Zurück zur Inhaltsseite

      Digitale Produkte müssen über Jahre sicher betrieben und aktualisiert werden. Der Cyber Resilience Act (CRA), eine EU‑Verordnung mit verbindlichen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, verschärft dafür die regulatorischen Pflichten von der Entwicklung bis zum Betrieb. Product Security bezeichnet in diesem Kontext die Cybersicherheit dieser Produkte über ihren gesamten Lebenszyklus hinweg und unterscheidet sich damit von der Absicherung interner Informationstechnik (IT)‑Systeme. 

      Entscheidend ist die doppelte Verankerung: operative Umsetzung in der Produktentwicklung und zentrale Governance für Standards, Verantwortlichkeiten und konsistente Umsetzung. Im Whitepaper „Product Security unter dem Cyber Resilience Act“ wird dieses Zusammenspiel vertieft.

      Product Security zwischen operativer Umsetzung und zentraler Governance

      Product Security begleitet ein Produkt über seinen gesamten Lebenszyklus.

      Dazu zählen 

      • sichere Architektur- und Konzeptionsentscheidungen, 

      • Implementierung, 

      • Tests, strukturiertes Schwachstellenmanagement,  

      • regelmäßige Sicherheitsupdates 

      • und der Umgang mit sicherheitsrelevanten Vorfällen.

      Diese Verantwortung setzt eine enge Anbindung an die Produktentwicklung voraus, da sicherheitsrelevante Entscheidungen dort getroffen werden, wo technische Weichen gestellt werden.

      Des Weiteren erfordern regulatorische Meldepflichten, einheitliche Standards und konsistente Prozesse eine übergreifende Koordination. Product Security bewegt sich damit im Spannungsfeld zwischen operativer Umsetzung in den Entwicklungsteams und zentraler Governance auf Unternehmensebene. 

      Organisatorische Verankerung von Product Security im Unternehmen 

      In der Praxis haben sich unterschiedliche organisatorische Modelle etabliert. Eine Verankerung von Product Security in Forschung und Entwicklung ermöglicht eine frühe Integration von Sicherheitsaspekten in den Produktentstehungsprozess. Modelle im Umfeld der Chief Information Security Officer (CISO)‑Organisation legen den Schwerpunkt stärker auf Governance und Compliance. Beide Ansätze bringen Vorteile mit sich, stoßen jedoch jeweils an Grenzen – etwa durch operative Distanz zur Entwicklung oder durch fehlende Konsistenz über Produktlinien hinweg.

      Zunehmend etabliert sich daher ein hybrides Organisationsmodell. Eine zentrale Rolle wie der Corporate Product Security Officer (CPSO) verantwortet Governance, Standards und Reporting, während Product‑Security‑Rollen in den Entwicklungsbereichen die operative Umsetzung sicherstellen. Auf diese Weise lassen sich technische Wirksamkeit und regulatorische Steuerung miteinander verbinden.

      Bereit für ein Gespräch? Kontaktieren Sie uns
      auto_stories

      Wie operative Umsetzung und zentrale Governance zusammenspielen 

      Jetzt herunterladen

      Zielbild einer Product‑Security‑Organisation und Schritte zur Umsetzung 

      Eine moderne Product‑Security‑Organisation basiert auf klar definierten Rollen, eindeutigen Verantwortlichkeiten und abgestimmten Prozessen. Der Aufbau erfolgt schrittweise: von der Klärung der Zuständigkeiten über die Etablierung eines Governance‑Rahmens bis zur systematischen Integration von Sicherheitsmaßnahmen in den Entwicklungsprozess. Schulungen und ein begleitender kultureller Wandel unterstützen die dauerhafte Verankerung von Product Security in Entscheidungsprozessen.

      Product Security unter dem Cyber Resilience Act: zentrale Erkenntnisse 

      Der Cyber Resilience Act macht deutlich, dass Product Security zu einem festen Bestandteil der Wertschöpfung digitaler Produkte geworden ist. Strukturen, die technische Nähe zur Produktentwicklung mit zentraler Governance verbinden, schaffen die Grundlage für regulatorische Compliance und eine wirksame Steuerung produktbezogener Sicherheitsrisiken. Hybride Modelle bieten dafür einen tragfähigen und zukunftsfähigen Ansatz.

      Weitere interessante Inhalte zum Thema

      Ihre Ansprechperson

      Andrzej Wozniczka
      Andrzej Wozniczka

      Partner, Consulting - Cyber Security & Resilience

      KPMG AG Wirtschaftsprüfungsgesellschaft