Lieferketten werden zur Managementaufgabe

Der Cyber Resilience Act & die EU-Maschinenverordnung verschieben Cyber Security aus der IT-Ecke direkt in die Verantwortung von Geschäftsführung, Produktverantwortlichen und Compliance. 

Es geht nicht mehr nur um technische Absicherung – sondern um unternehmerisches Risiko entlang der gesamten Wertschöpfungskette. 

Die zentrale Frage lautet nicht länger: 

„Ist unser Produkt sicher?“ 

Sondern: 

„Können wir nachweisen, dass unsere gesamte Lieferkette sicher ist – und wer trägt die Verantwortung, wenn nicht?“ 

Damit wird Cyber Security zur entscheidungsrelevanten Größe für Haftung, Marktzugang und Wettbewerbsfähigkeit. 

Cyber Resilience Act Anforderungen verändern Lieferketten grundlegend

Die Cyber Resilience Act Anforderungen zwingen Unternehmen dazu, ihre Lieferketten neu zu bewerten: 

• Jede Software-Komponente wird zum potenziellen Risiko  

• Jeder Zulieferer zum Teil der eigenen Compliance  

• Jede Schwachstelle zum möglichen Haftungsfall 
  

Das verändert die Realität für Hersteller und Integratoren grundlegend: 
Compliance endet nicht mehr an der eigenen Systemgrenze.

Gleichzeitig ergibt sich eine große Chance:  
Unternehmen, die ihre historisch gewachsenen Lieferketten transparent machen, gewinnen Steuerbarkeit, Vergleichbarkeit und Planungssicherheit in Bezug auf global verteilte Cyber Security Lieferketten. 

Zwei Regelwerke – ein unternehmerisches Ziel

Cyber Resilience Act: Kontrolle über digitale Risiken

Der Cyber Resilience Act verpflichtet Unternehmen zu: 

• Security by Design in der Produktentwicklung

• kontinuierlichem Schwachstellen- und Patchmanagement

• belastbaren Nachweisen gegenüber Behörden und Kunden

Besonders kritisch:
Unternehmen haften auch für Risiken, die durch fremde Software oder Komponenten entstehen.

EU-Maschinenverordnung: Cyberrisiken werden Sicherheitsrisiken

Mit der neuen Verordnung wird klar: Cyberangriffe sind keine IT-Probleme mehr – sondern Sicherheitsrisiken für Mensch und Betrieb. 

Vernetzte Maschinen, Remote-Zugriffe und softwarebasierte Steuerungen führen dazu, dass:

• Manipulationen reale Schäden verursachen können

• Sicherheitslücken regulatorisch relevant werden

• Cyber Security Teil der CE-Konformität ist

Für Unternehmen entsteht dadurch mehr Klarheit, unter „Sicherheit“ heute tatsächlich verstanden wird –technisch, organisatorisch und regulatorisch.

Das Zusammenspiel: Wo Risiko real wird

In der Praxis greifen beide Regelwerke ineinander: 

• Die Maschinenverordnung definiert was sicher sein muss

• Der CRA definiert wie Cyber Security Lieferkette sichergestellt wird

Für Entscheider bedeutet das: Technische Risiken werden zu Geschäftsrisiken
Und genau hier entsteht Handlungsdruck.

Verantwortung entlang der Lieferkette: Haftung ist nicht delegierbar 

Ein zentraler Irrtum: Risiken lassen sich auslagern. 

Die Realität unter CRA und Maschinenverordnung:

Verantwortung bleibt beim Inverkehrbringer bzw. Integrator. 

Typische Auswirkungen: 

• Komponentenhersteller müssen Security nachweisen  

• Zulieferer werden Teil der Audit- und Dokumentationspflicht  

• Integratoren tragen die Gesamtverantwortung  

Die entscheidende Frage wird damit strategisch: 

Wer trägt das Risiko – und kannst du es im Zweifel belegen? 

Von Compliance zu Steuerung: Was jetzt konkret zu tun ist 

Unternehmen, die früh handeln, reduzieren nicht nur Risiko – sie gewinnen Handlungsspielraum. 

Zentrale Hebel für die Umsetzung:

1. Transparenz über die Cyber Security Lieferkette schaffen 

• Welche Software und Komponenten sind im Einsatz?  
• Wo bestehen Abhängigkeiten?  
• Welche Risiken sind aktuell unbekannt?

Ohne Transparenz keine Steuerung – und keine Compliance. 

 2. Anforderungen systematisch in Einkauf & Entwicklung integrieren

• Sicherheitsanforderungen werden Teil von Lieferantenverträgen  
• Cyber Security wird zur festen Größe im Entwicklungsprozess  
• Risiken werden früh bewertet – nicht erst im Audit  

Das entlastet Projekte und reduziert spätere Korrekturen erheblich. 

 3. Nachweisfähigkeit sicherstellen

• Dokumentation muss prüfbar und vollständig sein  
• Entscheidungen müssen nachvollziehbar bleiben  
• Prozesse müssen auditfähig aufgebaut sein 

Der Fokus liegt nicht allein auf Sicherheit, sondern auf belegbarer Sicherheit. 

4. Schwachstellenmanagement operationalisieren

• Klare Prozesse für Updates und Patches  
• Definierte Verantwortlichkeiten  
• Reaktionsfähigkeit im Ernstfall 

So wird Cyber Security vom Einmalprojekt zum stabilen Betriebsprozess. 

Compliance Beratung IT: Warum externe Perspektive entscheidend ist

Viele Unternehmen stehen vor denselben Herausforderungen: 

• regulatorische Komplexität  

• fehlende Ressourcen  

• Unsicherheit bei der Priorisierung  

Eine gezielte IT Beratung hilft dabei: 

• Anforderungen richtig einzuordnen  

• Risiken realistisch zu bewerten  

• pragmatische Umsetzungsstrategien zu entwickeln  

Der entscheidende Unterschied: 
Es geht nicht um maximale Absicherung, sondern um eine wirtschaftlich sinnvolle Risikosteuerung mithilfe verlässlicher und erfahrener Partner. 

Mittelstand im Fokus: Zwischen Druck und Chance 

Gerade mittelständische Unternehmen spüren die neuen Anforderungen deutlich: 

• steigende Anforderungen bei begrenzten Ressourcen  

• Abhängigkeit von Zulieferern  

• hoher Umsetzungsdruck  

Doch genau hier liegt auch die Chance: 

Unternehmen, die jetzt Struktur schaffen, können: 

• schneller auf Anforderungen reagieren  

• Vertrauen bei Kunden und Partnern aufbauen  

• sich als verlässlicher Anbieter positionieren  

Cyber Resilienz wird zum Wettbewerbsvorteil 

Der eigentliche Wandel ist strategisch: 

Cyber Security wird vom Kostenfaktor zum Differenzierungsmerkmal. 

Unternehmen, die heute: 

• deine Lieferketten aktiv steuern  

• Risiken transparent machen  

• Cyber Security in ihre Strategie integrieren  

werden morgen: 

• schneller zertifizierbar sein  

• weniger Haftungsrisiken tragen  

• mehr Vertrauen im Markt gewinnen  

Quelle:

Daniel Scherer
Manager Cyber Security Services WK IT GmbH

„Ich bin Manager Cyber Security Services bei WK IT GmbH. Anfänglich in der Softwareentwicklung, habe ich meine IT-Erfahrungen als System- und Netzwerkadministrator, Service- und Operationsmanager gesammelt. Es folgten Design und Aufbau von SOC-Infrastrukturen, Rollen als Information Security Officer und Information Security Consultant. Heute begleite ich unsere Kunden in allen Fragen der Informationssicherheit und Cybersecurity von Governance bis Response„. 

Zu meinem LinkedIn Account