Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.

Der Cyber Resilience Act (CRA) ist kein weiteres Papiermonster, das man in einer stillen Stunde „irgendwann“ abarbeitet. Er ist die neue Realität für jedes vernetzte Produkt, jede Software, jeden Smart-Dienst: Ohne systematische Cybersicherheit kein Marktzugang. Punkt. Die gute Nachricht: Wer die richtigen Stellhebel kennt, kann in erstaunlich kurzer Zeit aus lose verteilten Sicherheitsinitiativen ein belastbares System formen – belastbar genug, um Prüfern standzuhalten, Kunden zu beruhigen und Krisen kommunikativ zu überleben.

Dieser Text ist Ihr 10-Minuten-Plan. Kein juristisches Gutachten, sondern eine handfeste, operativ gedachte Anleitung. Zehn Minuten Lektüre, zehn zentrale Schritte – und Sie wissen, wo Sie stehen, was fehlt und wie Sie jetzt zügig (und glaubwürdig) auf CRA-Kurs kommen.

Der Cyber Resilience Act (CRA) ist die EU-Regel, die aus „nice to have Security“ eine Marktzulassungsbedingung macht. Er betrifft praktisch alle Produkte mit digitalen Elementen – vom smarten Thermostat über Industriesteuerungen bis zur Desktop-App. Und er ändert, wie Sie planen, bauen, ausliefern und pflegen. Hier ist der verständliche, praxisnahe Überblick: Was verlangt der CRA? Wen trifft er? Was müssen Sie jetzt umstellen, damit Features morgen nicht zu Haftung werden?

1) Der CRA in einem Satz

Der CRA verpflichtet Hersteller, Importeure und Händler, cybersichere Produkte zu entwickeln, Sicherheitsrisiken über den gesamten Lebenszyklus zu managen, Schwachstellen zügig zu beheben, Updates bereitzustellen und das alles nachweisbar zu dokumentieren – sonst drohen Bußgelder, Vertriebsstopps und Rückrufe.

Ein Audit ist für viele Unternehmen wie eine Mischung aus Zahnarzttermin und Bewerbungsgespräch: Man weiß, dass es wichtig ist, man weiß, dass es nicht ausbleibt – und trotzdem sorgt der Gedanke daran bei manchen für Nervosität. Ob es sich um ein ISO-27001-Audit, eine BSI-Prüfung, eine NIS2-Überprüfung, ein Lieferantenaudit oder ein internes Review handelt: Audits sind keine reinen Kontrollübungen, sondern strukturierte Chancen, die eigene Organisation auf den Prüfstand zu stellen, Schwachstellen zu erkennen und Verbesserungen einzuleiten. Der Schlüssel zum Erfolg liegt in der Vorbereitung – und zwar nicht nur in der Dokumentenpflege, sondern vor allem in der mentalen und organisatorischen Einstellung des gesamten Teams. Wer Audits als wiederkehrenden Prozess begreift, dem gelingt etwas Entscheidendes: Prüfungen werden kalkulierbar, vorhersehbar und produktiv.

Was wird eigentlich geprüft? Auditarten, Erwartungen, Spielregeln

Bevor man in das „Wie“ der Vorbereitung einsteigt, hilft ein klarer Blick auf das „Was“. Ein Zertifizierungsaudit (z. B. ISO 27001) verifiziert, ob das Managementsystem normkonform geplant, umgesetzt, überwacht und verbessert wird. Ein Überwachungsaudit prüft in kürzerem Takt die Wirksamkeit und die Beibehaltung des Niveaus. Rezertifizierungen gehen wieder tiefer. BSI-Prüfungen oder aufsichtsrechtliche Reviews (z. B. MaRisk, MaGO, BAIT/VAIT/DORA-Bezüge) haben teilweise andere Schwerpunkte, bleiben methodisch aber ähnlich: Es wird anhand von Dokumenten, Interviews und Stichproben beurteilt, ob Prozesse wie beschrieben funktionieren und Risiken im Griff sind. Kunden- und Lieferantenaudits fokussieren zusätzlich die Vertragserfüllung, Informationssicherheit in der Lieferkette und Servicequalität.

Stell dir vor, dein Auto kennt dich besser als deine Werkstatt. Dein Staubsauger weiß, wie du wohnst. Deine Armbanduhr kennt deine Fitnesskurve, deinen Stresslevel und manchmal sogar deinen Schlafrhythmus präziser als du selbst. All diese Geräte erzeugen Daten – über dich, durch dich, mit dir. Bisher lagen diese Daten oft in den Silos der Hersteller: schwer zugänglich, teils in intransparenten Formaten, vertraglich eingeschlossen. Mit dem EU Data Act will Europa das ändern. Der Slogan klingt verheißungsvoll: „Deine Daten, deine Wahl.“ Aber was bedeutet das konkret für Verbraucherinnen und Verbraucher? Welche Vorteile verspricht das Gesetz – und wo lauern Fallstricke?

Dieser Artikel führt dich durch die Chancen und Risiken des Data Act aus Kundensicht. Ohne Juristendeutsch, aber mit Substanz. Mit vielen Beispielen aus dem Alltag – vom smarten Auto über die vernetzte Küche bis zur Cloud, die plötzlich nicht mehr festgeschraubt ist. Und mit einem Blick darauf, was du schon heute vorbereiten kannst, um die neuen Rechte wirklich zu nutzen.