Cyber Resilience Act: Aktuelle Herausforderungen, Lösungsansätze und AI-Wahnsinn

Maria Christina Sorko

2 Min. Lesedauer

12. GrECo Online-Insight featuring CERTAINITY


Am 11.06.2026 fand das 12. GrECo Online Insight featuring CERTAINITY statt. Im Fokus standen zwei der zentralen Anforderungen des Cyber Resilience Act (CRA): Das Cyber Risk Assessment und das Vulnerability Management.

Michael Brunner, Head des Security Engineering Teams  zeigte, warum diese Themen weit über klassische Security-Management-Aufgaben hinausgehen und welche organisatorischen und methodischen Anforderungen Unternehmen künftig erfüllen müssen. So wurden praxistaugliche Vorgehensweisen zur Durchführung CRA-konformer Risikoanalysen, die Bedeutung einer nachvollziehbaren Dokumentation sowie die Verknüpfung von Risiken, Anforderungen und Maßnahmen betrachtet.

Zudem wurden gezeigt, wo Unternehmen aktuell die größten Herausforderungen bzw. Umsetzungsdefizite haben – etwa bei generischen Risikoanalysen ohne konkretem Produktbezug, bei einer fehlenden Regelmäßigkeit der Assessments oder bei einer mangelnden Nachvollziehbarkeit der getroffenen Entscheidungen und Maßnahmen.

Ein weiterer Schwerpunkt war der Einsatz von Künstlicher Intelligenz im Bereich des Cyber Risk Assessments. Die Einschätzung fiel dabei jedoch eher nüchtern aus: KI kann bereits heute bei der Analyse, Dokumentation und Strukturierung von Informationen unterstützen und Prozesse beschleunigen. Für eine eigenständige, CRA-konforme Risikobewertung fehlen derzeit jedoch die notwendige Nachvollziehbarkeit, Produktkenntnis und Traceability.

Zentrale Learnings:

  • RA-konforme Risk Assessments müssen produktspezifisch, nachvollziehbar und dokumentiert sein
  • Vulnerability Management ist ein kontinuierlicher Prozess über den gesamten Produktlebenszyklus
  • Viele Umsetzungsprobleme entstehen durch fehlende Traceability und unzureichend dokumentierte Entscheidungen
  • KI schafft Effizienzgewinne, ersetzt aber aktuell keine strukturierte und verantwortbare Risikoanalyse

Die wichtigste Erkenntnis: Unternehmen sollten jetzt die Grundlagen schaffen – durch klare Prozesse, eine belastbare Dokumentation und klar definierte Verantwortlichkeiten. KI kann dabei unterstützen, löst die Anforderungen des Cyber Resilience Act aber nicht automatisch.

Falls Sie unser Online-Insight verpasst haben und Interesse an der Aufzeichnung haben, stellen wir Ihnen diese gerne zur Verfügung. Für die Umsetzung präventiver Maßnahmen in Ihrem Unternehmen, entsprechend den Empfehlungen stehen Ihnen unsere Expert:innen gerne zur Verfügung. Kontaktieren Sie uns bitte in beiden Fällen unter:  sales@certainity.com.

CERTAINITY GmbH

Vom ersten Bekanntwerden eines Vorfalls über die Umsetzung erster Maßnahmen bis zur Ursachenanalyse mit moderner Technik ist CERTAINITY ein zuverlässiger Partner.
Sollte der Ernstfall eintreten, können Sie die CERTAINITY erreichen unter
E csirt@certainity.com
T (D-A-CH): 0800 44 30 555
www.certainity.com
https://www.linkedin.com/company/certainity

Andreas Schmitt

Vorstand Risiko- und Versicherungstechnik

T +43 664 962 40 11

Verwandte Branchen und Lösungen

Diesen Artikel teilen

Related

Jahr für Jahr scheinen die Unterschiede zwischen den Anbietern marginal. Doch über Jahrzehnte hinweg addieren sie sich zu einem echten Mehrwert beim Ruhestandsvermögen. Wichtig ist dabei: Wer einen Wechsel plant, sollte bis 30. Juni 2026 aktiv werden, damit der neue Anbieter mit 1. Januar 2027 wirksam wird.
Mit der NIS2-Richtlinie (EU) 2022/2555 und dem österreichischen Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) verändern sich die regulatorischen Anforderungen an Cybersicherheit grundlegend. Unternehmen im Wirkungsbereich sind verpflichtet, technische und organisatorische Maßnahmen umzusetzen, Risiken strukturiert zu managen, Meldeprozesse zu etablieren und die Wirksamkeit ihrer Sicherheitsmaßnahmen nachweisbar sicherzustellen. Auch Governance-Strukturen und Verantwortlichkeiten auf Managementebene rücken stärker in den Fokus.
Belastbare Risikodaten gelten als Grundvoraussetzung im Gewerbe- und Industrieversicherungsgeschäft. In der Praxis entscheidet jedoch weniger die Datenmenge als deren strukturierte Aufbereitung und Bewertung nach den Maßstäben der Versicherer. Warum Risk Engineering, technische Analyse und Werteevaluierung dabei eine zentrale Rolle spielen, erläutert Johannes Vogl im Interview.

Cyber Resilience Act: Aktuelle Herausforderungen, Lösungsansätze und AI-Wahnsinn

Maria Christina Sorko
Mai 19, 2026