.png)
EU Cyber Resilience Act - Richard Neuwirth, ÖBB im Gespräch
Business Circle: Sehr geehrter Herr Ing. Mag. Neuwirth, der Cyber Resilience Act ist seit Ende 2024 in Kraft, vollständig anwendbar wird er ab 11. Dezember 2027. Wie ordnen Sie seine Tragweite für Betreiber kritischer Infrastrukturen wie die ÖBB ein: echter Sicherheitsgewinn oder nur neue hinderliche Regulatorik?
Richard Neuwirth: Der CRA möchte die Sicherheit von Produkten mit digitalen Elementen erhöhen und sieht dafür spezifische Anforderungen und auch hohe Geldbußen bei Verstößen vor. Die EU Verordnung wird mittelfristig zur Erhöhung der Cyber Resilienz gerade auch in der Lieferkette beitragen und beim Thema Nachweis der Lieferkettensicherheit im Hinblick auf NIS-2 kann der CRA sicherlich auch Organisationen unterstützen. Das ist auch überaus wichtig. Die ÖBB sind Teil der kritischen Infrastruktur, daher bekennen wir uns selbstverständlich zu einer wirkungsvollen und verhältnismäßigen Regulierung, die das Wirtschaftssystem stärkt.
Der Rechtsakt bringt aber auch zusätzlichen Aufwand mit sich, etwa durch Konformitätsbewertungsverfahren und Dokumentation. Kritisch sehe ich vor allem das Thema der Entwicklung und Bereitstellung von Produkten mit digitalen Elementen innerhalb von Konzerngesellschaften. Dass es hier keine Erleichterung gibt, selbst wenn die herstellende Gesellschaft NIS-2 unterliegt und das Produkt nur im Konzern eingesetzt wird, lässt im Ergebnis einen hohen bürokratischen Mehraufwand befürchten, der keinen echten Sicherheitsgewinn erwarten lässt. Eingesetzte Produkte und Lösungen müssen natürlich bereits jetzt Sicherheitsstandards entsprechen, künftig sind hier die Pflichten aus dem CRA ebenfalls noch zu berücksichtigen, wenn ein Produkt von einer Konzerngesellschaft entwickelt und einer anderen bereitgestellt wird.
BC: In unserem letzten Interview zur KI-Verordnung sprachen wir über Governance als „Übersetzung“ von Regulierung in praktikable Unternehmensprozesse. Welche Herausforderungen gehen mit dem CRA einher und wie kann gegengesteuert werden?
Neuwirth: Der CRA definiert den Begriff des Produkts sehr weit und demzufolge besteht ein weiter Anwendungsbereich. Es sind zwar Anforderungen normiert, die inhaltlich der Informationssicherheit zugeordnet werden können, aber der CRA sollte keineswegs als rein technische Vorgabe gesehen werden oder als Verordnung, die „nur die IT“ einhalten muss. Es handelt sich vielmehr um eine Rechtsnorm, die ein übergreifendes Handeln in Organisationen erfordern.
Der CRA verlangt nicht etwa nur technische Sicherheitsmaßnahmen, sondern auch organisatorische Verantwortung – etwa durch klare Zuständigkeiten, der Sicherstellung von Meldepflichten und eines kontinuierlichen Schwachstellenmanagements. Wird dies nicht in die Governance-Strukturen integriert und in die Praxis übernommen, drohen Lücken. Es gibt aber in der Praxis noch Abgrenzungsfragen und diese Rechtsunsicherheiten wirken sich natürlich auch auf Governance Themen aus.
Wichtig ist also zunächst, die Zuständigkeiten zu definieren und die Anforderungen des CRA in die bestehenden internen Anforderungen zu integrieren. Zudem sind die betroffenen Produkte zu ermitteln und für diese eine Gap Analyse zu den Anforderungen durchzuführen.
BC: Wie verändert der CRA Anforderungen an die Lieferkette – insbesondere im Hinblick auf Transparenz, Sicherheitsnachweise und vertragliche Verpflichtungen?
Neuwirth: Durch den CRA werden Lieferketten transparenter und sicherheitsorientierter gestaltet werden müssen. Das bedeutet beispielsweise: Lieferanten werden SBOMs führen, ein Schwachstellenmanagement betreiben, Meldepflichten sicherstellen und Sicherheitsupdates bereitstellen müssen.
Vertraglich wird es mitunter nötig sein, neue Klauseln zu integrieren, die CRA-relevante Pflichten regeln – etwa zur Meldepflicht oder zur Einhaltung von „Security by Design“-Prinzipien. Und auch konzernintern wird es diesbezüglich nötig sein, konforme und pragmatische Lösungen zu finden.
Tone-from-the-top
BC: Welche Rolle spielt die Geschäftsführung bzw. das Top-Management bei der Umsetzung des CRA – und wie kann sichergestellt werden, dass das Thema nicht auf operativer Ebene „hängen“ bleibt?
Neuwirth: Das Top Management spielt auch hier eine zentrale Rolle – vor allem auch als strategischer Partner und Treiber. Wichtig ist die Entscheidung über Zuständigkeiten im Unternehmen und ob es initial ein Projekt zur Verankerung der Anforderungen und Sicherstellung der Einhaltung des CRA benötigt, oder die Anpassungen direkt in der Linie – bspw. in einer übergreifenden Arbeitsgruppe – erarbeitet werden. In beiden Fällen empfiehlt sich ein offizieller Auftrag durch das Top Management und die Einbeziehung in Form eines regelmäßigen Reportings. Der CRA sollte jedenfalls nicht als „reines IT-Thema“ behandelt werden, sondern als unternehmensweite Herausforderung.
BC: Wenn Sie Vorständen einen groben Plan zum Thema CRA geben müssten: Welche Schritte sollten zuerst gemacht werden?
Neuwirth: Man sollte mit diesen vier Schritten beginnen:
1. Verantwortlichkeiten im Unternehmen festlegen und Ressourcen einplanen bzw. bereitstellen. Ein übergreifendes Format wäre für die Aufgleisung des Themas und Abarbeitung der Tasks sinnvoll. Es müssen Entwickler und Product Owner ebenso abgeholt werden, wie Beschaffung, Recht und weitere Stakeholder – bis hin zu relevanten Lieferanten.
2. Relevante Produkte identifizieren, den Kategorien des CRA zuordnen und die Risikoanalysen durchführen.
3. CRA-Gap-Analyse starten: Wo bestehen bereits Konformitäten, wo sind Lücken? Fokus auf Produktportfolio, Lieferanten, Prozesse (Entwicklung, Konformitätserklärung, Schwachstellenmanagement).
4. Gaps schließen und Changes in der Linientätigkeit begleiten.
BC: Sehr geehrter Herr Ing. Mag. Neuwirth, wir danken Ihnen für dieses Gespräch und freuen uns, Sie wieder zur PriSec zu begrüßen!
.png)
.jpg)
