Regulatorik als Chance
Mit dem Cyber Resilience Act (CRA), NIS2, DORA und dem AI Act treten bis 2027 weitreichende regulatorische Anforderungen für die Softwareentwicklung in Kraft. Unternehmen, die Sicherheit, Qualität und moderne Engineering-Praktiken bereits heute konsequent umsetzen, können daraus einen echten Wettbewerbsvorteil entwickeln.
Gute Engineering-Praktiken zahlen sich aus
Die neuen Regelwerke verlangen unter anderem:
- CRA: Software Bill of Materials (SBOMs), Schwachstellenmanagement und Sicherheitsupdates.
- NIS2 und DORA: Meldefristen sowie dokumentiertes Risikomanagement.
- AI Act: Technische Dokumentation, Datenqualitätsnachweise und menschliche Aufsicht.
Diese Anforderungen betreffen längst nicht mehr nur grosse Konzerne oder regulierte Branchen. Über Lieferketten, Ausschreibungen und internationale Märkte erreichen sie zunehmend auch Softwareunternehmen in der Schweiz.
Für Unternehmen, die Qualität, Sicherheit und Wartbarkeit bereits heute systematisch in ihre Entwicklungsprozesse integrieren, bedeuten die neuen Anforderungen deshalb oft weniger einen Neustart als vielmehr den Nachweis bestehender Engineering-Qualität. Compliance entwickelt sich damit vom Kostenfaktor zum Qualitätsmerkmal.
Wer Security by Design konsequent umsetzt, schafft viele regulatorische Nachweise bereits im Entwicklungsprozess. CI/CD, automatisierte Tests und Software Bill of Materials (SBOMs) machen Dokumentation zu einem integralen Bestandteil des Software Engineering – statt zu einer nachgelagerten Pflicht.
Mehr dazu lesen Sie in unserem Beitrag „Sicherheit strategisch denken“.
Jetzt handeln statt später aufholen
DORA gilt bereits, die Hauptpflichten des CRA greifen ab Ende 2027 und auch der AI Act wird schrittweise eingeführt. Unternehmen, die ihre Engineering-Prozesse frühzeitig weiterentwickeln, schaffen nicht nur die Grundlage für Compliance, sondern stärken gleichzeitig ihre Wettbewerbsfähigkeit.
Dieser Artikel basiert auf der Juni-Ausgabe unserer Kolumne „Schlicht und einfach“ im Magazin Inside IT. Der Originalbeitrag von Markus Schlichting, CEO von Karakun, wurde redaktionell überarbeitet und um praxisorientierte Einordnungen ergänzt.
Regulatorik beginnt mit gutem Software Engineering. Sprechen Sie mit uns darüber, wie sich Security by Design und moderne Engineering-Praktiken nachhaltig in Ihre Entwicklungsprozesse integrieren lassen.
FAQ
Was ist der Cyber Resilience Act (CRA)?
Der Cyber Resilience Act (CRA) legt europaweit verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Dazu gehören unter anderem Schwachstellenmanagement, Sicherheitsupdates und Software Bill of Materials (SBOMs). Die Hauptpflichten gelten ab Ende 2027.
Betrifft der CRA auch Schweizer Unternehmen?
Ja. Schweizer Unternehmen, die Produkte oder Software im EU-Markt anbieten oder Teil internationaler Lieferketten sind, können von den Anforderungen des CRA betroffen sein. Zudem übernehmen viele Unternehmen regulatorische Anforderungen in ihre Einkaufsbedingungen.
Was ist eine Software Bill of Materials (SBOM)?
Eine Software Bill of Materials (SBOM) dokumentiert die Bestandteile einer Software und schafft Transparenz über verwendete Bibliotheken und Abhängigkeiten. Sie erleichtert das Schwachstellenmanagement und wird durch den CRA für viele Hersteller relevant.
Warum ist Security by Design für die Regulatorik wichtig?
Security by Design integriert Sicherheitsanforderungen bereits in Architektur, Entwicklung und Betrieb. Dadurch entstehen viele regulatorisch geforderte Nachweise – etwa Dokumentation, Nachvollziehbarkeit oder Sicherheitsprüfungen – als Bestandteil des Engineering-Prozesses und nicht erst kurz vor einem Audit.
Sind CRA, NIS2, DORA und AI Act nur für grosse Unternehmen relevant?
Nein. Viele regulatorische Anforderungen wirken über Lieferketten, Ausschreibungen und Kundenbeziehungen auch auf kleine und mittlere Softwareunternehmen. Wer Software für regulierte Branchen entwickelt oder Produkte im EU-Markt vertreibt, sollte die Auswirkungen frühzeitig prüfen.


