18 www.net-im-web.de 6-7/2026 Cybersicherheit beginnt am Eingang die betreffende Dauer selbst definieren, verlangt der CRA einen Supportzeitraum, welcher der voraussichtlichen Nutzungsdauer von mindestens fünf Jahren entspricht. Ergänzt werden diese Leitprinzipien durch einen risikobasierten Ansatz, Melde-, Support- und Aktualisierungspflichten sowie Konformitätsnachweise wie die CE-Kennzeichnung. Sinnvoll oder Frustfaktor? Der maßgebliche Unterschied zu NIS-2 und dem KRITIS-Dachgesetz liegt im Ansatz. Während die vorangegangenen Verordnungen betriebszentriert sind – und somit Prozesse, Verantwortlichkeiten und Meldewege auf Seiten der Betreiber festlegen –, setzt der CRA deutlich früher an. Er definiert technische und organisatorische Anforderungen entlang des gesamten Produktlebenszyklus – und diese müssen Hersteller, Importeure und Händler verbindlich einhalten. Betreiber selbst werden durch den CRA hingegen nicht zu Compliance-Vorgaben verpflichtet. Dennoch lohnt sich eine tiefere Auseinandersetzung mit dem Thema: Erfüllen die Hersteller und Akteure entlang der Lieferkette ihre Pflichten nicht, erhöhen sie das Risiko für Sicherheitslücken in den betreffenden Unternehmen. Kurzum: Die EU-Verordnung ist nicht als isolierter Rechtsakt zu verstehen, sondern als gezielte Ergänzung der vorangegangenen Regulierungen. Dabei schließt sie eine produktseitige Lücke, die weder NIS-2 noch das KRITIS-Dachgesetz adressieren. Weil Produkte mit digitalen Elementen künftig nach definierten Sicherheitsstandards entwickelt, geliefert und mit Updates versorgt werden müssen, wird die Qualität der Lieferkette transparenter. Für Betreiber in Unternehmen entsteht somit deutlich mehr Planungs- und Investitionssicherheit – etwa bei der Beschaffung von sicherheitsrelevanten Technologien wie Zutrittskontrollsystemen. Durchgängige IT-Landschaft Heutzutage sind vernetzte Zutrittskontrollsysteme keine Randkomponenten in IT-Infrastrukturen, sondern agieren als Bindeglied zwischen physischer und digitaler Sicherheit. Das bedeutet: Sie sind vielerorts fest in vernetzte IT- und Gebäudemanagement-Systeme eingebunden und häufig eng mit Workforce-Management-Systemen, Sicherheitsleitständen, Videoüberwachung sowie Einbruchmelde- und Brandschutz-Systemen verwoben. Der CRA reguliert beide Seiten dieser Schnittstelle: zum einen HardwareKomponenten wie Controller, Terminals, Zutrittsleser und elektronische Türschlösser, zum anderen Software-Plattformen zur zentralen Steuerung und Verwaltung. Das ist für IT-Verantwortliche unmittelbar relevant: Jede Komponente eines Zutrittskontrollsystems, die digitale Elemente enthält, fällt in den Anwendungsbereich der EU-Verordnung. Sicherheitsrisiken betreffen dabei nicht nur einzelne Komponenten, sondern können den Betrieb am jeweiligen Standort substanziell gefährden – beispielsweise im Falle kompromittierter RFID-Technologien oder manipulierter Türsteuerungen. In kritischen Infrastrukturen wie Krankenhäusern, Energieversorgern oder Verkehrsleitstellen können Ausfälle im Extremfall sogar die öffentliche Sicherheit beeinträchtigen. Damit wird deutlich: Nicht nur zentrale Zutrittspunkte, sondern auch Nebenschauplätze der Zutrittssicherheit verdienen mehr Aufmerksamkeit – und erfordern eine gesamtheitliche Betrachtung. Offline-Lösungen Offline-gesicherte Türen kommen vor allem dort zum Einsatz, wo eine permanente Online-Anbindung nicht möglich oder wirtschaftlich unvorteilhaft ist – beispielsweise in wenig frequentierten Bereichen wie Technik- oder abgelegenen Lagerräumen. Doch auch ohne permanente Netzwerkverbindung sind sie nicht als isoliertes System zu betrachten: Ihre Firmware muss genauso systematisch verwaltet und aktualisiert werden wie bei Komponenten mit Online-Vernetzung. Compliance-Fundament Wer Cybersicherheit nur punktuell – anhand einzelner Geräte oder Teilbereiche – bewertet, riskiert Brüche bei Zutrittskontrollsysteme werden häufig als einfacher Ersatz für ein mechanisches Schloss gesehen, obwohl es sich hierbei um hochvernetzte Technik in umfangreichen IT-Landschaften handelt (Foto: Interflex, Philip Kottlorz)
RkJQdWJsaXNoZXIy MjE2Mzk=