Bis gestern haben Sie Features priorisiert, als ginge es um die Frage „Was bringt den nächsten großen Kunden, was begeistert die Presse, was macht den Vertrieb glücklich?“. Ab morgen steht eine andere Frage im Raum: „Welche dieser Funktionen können wir überhaupt noch verantworten, ohne gegen den Cyber Resilience Act (CRA) zu verstoßen – und wer haftet, wenn wir es trotzdem tun?“ Das mag dramatisch klingen, ist aber nüchtern betrachtet die neue Realität für alle, die Produkte mit digitalen Komponenten bauen, betreiben oder vertreiben. Der CRA dreht die Blickrichtung von außen nach innen: Weg von der Feature-Show, hin zur belastbaren Fähigkeit, ein Produkt über seinen gesamten Lebenszyklus sicher zu halten. Und genau deshalb sprengt er klassische Roadmap-Rituale – nicht aus Bosheit, sondern aus Notwendigkeit.

Was sich verändert, ist nicht nur eine Liste von Pflichten, sondern die Logik, nach der Sie Entscheidungen treffen. Der CRA macht Sicherheit zu einer Marktzulassungsbedingung und verknüpft sie mit nachweisbarer Sorgfalt. Wo bislang „Security“ ein Arbeitspaket im Projektplan war, wird sie zur architektonischen Grundannahme und zur Managementaufgabe, an der sich Budgets, Zeitpläne, Vertragswerke und sogar Marketingclaims ausrichten müssen. Wer Roadmaps weiterhin wie Wunschzettel behandelt, produziert in Zukunft nicht Innovationen, sondern Haftungsrisiken.

Es gibt neue Rollen, die ganze Organisationen verändern, ohne dass sie laut auftreten. Der AI Officer gehört dazu. Er (oder sie) ist weder reiner Daten-Profi noch klassischer Compliance-Manager, weder Produktchef noch IT-Sicherheitsarchitekt – und doch hat er von allem etwas. Vor allem aber besitzt er den Auftrag, aus Möglichkeiten verlässliche Fähigkeiten zu machen: KI, die wirklich hilft, statt nur zu beeindrucken. KI, die nicht bloß funktioniert, sondern verantwortlich funktioniert. Und KI, die nicht mit dem ersten Audit ins Straucheln gerät, sondern im Feld über Jahre tragfähig bleibt.

Der AI Officer ist damit die Klammer zwischen Code und Konsequenz. Er verbindet Produktvision mit regulatorischer Realität, Datenwissenschaft mit Unternehmenswerten, Geschwindigkeit mit Sorgfalt. Was macht diese Rolle konkret? Warum ist sie jetzt so wichtig? Und woran erkennt man, dass jemand sie gut ausfüllt? Die Antworten sind weniger akademisch, als viele vermuten – sie liegen im täglichen Tun.

Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.

Der Cyber Resilience Act (CRA) ist kein weiteres Papiermonster, das man in einer stillen Stunde „irgendwann“ abarbeitet. Er ist die neue Realität für jedes vernetzte Produkt, jede Software, jeden Smart-Dienst: Ohne systematische Cybersicherheit kein Marktzugang. Punkt. Die gute Nachricht: Wer die richtigen Stellhebel kennt, kann in erstaunlich kurzer Zeit aus lose verteilten Sicherheitsinitiativen ein belastbares System formen – belastbar genug, um Prüfern standzuhalten, Kunden zu beruhigen und Krisen kommunikativ zu überleben.

Dieser Text ist Ihr 10-Minuten-Plan. Kein juristisches Gutachten, sondern eine handfeste, operativ gedachte Anleitung. Zehn Minuten Lektüre, zehn zentrale Schritte – und Sie wissen, wo Sie stehen, was fehlt und wie Sie jetzt zügig (und glaubwürdig) auf CRA-Kurs kommen.

Der Cyber Resilience Act (CRA) ist die EU-Regel, die aus „nice to have Security“ eine Marktzulassungsbedingung macht. Er betrifft praktisch alle Produkte mit digitalen Elementen – vom smarten Thermostat über Industriesteuerungen bis zur Desktop-App. Und er ändert, wie Sie planen, bauen, ausliefern und pflegen. Hier ist der verständliche, praxisnahe Überblick: Was verlangt der CRA? Wen trifft er? Was müssen Sie jetzt umstellen, damit Features morgen nicht zu Haftung werden?

1) Der CRA in einem Satz

Der CRA verpflichtet Hersteller, Importeure und Händler, cybersichere Produkte zu entwickeln, Sicherheitsrisiken über den gesamten Lebenszyklus zu managen, Schwachstellen zügig zu beheben, Updates bereitzustellen und das alles nachweisbar zu dokumentieren – sonst drohen Bußgelder, Vertriebsstopps und Rückrufe.