Wie man ein effektives CRA-Programm richtig aufsetzt: Programmsteuerung statt Aktionismus

Verfasst von Igor Kraut

Der Cyber Resilience Act (CRA) ist kein weiteres Compliance-Thema, das sich mit ein paar Richtlinien und Tools abhaken lässt. Er zwingt Unternehmen dazu, Sicherheit strukturell in ihre Produkte, Prozesse und Organisation zu integrieren.

Genau hier scheitern viele Organisationen.
Nicht, weil ihnen das fachliche Wissen fehlt - sondern weil sie das Thema falsch angehen: zu technisch, zu fragmentiert, zu operativ. Einzelmaßnahmen werden gestartet, Verantwortlichkeiten bleiben unklar, und am Ende fehlt die Steuerbarkeit.
Wer CRA ernsthaft umsetzen will, muss anders denken: nicht in Maßnahmen, sondern in Programmen. Der entscheidende Hebel ist dabei eine saubere, durchgängige Programmsteuerung (PMO) - von der Initiierung bis zur Umsetzung.

Der häufigste Fehler: CRA als IT- oder Security-Projekt behandeln

In vielen Unternehmen startet CRA in der IT oder im Security-Team. Das ist nachvollziehbar - aber strategisch falsch.

Der CRA betrifft:

  • Produktentwicklung

  • Lieferketten

  • rechtliche Anforderungen

  • Betriebsprozesse

  • Incident- und Vulnerability-Management

Das bedeutet: CRA ist per Definition ein unternehmensweites Transformationsprogramm.

Wer versucht, das Thema innerhalb einer einzelnen Abteilung zu lösen, produziert zwangsläufig:

  • inkonsistente Umsetzungen

  • Reibungsverluste zwischen Teams

  • fehlende Priorisierung

  • und letztlich mangelnde Compliance

Die richtige Antwort darauf ist keine zusätzliche Abstimmungsschleife - sondern eine klare, zentrale Steuerungsstruktur.

Phase 1: Initiierung - Management Commitment und Budget entscheiden über Erfolg oder Scheitern

Die Initiierungsphase ist der kritischste Moment im gesamten Programm. Hier wird entschieden, ob CRA später steuerbar ist - oder ob das Vorhaben in Einzelmaßnahmen zerfällt.

Der größte Fehler: Unternehmen starten operativ, bevor sie das Fundament geklärt haben.

Ein wirksames CRA-Programm braucht von Anfang an echtes Management Commitment. Das bedeutet mehr als ein formales „Go“. Es bedeutet:

  • klare Priorisierung auf Executive-Ebene

  • eindeutige Zielsetzung (z. B. CRA-Readiness bis Zeitpunkt X)

  • und vor allem: Rückendeckung für Entscheidungen, die in bestehende Prozesse eingreifen

Ohne dieses Commitment werden Konflikte zwischen Bereichen nicht aufgelöst, sondern ausgesessen. Genau daran scheitern viele Initiativen.
Eng damit verbunden ist die frühzeitige Budgetsicherung.

CRA ist kein Nebenprojekt, das „mitläuft“. Es erfordert:

  • Anpassungen in Entwicklungsprozessen

  • neue Tools und Plattformen

  • zusätzliche Ressourcen (z. B. für Security, Compliance, Dokumentation)

  • und organisatorische Veränderungen

Wenn Budgetfragen erst in der Umsetzung geklärt werden, entsteht genau das, was man vermeiden will: Verzögerungen, Kompromisse und inkonsistente Lösungen.

Deshalb gilt: Budget muss vor der Umsetzung stehen, nicht danach.

Parallel dazu wird in dieser Phase die zentrale Steuerung etabliert - typischerweise in Form eines dedizierten PMO. Dieses übersetzt regulatorische Anforderungen in konkrete Handlungsfelder und sorgt dafür, dass das Programm überhaupt strukturierbar wird. Erst wenn Mandat, Budget und Struktur stehen, entsteht ein belastbares Fundament. Alles andere ist ein unsauberer Start mit absehbaren Problemen.

Phase 2: Setup - Vom regulatorischen Anspruch zur umsetzbaren Struktur

In der Setup-Phase wird aus einem regulatorischen Ziel ein funktionierendes System. Hier liegt eine der größten Herausforderungen: Die Anforderungen des CRA sind bewusst technologieoffen formuliert. Unternehmen müssen sie daher selbst in konkrete Prozesse, Rollen und Abläufe übersetzen. Genau hier trennt sich Theorie von Praxis.

Ein effektives Vorgehen beginnt mit einem klaren Zielbild: Wie soll Security zukünftig im Unternehmen funktionieren? Wie werden Sicherheitsanforderungen in der Entwicklung verankert? Wie werden Schwachstellen erkannt, bewertet und behoben? Und wie wird all das dokumentiert?

Dieses Zielbild darf kein abstraktes Konzept bleiben. Es muss in ein konkretes Betriebsmodell überführt werden – inklusive:

  • klar definierter Verantwortlichkeiten

  • integrierter Prozesse entlang des Produktlebenszyklus

  • und eindeutiger Entscheidungswege

Parallel dazu braucht es eine realistische Umsetzungslogik. Nicht alles kann gleichzeitig eingeführt werden – und genau hier scheitern viele Programme. Ein starkes PMO sorgt in dieser Phase für Priorisierung: Was bringt kurzfristig Wirkung? Was ist kritisch für Compliance? Und welche Abhängigkeiten müssen berücksichtigt werden?

Das Ziel ist kein perfektes Konzept - sondern ein umsetzbares System.

Phase 3: Implementierung - Steuerung entscheidet über Erfolg oder Stillstand

Die Implementierungsphase ist kein „Abarbeiten von Maßnahmen“, sondern ein kontinuierlich gesteuerter Transformationsprozess.Und genau hier zeigt sich die Qualität der Programmsteuerung.
Ohne aktive Steuerung entstehen schnell typische Probleme:

  • Maßnahmen verlaufen im Sand

  • Teams interpretieren Anforderungen unterschiedlich

  • Fortschritte sind nicht messbar

  • und Entscheidungen dauern zu lange

Ein wirksames PMO verhindert genau das. Es stellt sicher, dass:

  • Fortschritte transparent und messbar sind

  • Abhängigkeiten aktiv gemanagt werden

  • Hindernisse früh erkannt und adressiert werden

  • und Entscheidungen schnell getroffen werden

Gleichzeitig übernimmt es eine vermittelnde Rolle zwischen Fachbereichen. Gerade an Schnittstellen - etwa zwischen Entwicklung und Security - entstehen die größten Reibungsverluste. Ohne zentrale Steuerung bleiben diese Konflikte ungelöst. Ein weiterer kritischer Erfolgsfaktor ist die frühzeitige Integration von Dokumentation und Nachweisführung. Viele Unternehmen behandeln diese Themen zu spät und stehen dann unter Druck, fehlende Nachweise nachträglich zu erzeugen.

Richtig umgesetzt entsteht Dokumentation parallel zur Umsetzung - nicht danach.

Was ein gutes CRA-Programm auszeichnet

Ein effektives CRA-Programm erkennt man nicht an der Anzahl implementierter Tools oder Richtlinien. Man erkennt es an seiner Steuerbarkeit.

Konkret bedeutet das:

  • gesicherte Budgets und Managementcommitment

  • klare Verantwortlichkeiten statt diffuser Zuständigkeiten

  • priorisierte Maßnahmen statt parallelem Aktionismus

  • transparente Fortschritte statt subjektiver Einschätzungen

  • integrierte Prozesse statt isolierter Lösungen

Und vor allem: eine Organisation, die in der Lage ist, Sicherheit dauerhaft zu steuern - nicht nur einmalig umzusetzen.

Fazit

Der Cyber Resilience Act zwingt Unternehmen zu einer grundlegenden Veränderung. Wer versucht, diese Veränderung mit Einzelmaßnahmen zu bewältigen, wird scheitern - nicht sofort, aber spätestens im Betrieb oder im Audit.
Der entscheidende Unterschied liegt nicht in der Technologie, sondern in der Steuerung. Wer ohne klares Managementcommitment, gesichertes Budget und zentrale Programmsteuerung startet, wird früher oder später die Kontrolle verlieren. Ein strukturiertes Vorgehen entlang der Phasen Initiierung, Setup und Implementierung, getragen von einem starken PMO, macht aus regulatorischem Druck ein kontrollierbares Programm.

Alles andere ist reiner Aktionismus.

Igor Kraut
Weiter

NIS2 als Management-Herausforderung