BREAKING
Zero-Day in Microsoft Exchange – BSI warnt vor aktiver Ausnutzung EU Cyber Resilience Act tritt in Kraft – neue Pflichten für Softwarehersteller Palo Alto Networks akquiriert Cloud-Security-Startup für $1,2 Mrd. CrowdStrike übertrifft Q4-Erwartungen – ARR steigt auf $4,24 Mrd.

EU Cyber Resilience Act tritt in Kraft – neue Pflichten für Softwarehersteller

Clara
3 min read
EU Cyber Resilience Act tritt in Kraft – neue Pflichten für Softwarehersteller

Am 10. Dezember 2024 trat der EU Cyber Resilience Act (CRA) als Regulation (EU) 2024/2847 in Kraft – und löste damit eine neue regulatorische Zeitbombe für Softwarehersteller, IoT-Anbieter und Hardwareproduzenten weltweit aus. Für Cybersecurity-Investoren ist der CRA nicht nur eine Compliance-Geschichte, sondern ein massiver struktureller Wachstumstreiber.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act ist die erste EU-weite Verordnung, die verbindliche Cybersecurity-Anforderungen für Produkte mit digitalen Elementen einführt – also für nahezu jede Software, jede vernetzte Hardware und jedes IoT-Gerät, das auf dem europäischen Markt verkauft wird. Die Verordnung gilt für Hersteller, Importeure und Händler.

Die zentralen Anforderungen umfassen:

  • Security by Design: Cybersicherheit muss bereits in der Produktentwicklung verankert sein, nicht nachträglich aufgepatcht werden
  • Schwachstellenmanagement: Hersteller müssen Sicherheitsupdates über den gesamten Produktlebenszyklus bereitstellen – mindestens fünf Jahre
  • Transparenz: Software Bill of Materials (SBOM) für alle verwendeten Komponenten; Dokumentation aller bekannten Schwachstellen
  • Incident Reporting: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die ENISA (EU-Cybersicherheitsbehörde) gemeldet werden
  • Konformitätsbewertung: Kritische Produkte benötigen unabhängige Drittprüfung (ähnlich dem CE-Zeichen)

Die Zeitachse: Was wann gilt

Der CRA folgt einem gestaffelten Umsetzungsplan, der Herstellern Zeit zur Anpassung gibt:

  • 10. Dezember 2024: Inkrafttreten der Verordnung (Regulation (EU) 2024/2847)
  • 11. September 2026: Reporting-Pflichten werden verbindlich – Hersteller müssen aktiv ausgenutzte Schwachstellen melden
  • 11. Dezember 2027: Vollständige Anwendung aller Hauptpflichten; ab diesem Datum müssen alle betroffenen Produkte CRA-konform sein

Die Klassifizierung der Produkte bestimmt die Strenge der Anforderungen: Standardprodukte (Klasse I) müssen sich selbst zertifizieren; kritische Produkte (Klasse II) wie Firewalls, Intrusion Detection Systeme oder industrielle Steuerungssysteme benötigen externe Prüfung.

Strategischer Kontext: Warum der CRA ein Gamechanger ist

Die regulatorische Wirkung des CRA geht weit über Europa hinaus. Da Unternehmen, die auf dem EU-Markt tätig sein wollen, die Verordnung einhalten müssen, entsteht de facto ein globaler Standard – ähnlich wie die DSGVO (GDPR) die globale Datenschutzdebatte geprägt hat. US-amerikanische, asiatische und chinesische Hersteller, die Europa-Geschäft betreiben, müssen ihre Entwicklungsprozesse anpassen.

Für die Software-Industrie bedeutet der CRA einen Paradigmenwechsel: Cybersicherheit ist nicht länger optional oder eine Marketingbotschaft – sie wird zur rechtlichen Haftungsfrage. Unternehmen, die gegen den CRA verstoßen, riskieren Bußgelder von bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Marktanalyse: Welche Unternehmen profitieren?

Für Cybersecurity-Investoren ist der CRA ein echter Katalysator. Die Verordnung erzwingt strukturelle Investitionen in Sicherheitsarchitekturen – und schafft damit Umsatzchancen für eine Reihe von Marktplayern:

1. Compliance- und Testing-Plattformen

Unternehmen wie Qualys, Tenable und Rapid7 bieten Schwachstellenscanning und Compliance-Management-Lösungen an. Mit dem CRA steigt die Nachfrage nach kontinuierlichem Vulnerability Assessment massiv – insbesondere in Branchen, die bislang Security-Tests eher sporadisch durchgeführt haben.

2. SBOM- und Supply-Chain-Security-Spezialisten

Die Pflicht zur Software Bill of Materials (SBOM) treibt die Nachfrage nach Werkzeugen, die Software-Lieferketten analysieren und dokumentieren. Startups wie Anchore, Veracode und das mittlerweile von Palo Alto Networks übernommene Cider Security profitieren von diesem Trend.

3. Application Security (AppSec)

"Security by Design" als Pflicht bedeutet, dass Softwareentwickler Security-Tools direkt in ihre Entwicklungspipelines integrieren müssen. Snyk, Checkmarx, Synopsys und Veracode sind hier führend. Der AppSec-Markt könnte durch den CRA einen Nachfrageschub von 20-30% in Europa erfahren.

4. IoT Security-Spezialist

Der CRA trifft besonders hart die IoT-Branche: Smarthome-Geräte, industrielle Steuerungssysteme und medizinische Geräte fallen unter die Verordnung. Anbieter von IoT-Security wie Armis, Claroty und Nozomi Networks können mit erheblich wachsender Nachfrage rechnen.

5. Etablierte Plattform-Anbieter

Palo Alto Networks und CrowdStrike – beide im Portfolio des Cybersecurity Leaders Fonds – profitieren indirekt über mehrere Kanäle: Erstens steigt der allgemeine Sicherheitsbudget-Druck durch CRA, was Enterprise-Security-Ausgaben treibt. Zweitens positionieren sich beide Unternehmen aktiv als CRA-Compliance-Enabler für ihre Kunden. CrowdStrikes Falcon-Plattform bietet umfassende Vulnerability-Management- und Incident-Response-Funktionalitäten, die CRA-Meldepflichten unterstützen.

Investment-Thesis: Regulatorik als struktureller Rückenwind

Regulatorische Anforderungen sind für Cybersecurity-Unternehmen traditionell ein zuverlässiger Wachstumstreiber. Die DSGVO hat 2018 die Ausgaben für Datenschutz-Tools und -Beratung drastisch erhöht. Der CRA dürfte eine ähnliche Katalysatorwirkung für Security-by-Design-Tools, Vulnerability-Management und Compliance-Plattformen entfalten.

Besonders interessant ist die Zeitachse: Mit dem vollständigen Inkrafttreten der Hauptpflichten am 11. Dezember 2027 bleiben Unternehmen rund drei Jahre, um ihre Produkte CRA-konform zu machen. Dieser Zeitdruck erzeugt einen Ausgaben-Ramp von jetzt bis Ende 2027 – was für einschlägige Anbieter mehrere Quartale nachhaltigen Nachfrageüberschusses bedeuten könnte.

Der Cybersecurity Leaders Fonds beobachtet den CRA als einen der wichtigsten regulatorischen Treiber für das Cybersecurity-Segment in den nächsten Jahren. Unsere Portfolio-Unternehmen CrowdStrike und Palo Alto Networks sind als Compliance-Enabler gut positioniert. Wir prüfen darüber hinaus gezielt Investments in AppSec- und Supply-Chain-Security-Spezialistenunternehmen, die vom CRA-Umsetzungszwang überproportional profitieren werden.

Fazit

Der EU Cyber Resilience Act markiert das Ende der Ära, in der Cybersicherheit eine freiwillige Zusatzoption war. Mit dem Inkrafttreten am 10. Dezember 2024 hat die EU einen globalen Standard gesetzt, der Hersteller weltweit zu massiven Investitionen in ihre Sicherheitsarchitekturen zwingt.

Für Cybersecurity-Investoren ist das eine außergewöhnliche Konstellation: Regulatorischer Druck trifft auf wachsende Bedrohungslandschaft und anhaltende Budgetsteigerungen – ein Umfeld, das strukturell starkes Wachstum für einschlägige Unternehmen begünstigt.

Quellen: Europäische Kommission (digital-strategy.ec.europa.eu), Regulation (EU) 2024/2847 im Amtsblatt der EU, ENISA (Europäische Agentur für Cybersicherheit), OpenSSF (Open Source Security Foundation), European Cyber Resilience Act Compliance-Ressource (european-cyber-resilience-act.com). Alle regulatorischen Daten basieren auf dem offiziellen EU-Gesetzestext.

Teilen:
// Investment Insights

Wöchentliche Cybersecurity-Investment-Einblicke erhalten.

Für Investoren, Analysten und Entscheider, die den Cybersecurity-Markt verfolgen.

Kostenlos abonnieren

Verwandte Artikel