Montag, Oktober 6, 2025
webpionier - KI kuriertes Webmagazin
IT-Sicherheit & Datenschutz

OCCTET unterstützt KMUs: Compliance mit dem Cyber Resilience Act

AI Digital Assistant
AI Digital AssistantAugust 15, 2025No comment
Geschrieben am
In einem modernen, hell erleuchteten Büro strahlt ein kleines Team engagierter Fachleute in entspannter, freundlicher Atmosphäre Zuversicht aus, während sie gemeinsam an digitalen Sicherheitslösungen arbeiten und innovative Open-Source-Tools für KMUs im Zeichen des Cyber Resilience Act entwickeln.

Der Cyber Resilience Act (CRA) wird zur neuen Benchmark für die europäische Cybersicherheitslandschaft. Besonders kleine und mittelständische Unternehmen (KMUs) stehen nun vor der Herausforderung, gesetzeskonform digitale Produkte und Dienstleistungen anzubieten. OCCTET, ein Projekt der Eclipse Foundation, will genau hier ansetzen und KMUs auf dem Weg zur Compliance praxisnah unterstützen.

Was ist der Cyber Resilience Act und warum ist er wichtig?

Am 27. Dezember 2024 trat der Cyber Resilience Act (CRA) der Europäischen Union offiziell in Kraft. Ziel dieser Verordnung ist es, grundlegende Cybersicherheitsanforderungen für sämtliche digitale Produkte und deren Herstellungsprozesse zu definieren. Die Regelung betrifft Hersteller, Händler und Importeur:innen innerhalb der EU und sieht konkrete Pflichten hinsichtlich Sicherheits-by-Design, Schwachstellenmanagement und regelmäßiger Updates vor. Der CRA soll damit nicht nur das Verbrauchervertrauen stärken, sondern auch das Risiko für wirtschaftliche Schäden durch digitale Sicherheitslücken signifikant senken.

Laut dem ENISA Threat Landscape Report 2023 verursachten Ransomware-Angriffe allein im Jahr 2022 wirtschaftliche Schäden in Höhe von über 10 Milliarden Euro in der EU. Ein Großteil dieser Angriffe traf KMUs, denen oft die Ressourcen und das Fachwissen fehlen, um angemessen auf moderne Bedrohungen zu reagieren. Der CRA adressiert dieses Problem gezielt, indem er Mindeststandards für Produktsicherheit vorschreibt – eine Herausforderung, besonders für kleine und mittlere Unternehmen.

OCCTET – Ein europäisches Open-Source-Projekt mit großer Wirkung

OCCTET – kurz für Open Compliance for Cybersecurity Certification and Trustworthiness Evaluation Tools – ist ein Projekt der Eclipse Foundation, das im Zuge der neuen gesetzlichen Anforderung des CRA entstanden ist. Ziel von OCCTET ist es, ein Open-Source-Werkzeug-Ökosystem bereitzustellen, das Unternehmen, insbesondere KMUs, bei der Umsetzung von CRA-konformen Entwicklungs-, Validierungs- und Zertifizierungsprozessen unterstützt.

Gefördert wird OCCTET von der Europäischen Kommission im Rahmen von Horizon Europe, an dem namhafte Partner wie Fraunhofer IESE, Siemens AG, Thales, Schlumberger und Capgemini Engineering beteiligt sind. Der Fokus liegt auf Interoperabilität, automatisierter Risikoanalyse und der Förderung eines europäischen Zertifizierungsrahmens zur Cybersicherheit. Dieses Toolset soll nicht nur die Implementierung erleichtern, sondern auch die Kosten für Compliance messbar senken – entscheidend für ressourcenschwächere KMUs.

Die Eclipse Foundation als Trägerin genießt in der Open-Source-Community hohe Glaubwürdigkeit. Bereits mit Projekten wie Eclipse Oniro oder Sparkplug hat sie erfolgreich Sicherheits- und Interoperabilitätsstandards vorangetrieben. Mit OCCTET positioniert sie sich nun erneut als strategischer Partner für die sichere europäische Digitalwirtschaft.

Wie OCCTET KMUs zur CRA-Compliance befähigt

OCCTET bietet ein modulares Toolset, das Unternehmen dabei hilft, digitale Produkte von Beginn an sicher zu gestalten („security by design“) und die Anforderungen des CRA modellbasiert umzusetzen. Zentral sind drei Ansatzpunkte:

  • Automatisierte Risikoanalyse: KMUs erhalten Zugang zu Werkzeugen zur Bedrohungsmodellierung, um Schwachstellen frühzeitig zu identifizieren.
  • Nachweisführung leicht gemacht: OCCTET unterstützt bei der lückenlosen Dokumentation sicherheitsrelevanter Prozesse und deren Einhaltung über den Produktlebenszyklus – entscheidend für Prüfprozesse.
  • Unterstützung für Zertifizierung: Die Toolchain bietet Schnittstellen zu Zertifizierungsstellen und folgt bereits heute interoperablen Standards, was spätere Audits erleichtert.

Gerade für KMUs ist diese Unterstützung essenziell: Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 2023 verfügen nur rund 27 % der befragten mittelständischen Unternehmen über formale Cybersecurity-Governance-Strukturen. OCCTET adressiert genau diese Lücke.

Praktische Handlungsempfehlungen für KMUs

Für Unternehmen, die sich auf die Umsetzung des CRA vorbereiten möchten, empfiehlt sich ein proaktives Vorgehen. Nachfolgende Tipps helfen beim Einstieg:

  • Frühzeitig analysieren: Identifizieren Sie konkrete Produktlinien, die unter die CRA-Regularien fallen, und analysieren Sie bestehende Sicherheitspraktiken auf Lücken.
  • Toolgestützte Umsetzung: Nutzen Sie OCCTET-Werkzeuge zur Modellierung von Sicherheits- und Compliance-Anforderungen, um Entwicklungszyklen zu verkürzen.
  • Wissensaufbau sichern: Schulen Sie Ihr Entwicklungsteam gezielt in Security-by-Design-Prinzipien und vernetzen Sie sich mit Open-Source-Communities wie der Eclipse Foundation.

Marktperspektiven und regulatorischer Zeitrahmen

Der CRA wird ab Mitte 2026 verbindlich für die meisten digitalen Produkte gelten. Das bedeutet: Unternehmen haben noch knapp ein Jahr Zeit, ihre Prozesse und Produkte CRA-tauglich auszurichten. Wer diese Frist verstreichen lässt, riskiert hohe Bußgelder – zwischen 5 und 15 Millionen Euro oder bis zu 2,5 % des globalen Jahresumsatzes laut Artikel 53 der Verordnung.

Der Bedarf an unterstützenden Lösungen wie OCCTET ist daher enorm. Experten schätzen laut IDC Tech Predictions für 2024, dass bis Ende 2026 mindestens 40 % aller in der EU entwickelten Softwareprodukte eine formale Sicherheitszertifizierung benötigen werden. Gerade Open-Source-Werkzeuge werden dabei als ein entscheidender Hebel gesehen, um das Innovationspotenzial des digitalen Binnenmarktes zu erhalten und gleichzeitig Sicherheitsanforderungen effizient umzusetzen.

Offene Standards als Brücke zwischen Regulierung und Innovation

Ein zentraler Anspruch von OCCTET ist es, bestehende Normen und Frameworks (z. B. NIST SP 800-53, ETSI EN 303 645, ISO/IEC 27001) so zu integrieren, dass eine Brücke zwischen regulatorischen Vorgaben auf EU-Ebene und der tatsächlichen Umsetzung in Unternehmen entsteht. Offene APIs und modellgetriebene Ansätze sorgen dafür, dass Tools flexibel in bestehende Entwicklungsumgebungen eingebettet werden können.

Diese Offenheit ist entscheidend, um einer möglichen Überregulierung entgegenzuwirken und dennoch Sicherheit auf einem einheitlichen europäischen Niveau zu gewährleisten. Die Beteiligung von Industriepartnern und Zertifizierungsstellen an OCCTET demonstriert, dass Wirtschaft und Regulierung im Schulterschluss agieren können – vorausgesetzt, geeignete Werkzeuge und Plattformen sind vorhanden.

Fazit: Zwischen Aufbruch und Verantwortung – Der richtige Zeitpunkt für die Transformation

Die zunehmenden regulatorischen Anforderungen an digitale Sicherheit erfordern neue Strategien, Werkzeuge und Kooperationen – besonders für KMUs. Das Projekt OCCTET gibt einen vielversprechenden Ausblick, wie sich Technologie, Open-Source-Communitys und Unternehmenspraxis synergetisch verbinden lassen, um dem Cyber Resilience Act nicht nur gerecht zu werden, sondern durch die Implementierung sogar Wettbewerbsvorteile zu erzielen.

Wer jetzt mit strukturierten Maßnahmen beginnt, wird nicht nur rechtlich abgesichert sein, sondern seine Produkte zukunftsfähig und vertrauenswürdig gestalten. Der CRA ist keine Bürde – er ist eine Chance zur strategischen Weiterentwicklung. Diskutieren Sie mit uns: Welche Herausforderungen stellen sich Ihrem Unternehmen in Bezug auf den CRA? Welche Tools helfen Ihnen am meisten? Teilen Sie Ihre Erfahrungen in den Kommentaren!

Tags:Content MarketingfeaturedKeyword AnalyseOnline MarketingSuchmaschinenoptimierung
Schreibe ein Kommentar

Schreibe einen Kommentar

You Might Also Like