Der Beschluss der Bundesregierung zum Cyber Resilience Act (CRA) soll die Cybersicherheit digitaler Produkte in Europa stärken, birgt aber laut DIHK die Gefahr, kleine und mittlere Unternehmen zu überfordern. 

Die Deutsche Industrie- und Handelskammer (DIHK) sieht im CRA einen wichtigen Schritt, um europaweit klare Regeln für die Cybersicherheit digitaler Produkte zu schaffen. Gleichzeitig warnt sie vor erheblichen Belastungen für kleine und mittlere Unternehmen (KMU), falls die Vorgaben zu streng umgesetzt werden. Positiv bewertet die DIHK, dass die europäischen Vorgaben weitgehend ohne zusätzliche nationale Ergänzungen in deutsches Recht übernommen werden sollen. Angesichts der bereits bestehenden Anforderungen aus mehreren Digitalrechtsakten sei eine Begrenzung auf das Allernötigste sinnvoll, um die Unternehmen nicht mit weiterer Komplexität zu überlasten.

Viele KMU verfügen nicht über spezialisiertes Personal, das sich ausschließlich um solche regulatorischen Vorgaben kümmern kann. Neue Pflichten wie erweiterte Meldungen oder Dokumentationen könnten sie daher stark belasten. Besonders in der Einführungsphase und bei Erstverstößen müssten die Behörden daher zunächst auf Umsetzung und Orientierung setzen, bevor Strafen oder Eingriffe erfolgen. Klare Prüfungen der Angemessenheit von Maßnahmen sowie Anhörungen der betroffenen Unternehmen seien unerlässlich.

Unternehmen sollten den eigenen Versicherungsschutz rund um Cyberangriffe prüfen. Damit lassen sich die finanziellen Folgen von Angriffen abfedern. Besonders für KMU, die oft über begrenzte Ressourcen verfügen, kann eine solche Versicherung ein wichtiger Baustein sein, um die eigene Existenz zu sichern.