Customer Experience

Cyber Resilience Act: Welche Folgen hat die EU-Verordnung für Unternehmen?

Die neue EU-Verordnung wird Cyber-Security-Standards für digitale Produkte transformieren. Erfahren Sie, was das für Ihr Unternehmen bedeutet. Machen Sie sich mit den Compliance-Anforderungen sowie den Folgen für die globalen Märkte vertraut und entdecken Sie, wie Sie sich auf die regulatorischen Änderungen vorbereiten können. 

12 Minuten Lesezeit
Mit Insights von

Mit der zunehmenden Digitalisierung und Vernetzung von Produkten steigt auch das Risiko von Cyberangriffen, wie wir in einem vorangegangenen Artikel veranschaulicht haben. Die EU ist sich dieser Gefahr bewusst und reagiert nun mit einer neuen Verordnung – dem europäischen Cyber Resilience Act (CRA). Die Verordnung enthält eine Reihe von Präventivmaßnahmen, deren Ziel es ist, die Cybersicherheit von in der EU vertriebenen Produkten zu verbessern. 

In diesem Artikel erörtern wir, wer vom CRA betroffen ist, welche Produktanpassungen aufgrund der neuen Sicherheitsanforderungen erforderlich sind und welche Dokumentation und Prozesse intern erstellt werden sollten, um die Vorgaben des neuen Gesetzes zu erfüllen. 

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine kommende EU-Verordnung. Sie hat das Ziel, die Cybersicherheit von „Produkten mit digitalen Elementen“ zu verbessern. In der Praxis betrifft das Gesetz alle Produkte, die Daten mit einem anderen Gerät oder Netzwerk austauschen. Auch jegliche Datenfernverarbeitung, die Bestandteil eines Produkts ist, wird von dem Gesetz erfasst, beispielsweise der Einsatz eines Cloud-Backends

Der CRA beschreibt die Mindestanforderungen an die Sicherheit dieser Produkte. Außerdem verpflichtet er Hersteller dazu, bestimmte Prozesse für die Produktentwicklung und den Produktsupport zu befolgen. Wenn Ihr Unternehmen ein Produkt herstellt, importiert oder vertreibt, das in der EU verfügbar ist und irgendeine Art von Datenkommunikation beinhaltet, sind Sie höchstwahrscheinlich vom CRA betroffen. 

Nach langen Verhandlungen befindet sich das Gesetzgebungsverfahren zum CRA derzeit in den finalen Zügen. Das Europäische Parlament hat den CRA am 12. März 2024 verabschiedet und er wird voraussichtlich Mitte 2024 in Kraft treten. Als Nächstes werden die Compliance-Anforderungen in zwei Schritten eingeführt: 

  • 21 Monate nach der endgültigen Verabschiedung des Gesetzes (d. h. Anfang 2026) müssen die im Text enthaltenen Meldepflichten (siehe unten) erfüllt sein. 
  • 36 Monate nach der endgültigen Verabschiedung des Gesetzes (d. h. Mitte 2027) müssen Hersteller, Importeure und Händler alle Vorgaben erfüllen. 
Zeitplan fur die umsetzung und einhaltung des eu cyber resilienz gesetzes Abb. 1: Wichtige Daten und Fristen zum Inkrafttreten des CRA
Portrait photo of Piet de Vaere, Lead Security Architect at Zühlke Group
„ Es hat den Anschein, als wäre bis zum Inkrafttreten der Verordnung noch sehr viel Zeit. Die Anforderungen des CRA können jedoch erhebliche Auswirkungen auf die Entwicklungs- und Supportabläufe haben. Unternehmen sollten die nötigen Änderungen daher so früh wie möglich umsetzen. “
Piet De Vaere
Lead Security Architect bei Zühlke

Die Übergangsfristen mögen auf den ersten Blick großzügig erscheinen, doch der Eindruck täuscht. Die Vorgaben des CRA könnten erhebliche Auswirkungen auf die Entwicklungs- und Support-Workflows Ihres Unternehmens haben und die zeitnahe Umsetzung der erforderlichen Änderungen kann mit beträchtlichem Aufwand verbunden sein. Außerdem muss sichergestellt werden, dass die Änderungen von allen Unternehmensebenen unterstützt werden. Deshalb empfehlen wir, ausreichend Zeit für einen schrittweisen Ansatz zum Erreichen der CRA-Compliance einzuplanen, statt das Ganze zu überstürzen. 

Je nach Art des Verstoßes gegen die Vorgaben des CRA können Bußgelder in Höhe von bis zu 15 Millionen Euro bzw. 2,5 % des weltweiten Jahresumsatzes verhängt werden (je nachdem, was höher ist). Daher lohnt es sich auf jeden Fall, so bald wie möglich mit den Vorbereitungen für die CRA-Compliance zu beginnen. 

    Hat die EU mit der NIS2 und der RED nicht bereits Gesetze zur Regelung der Cybersicherheit erlassen?

  • CRA vs. NIS2

    Was den CRA von der NIS2-Richtlinie (The Network and Information Security Directive) der EU unterscheidet, ist seine Ausrichtung...

    Was den CRA von der NIS2-Richtlinie (The Network and Information Security Directive) der EU unterscheidet, ist seine Ausrichtung auf Produkte. Obwohl sowohl der CRA als auch die NIS2-Richtlinie zum Ziel haben, den Cybersicherheitsstatus in der EU zu verbessern, verfolgt der CRA einen grundsätzlich anderen Ansatz. Konkret regelt der CRA die Produktsicherheit, während die NIS2-Richtlinie die Sicherheitspraktiken kritischer Unternehmen und Einrichtungen, u. a. von Versorgungsunternehmen und Fertigungsanlagen, regelt. 

    Hinzu kommt, dass trotz der großzügigen Auslegung des Begriffs „kritisch“ durch die NIS2-Richtlinie wesentlich mehr Organisationen vom CRA betroffen sein werden als von der NIS2-Richtlinie. Vor allem unterliegen Organisationen außerhalb der EU in der Regel nicht der NIS2-Richtlinie, sehr wohl aber dem CRA, wenn ihre Produkte in der EU angeboten werden. Dies ist so ähnlich wie bei der DSGVO, an die sich auch Unternehmen außerhalb der EU halten müssen, wenn sie ihr Dienstleistungsangebot auf EU-Bürger ausrichten. 

  • CRA vs. RED

    Die Funkanlagen-Richtlinie (Radio Equipment Directive: RED) schafft einen Rechtsrahmen für das Inverkehrbringen von Funkanlagen...

    Die Funkanlagen-Richtlinie (Radio Equipment Directive: RED) schafft einen Rechtsrahmen für das Inverkehrbringen von Funkanlagen auf dem EU-Binnenmarkt. 2022 wurde eine Ergänzung (Delegierte Verordnung) zur Funkanlagen-Richtlinie veröffentlicht, die Sicherheitsanforderungen für mit dem Internet verbundene Funkanlagen und datenverarbeitende Funkanlagen enthält. Im Einzelnen sieht die Verordnung vor, dass Funkanlagen je nach Art des beteiligten Geräts personenbezogene Daten sowie die Privatsphäre des Nutzenden schützen sowie Nutzende vor Betrug und Netze vor Störungen schützen müssen. Diese Änderungen treten ab August 2025 in Kraft. 

    Im Gegensatz zur RED gilt der CRA für alle Produkte mit digitalen Elementen, nicht nur für Funkanlagen. Darüber hinaus stehen die im CRA dargelegten Anforderungen zwar mit den Cybersicherheitsanforderungen der RED in Einklang, sind jedoch wesentlich umfangreicher und umfassender. Es ist wahrscheinlich, dass der CRA die Sicherheitsanforderungen der RED mit der Zeit ersetzen wird.  

Die Grafik zeigt, wie NIS2, CRA und RED funktionieren. Von NIS2 ein Pfeil mit dem Text „Vorschriften“ zum Container „Organisationen“ und „kritisch“. Von CRA Pfeile zu „Entwicklungslebenszyklus“ und „entwickelt, produziert, verkauft und unterstützt“. Ein weiterer Pfeil zu RED und von RED zum Container „Produkte mit digitalen Elementen“ und „Funkgeräte“. Abb. 2: NIS2 vs. CRA vs. RED

Welche Produkte sind vom Cyber Resilience Act betroffen?

Der CRA gilt für alle Produkte, die Daten austauschen. Dies umfasst den Datenaustausch über ein Netzwerk, aber auch den Austausch von Daten über eine direkte Verbindung mit einem anderen Gerät. Dennoch gibt es bezüglich des Geltungsbereichs des CRA mehrere Einschränkungen:

Erstens gilt der CRA nur für Produkte, die im Rahmen einer gewerblichen Tätigkeit bereitgestellt werden.1 Dabei kommt es nicht darauf an, ob für das Produkt eine Gebühr erhoben wird oder nicht. Beispielsweise sind kostenlose Produkte, die mit (optionalen) kostenpflichtigen Wartungsverträgen angeboten werden oder Nutzerdaten erfassen, nicht von der Verordnung ausgenommen.

Zweitens gelten Ausnahmen für die folgenden Produkte, die von bestehenden EU-Gesetzen erfasst werden: Medizinprodukte, Schiffsausrüstung, Luftfahrtausrüstung sowie Kraftfahrzeuge und ihre Komponenten.

Drittens sind auch Produkte, die ausschließlich für die nationale Sicherheit oder zu Verteidigungszwecken entwickelt wurden, von der Verordnung ausgenommen.

Viertens gilt der CRA nicht für Dienstleistungen, die nicht mit einem Produkt in Zusammenhang stehen. Beispiele für derartige Dienstleistungen sind u. a. Cloud-Anwendungen (z. B. Dropbox) und Suchmaschinen (z. B. die Google Suche). Jedoch gilt jegliche Datenfernverarbeitung (z. B. in der Cloud), ohne die ein Produkt eine seiner Funktionen nicht ausführen kann, als Bestandteil des betreffenden Produkts und muss alle CRA-Vorgaben erfüllen.

Schließlich gilt, dass Produkte, die vor dem Ende des 36-monatigen Übergangszeitraums bereits auf dem EU-Markt verfügbar sind, nicht nachträglich an die CRA-Vorgaben angepasst werden müssen, bis sie „wesentlich verändert“ werden.

Wichtig ist, dass der CRA nicht zwischen Produkten aus Ländern innerhalb und außerhalb der EU unterscheidet, sondern schlicht alle Produkte abdeckt, die „auf dem EU-Markt bereitgestellt“ werden. Daher gilt der CRA in vollem Umfang für Unternehmen mit Sitz in Nicht-EU-Ländern, wenn sie beabsichtigen, ihre Produkte in der EU in Verkehr zu bringen. Um die Rechenschaftspflicht entlang der gesamten Lieferkette zu gewährleisten, enthält das Gesetz mehrere Anforderungen für Importeure und Händler. 

Portrait photo of Piet de Vaere, Lead Security Architect at Zühlke Group
„ Der CRA gilt in vollem Umfang für Unternehmen mit Sitz in Nicht-EU-Ländern, wenn sie beabsichtigen, ihre Produkte in der EU in Verkehr zu bringen. “
Piet De Vaere
Lead Security Architect bei Zühlke

Was bedeutet der CRA für mein Unternehmen?

Wenn Sie vorhaben, ein Produkt auf dem EU-Markt in Verkehr zu bringen, sind Sie wahrscheinlich vom CRA betroffen. Grob gesagt verfügt der CRA, dass alle Produkte standardmäßig sicher sein müssen. Zu den Anforderungen zählen u. a. die Abwesenheit bekannter Schwachstellen, eine sichere Konfiguration sowie eine effektive Zugriffskontrolle. Außerdem müssen Hersteller die Konformität ihrer Produkte mit den CRA-Vorgaben auch während des gesamten Support-Zeitraums sicherstellen. Ebenso besteht die Verpflichtung, Maßnahmen zur Erhöhung der Cybersicherheit in die Produktentwicklung zu integrieren, einschließlich der Durchführung regelmäßiger Prüfungen/Tests sowie des bedachten Einsatzes von Komponenten Dritter. Darüber hinaus müssen Hersteller einen effektiven Umgang mit Produktschwachstellen an den Tag legen, Nutzern eine zentrale Anlaufstelle bieten und eine umfassende Dokumentation sowohl für die Nutzer als auch für die EU bereitstellen.

In den nachstehenden Infokästen gehen wir näher auf diese Anforderungen ein.

  • Produktanforderungen

    Nach den Vorgaben des CRA müssen alle Produkte standardmäßig sicher sein. Um dies zu erreichen, führt der CRA die folgenden konkreten Anforderungen auf: 

    • Produkte müssen ohne bekannte ausnutzbare Schwachstellen bereitgestellt werden.
    • Produkte müssen standardmäßig sicher konfiguriert sein. 
    • Produkte müssen über ausreichend Mechanismen für die Zugriffskontrolle verfügen und sollten unbefugte Zugriffsversuche erkennen und melden. 
    • Die Vertraulichkeit und Integrität gespeicherter, verarbeiteter und übermittelter Daten müssen geschützt werden. 
    • Die Verarbeitung von Daten sollte auf das für das normale Funktionieren des Produkts notwendige Maß beschränkt werden. 
    • Produkte müssen so konzipiert sein, dass sie Denial-of-Service-Angriffe (DoS-Angriffe) abwehren können, und Hersteller sind verpflichtet, die negativen Auswirkungen eines Angriffs auf die Verfügbarkeit anderer Geräte oder Netzwerke zu minimieren. 
    • Die Angriffsfläche des Produkts und die Auswirkungen von Sicherheitsvorfällen sollten minimiert werden. 
    • Nutzende sollten die Möglichkeit haben, ihre Daten einfach und sicher zu übermitteln und zu entfernen. 
  • Supportanforderungen

    Produkte müssen die grundlegenden Produktanforderungen nicht nur zum Zeitpunkt ihrer Markteinführung erfüllen, sondern die Einhaltung der Vorgaben muss auch während eines vorgeschriebenen „Support-Zeitraums“ gewährleistet sein. Die Dauer des Support-Zeitraums sollte in Abhängigkeit von der voraussichtlichen Nutzungsdauer des Produkts festgelegt werden. Generell sollte der Support-Zeitraum mindestens fünf Jahre betragen und Kundinnen und Kunden zum Zeitpunkt des Kaufs mitgeteilt werden. 

    Während des Support-Zeitraums ist der Hersteller in der Pflicht, die Produktkonformität sicherzustellen. Wenn es Grund zu der Annahme gibt, dass die oben genannten Produktanforderungen nicht mehr erfüllt sind, muss der Hersteller die erforderlichen Schritte ergreifen, damit das Produkt wieder den Vorgaben entspricht. Dies kann beispielsweise durch ein Software-Update geschehen. Die Nichtkonformität eines Produkts kann dazu führen, dass das Produkt zwangsweise vom Markt genommen wird, und auch Produktrückrufe sind möglich. 

  • Anforderungen an Entwicklung und Postproduktion

    Um Produkte zu entwerfen, die die grundlegenden Produktanforderungen erfüllen, ist es wichtig, Sicherheitsfragen während des gesamten Produktentwicklungsprozesses zu berücksichtigen. Daher enthält der CRA die folgenden Anforderungen: 

    • Hersteller müssen die Cybersicherheitsrisiken und Anforderungen eines Produkts in allen Phasen der Produktentwicklung detailliert bewerten.
    • Hersteller müssen regelmäßige Prüfungen/Tests und Bewertungen durchführen, um die Sicherheit des Produkts während des Support-Zeitraums zu verifizieren. 
    • Es ist darauf zu achten, dass Komponenten Dritter und Open-Source-Komponenten die Produktsicherheit nicht beeinträchtigen. 
    • Um Produktkomponenten und Schwachstellen nachzuverfolgen, verpflichtet der CRA-Hersteller zur Erstellung einer Software-Stückliste (SBOM). 
  • Anforderungen an den Umgang mit Schwachstellen

    Hersteller müssen über Prozesse für einen effektiven Umgang mit Produktschwachstellen verfügen. Das Leitprinzip lautet, dass Schwachstellen „ohne Verzögerung“ behoben werden müssen.  Außerdem müssen Hersteller eine zentrale Anlaufstelle für Nutzende einrichten, um eine „direkte und schnelle Kommunikation“ zu ermöglichen, und sollten die Meldung von Schwachstellen über diese Anlaufstelle ermöglichen. Zusätzlich müssen eine Kontaktadresse zur Meldung von Schwachstellen sowie entsprechende Prozesse (Coordinated Vulnerability Disclosure (CVD))2 vorhanden und für die breite Öffentlichkeit ohne Weiteres zugänglich sein. Nach Behebung einer Schwachstelle müssen geeignete Mechanismen greifen, die dafür sorgen, dass im Einsatz befindliche Produkte schnell die erforderlichen Patches erhalten. Dies kann beispielsweise durch automatische Sicherheitsupdates oder Update-Benachrichtigungen geschehen. Sofern technisch realisierbar, müssen Sicherheitsupdates getrennt von Funktionsupdates gehalten werden. Nach Bereitstellung eines Updates müssen Informationen zur behobenen Schwachstelle öffentlich kommuniziert werden. Wenn einem Hersteller eine Schwachstelle in Drittkomponenten zur Kenntnis gelangt, muss er den Komponentenanbieter darüber informieren, und falls eine Schadensminderung stattgefunden hat, sollte dies dem Originalkomponentenanbieter mitgeteilt werden. 

  • Meldepflichten

    Hersteller müssen sicherheitsrelevante Ereignisberichte über eine zentrale EU-Meldeplattform übermitteln. Für die Übermittlung dieser Berichte gelten strenge Fristen. Konkret hat ein Hersteller, nachdem ihm eine aktiv ausgenutzte Schwachstelle oder ein schwerwiegender Vorfall, der die Sicherheit des Produkts oder seiner Nutzer beeinträchtigen könnte, zur Kenntnis gelangt ist, 24 Stunden Zeit für eine Vorabmeldung an die EU. Innerhalb von 72 Stunden nach dem Ereignis muss dann eine umfassendere Beschreibung des Vorfalls nachgereicht werden. Diese Meldung sollte allgemeine Informationen zum Produkt und Vorfall sowie zu den getroffenen Gegenmaßnahmen und den Maßnahmen enthalten, die Nutzenden ergreifen können. Im Falle ausgenutzter Schwachstellen (siehe oben) sollte spätestens 14 Tage nach Verfügbarkeit einer schadensbegrenzenden Maßnahme ein Abschlussbericht mit einer detaillierteren Beschreibung der Ereignisse und umgesetzten Sicherheitsmaßnahmen übermittelt werden. Bei schweren Vorfällen (siehe oben) sollte dies innerhalb eines Monats nach Einreichen des ursprünglichen 72-Stunden-Berichts erfolgen. 

    Darüber hinaus sollten Nutzende unmissverständlich und unverzüglich über die Ereignisse sowie die Sicherheitsmaßnahmen informiert werden, die sie selbst ergreifen können. 

  • Dokumentationspflichten

    Unter dem CRA muss Produkten ein Mindestmaß an nutzerorientierter Dokumentation beigefügt werden. Diese muss unter anderem Angaben zu folgenden Punkten enthalten: 

    • Hersteller des Produkts
    • Zentrale Anlaufstelle für den Umgang mit Schwachstellen 
    • Verwendungszweck des Produkts und Angaben zu dessen Sicherheitseigenschaften 
    • Bekannte Umstände, die das Produkt Cybersicherheitsrisiken aussetzen könnten 
    • Dauer des Support-Zeitraums 
    • Anweisungen für die sichere Inbetriebnahme und Nutzung des Produkts 
    • Anleitung zur Installation von Sicherheitsupdates 
    • Anleitung zur Aktivierung bzw. Deaktivierung automatischer Sicherheitsupdates 

    Zusätzlich zu den für Produktanwendende zusammengestellten Informationen müssen Hersteller intern zum Produkt gehörige „technische Dokumentation“ vorhalten. Diese Dokumentation muss eine Vielzahl von Themen behandeln, von einer Beschreibung des Prozesses zum Umgang mit Schwachstellen über die Ergebnisse der Bewertungen von Cybersicherheitsrisiken bis hin zu den Überlegungen zur Bestimmung des Support-Zeitraums. Bei entsprechender Aufforderung muss diese Dokumentation der EU zur Verfügung gestellt werden. Die technische Dokumentation dient unter anderem als Audit-Protokoll und stellt sicher, dass die verschiedenen Prozessanforderungen des CRA vom Hersteller effektiv umgesetzt wurden. 

Wie wird die Einhaltung der CRA-Vorgaben nachgewiesen?

Je nach Art des Produkts gibt es verschiedene Möglichkeiten, um die Einhaltung der CRA-Vorgaben nachzuweisen. Bei den meisten Produkten reicht es aus, wenn Hersteller selbst eine Erklärung (Konformitätserklärung) abgeben, dass die relevanten Anforderungen erfüllt wurden. In diesem Fall sollte nicht vergessen werden, dass durch die technische Dokumentation des Produkts sichergestellt ist, dass die Erklärung zu einem späteren Zeitpunkt überprüft werden kann (z. B. nach Auftreten eines Vorfalls). 

Neben der Möglichkeit der Konformitätserklärung sieht der CRA mehrere weitere Nachweismöglichkeiten der Compliance vor. Diese kommen bei den sogenannten „wichtigen“ bzw. „kritischen“ Produkten ins Spiel. In Abhängigkeit von der Klassifizierung des Produkts kann nur ein Teil der Instrumente zur Anwendung kommen. Diese zusätzlichen Instrumente sind (aufsteigend nach Sicherheitsstufe): 

  • Einhaltung von harmonisierten Normen: Die Konformität wird durch Befolgen einer sogenannten harmonisierten EU-Norm nachgewiesen, gefolgt von der Konformitätserklärung. 
  • Auf einer Baumusterprüfung basierender Vorgang: Hersteller erhalten eine Bauartzulassung von einer von der EU benannten externen Stelle und erklären anschließend, dass ihre Produkte mit der Bauart konform sind. 
  • Konformität basierend auf einer umfassenden Qualitätssicherung: Der Hersteller wendet während des Design- und Herstellungsprozesses des Produkts ein für den Zweck zertifiziertes internes Qualitätsmanagementsystem an.  
  • Ein europäisches Schema für die Cybersicherheitszertifizierung: Die Cybersicherheit des Produkts wird von der Agentur der Europäischen Union für Cybersicherheit (ENISA) zertifiziert. 

Die Einstufung eines Produkts in die Kategorie „wichtig“ oder „kritisch“ erfolgt anhand einer vorgegebenen Liste. Diese Liste kann jederzeit von der Europäischen Kommission aktualisiert werden, wobei die Änderungen nach 12 Monaten in Kraft treten. Derzeit sind in dieser Liste unter anderem folgende Produkte enthalten: Passwortmanager, Smart-Home-Produkte mit Sicherheitsfunktionen (z. B. intelligente Türschlösser, Sicherheitskameras), Smartcards und Firewalls. 

Für die meisten dieser Produkte ist das Befolgen einer harmonisierten Norm (sofern zulässig) die wahrscheinlich unkomplizierteste Methode zum Nachweis der Compliance. Die laufenden Erfahrungen bezüglich der Erstellung harmonisierter Normen für die RED haben jedoch gezeigt, dass derartige Normungsverfahren komplex und zeitaufwändig sein können. Außerdem enthält der CRA wesentlich mehr Anforderungen als die RED. Daher ist derzeit unklar, ob die harmonisierten Normen für den CRA rechtzeitig fertiggestellt werden können. Obwohl der CRA Regelungen enthält, die sich auf die verspätete Bereitstellung der harmonisierten Normen beziehen, ist derzeit nicht klar, was in einem solchen Szenario passieren würde. 

Wie geht es weiter?

Die Anforderungen des CRA sind umfangreich und berühren zahlreiche Aspekte der Produktentwicklung und -bereitstellung. Für viele Unternehmen erweist sich das Erreichen der Compliance mit den CRA-Vorgaben möglicherweise als langwieriger Prozess. Von daher empfehlen wir, so bald wie möglich mit den Vorbereitungen für die CRA-Compliance zu beginnen. 

Wenn Sie Ihren Compliance-Prozess mit Zühlke an Ihrer Seite einleiten möchten, freuen wir uns auf Ihre Nachricht. Unser Cyber-Security-Team unterstützt Sie dabei, den Anforderungen gerecht zu werden. Außerdem bieten wir Beratung bezüglich der Behebung von Schwachstellen und führen auf Wunsch Sicherheitsbewertungen für Ihre Produkte durch. Dank unserer jahrzehntelangen Erfahrung in sämtlichen Aspekten des Produktdesigns sind wir zudem Fachleute, wenn es darum geht, Sicherheitsanforderungen mit sonstigen Anforderungen in Einklang zu bringen. Gemeinsam finden wir eine Lösung, die genau auf Ihre Probleme zugeschnitten ist. 

Guitar with zühlke logo

Bleiben Sie auf dem Laufenden.

Melden Sie sich an, um die neuesten Updates, Insights und exklusive Event-Einladungen von uns zu erhalten.

Ansprechpartner für die Schweiz

Dr. Raphael Reischuk

Group Head Cybersecurity & Partner

Raphael Reischuk ist Autor zahlreicher wissenschaftlicher Publikationen in verschiedenen Bereichen der IT-Sicherheit und Kryptographie, für die er mehrfach ausgezeichnet wurde. So wurde Raphael im Jahr 2021 von BILANZ und der Handelszeitung zu einem der Top 100 Digital Shapers in Switzerland ernannt.

Raphael Reischuk ist Mitglied mehrerer internationaler Programmkomitees für Informationssicherheit und Vizepräsident des Cybersicherheitskomitees von digitalswitzerland; er ist Mitgründer und Vorstandsmitglied des Schweizerischen Nationalen Prüfinstituts für Cybersicherheit (NTC).

Er ist seit 2017 bei Zühlke und leitet als Group Head den Bereich Cybersecurity mit Expertise in verschiedenen Branchen. Als erfahrener Informationssicherheitsexperte ist er angetrieben von Neugier, Innovation, Technologie, Engagement und einem starken Business-Fokus. 

Kontakt
Vielen Dank für Ihre Nachricht.