach Kategorie gelten unterschiedliche Anforderungen insbesondere bezüglich der Konformitätsbewertungen. 

Diese Termine sind im Kontext des Cyber Resilience Act wichtig 

Der CRA ist bereits im Dezember 2024 in Kraft getreten. Für eine pflichtmäßige Einhaltung des CRA sind jetzt zwei Termine wichtig: Die Meldepflichten für Sicherheitsvorfälle beginnen voraussichtlich ab dem 11.9.2026 und alle Anforderungen des CRA sind ab dem 11.12.2027 verbindlich. 

Das bedeutet der Cyber Resilience Act für den Finanzsektor 

Der CRA reguliert nicht direkt die Finanz- und Versicherungsinstitute, sondern die von ihnen auf dem EU-Markt angebotenen Produkte (Hardware und Software). Im Gegensatz z.B. zu DORA, denn hier stehen die Finanzinstitute selbst im Fokus, etwa im Hinblick auf das Management von Risiken für IKT (Informations- und Kommunikationstechnologien) oder beim Umgang mit Drittparteien. 

Bietet also ein Finanz- oder Versicherungsinstitut beispielsweise eine Mobile App in der EU an, fällt diese App in den Geltungsbereich des CRA. Nur wenn ein Institut keine digitalen Produkte im Markt bereitstellt, greift der CRA nicht – das dürfte in der Praxis ein unwahrscheinliches Szenario sein. Vom CRA ausgenommen sind hingegen jene Produkte, die ein Unternehmen für den eigenen Gebrauch entwickelt und einsetzt, ohne diese dem Markt zur Verfügung zu stellen. 

Welche finanzrelevanten digitalen Produkte sind vom Cyber Resilience Act betroffen? 

Viele Produkte, die von Finanz- und Versicherungsinstituten angeboten werden, müssen künftig die Cybersicherheitsstandards des CRA erfüllen, wenn sie auf dem EU-Markt angeboten werden. Dazu zählen unter anderem: 

• Kernbankensysteme, 
• Handelsplattformen, 
• Schadenmanagement-Anwendungen, 
• Zahlungsterminals, 
• Cloud-basierte Produkte,  
• Sicherheitsgeräte und viele weitere. 

Auch alle digitalen Produkte im Kontext von Banking- oder Versicherungsplattformen für Endverbraucher gehören dazu. Ein Blick in den deutschen iOS-App-Store zeigt: Dutzende Apps der großen Banken und Versicherungen sind mit hoher Wahrscheinlichkeit betroffen und fallen in den Anwendungsbereich des CRA. 

Sonderfall: Interne IT-Dienstleister und der Cyber Resilience Act 

Auch interne IT-Dienstleister innerhalb eines Konzerns können vom CRA betroffen sein – vorausgesetzt, sie sind als eigenständige Rechtsträger (engl.: legal entity) organisiert. Bietet ein solcher „interner“ IT-Dienstleister beispielsweise eine IAM-Software (Identity and Access Management) für andere Gesellschaften des Konzerns an, wird diese Bereitstellung aller Voraussicht nach ähnlich behandelt wie der Verkauf auf dem offenen Markt. Die Software muss dann die Anforderungen des CRA grundsätzlich erfüllen und gilt als „wichtiges Produkt mit digitalen Elementen“. 

Das ist gerade für IT-Dienstleister relevant. Denn der CRA zielt nicht darauf ab, wer ein Produkt anbietet oder nutzt, sondern dass ein solches digitales Produkt überhaupt zur Verfügung gestellt wird – auch innerhalb eines Konzerns. Dadurch greift der CRA über klassische externe Geschäftsbeziehungen hinaus und bezieht auch interne Kooperationen zwischen rechtlich separaten Konzerngesellschaften mit ein. Für viele interne IT-Dienstleister entsteht so eine zusätzliche Verantwortung, die über bestehende Regelungen wie NIS2 hinausgeht. 

Was sollten Unternehmen nun tun? 

Wir empfehlen unseren Kunden, das Thema CRA auf die Tagesordnung zu setzen, auch wenn die Kapazitäten vieler Unternehmen immer noch mit DORA oder NIS2 ausgeschöpft sind. Im ersten Schritt sollte im Unternehmen die nötige Sensibilisierung geschaffen und ein erster Überblick über die auf dem Markt verfügbaren Produkte gewonnen werden. Wird eine (erste) Betroffenheit festgestellt, sollte ein Projektplan zur Erreichung von CRA-Konformität erstellt werden, um das Thema fristgerecht umsetzen zu können.  

Fazit 

Der CRA ergänzt die bestehenden sektorspezifischen Finanzmarktregulierungen sinnvoll, ohne sie zu ersetzen. Er erweitert die Anforderungen aus anderen Regulierungen wie DORA und auch NIS2, indem er zusätzliche Maßstäbe speziell für die Sicherheit und Resilienz digitaler Produkte festlegt. 

Finanz- und Versicherungsunternehmen müssen spätestens jetzt mit der Analyse und Umsetzung der CRA-Anforderungen beginnen. Wer zu spät reagiert, riskiert nicht nur Sanktionen, sondern im schlimmsten Fall sogar den Entzug der Marktzulassung für die betroffenen digitalen Produkte (z.B. Banking Apps). Das gilt auch für konzerninterne IT-Dienstleister, sofern sie digitale Produkte im Sinne des CRA an für andere Unternehmen der Gruppe bereitstellen. 

Gemeinsam mit Ihnen stellen wir die Weichen für nachhaltige digitale Resilienz. Wir begleiten Sie praxisnah bei der Umsetzung des CRA – sprechen Sie uns gerne an.