Der Cyber Resilience Act (CRA) verpflichtet Softwarehersteller in der EU zu verbindlichen Sicherheitsstandards. Für Bauunternehmen ändert sich damit die Grundlage, auf der sie Software auswählen und betreiben. Die konsequente Einhaltung des CRA durch Anbieter wie NEVARIS wird zum unumgänglichen Qualitäts- und Wettbewerbsvorteil, da IT-Sicherheit zur unternehmerischen Sorgfaltspflicht wird. Daniel Heide, Head of Productmanagement bei NEVARIS Finance, ordnet die neuen Anforderungen ein und erklärt, was das für den Arbeitsalltag auf der Baustelle und im Büro bedeutet.
Der Cyber Resilience Act im Überblick
Der CRA trat am 11. Dezember 2024 in Kraft und setzt EU-weit Mindestanforderungen an die Cybersicherheit digitaler Produkte und Software. Die volle Anwendung beginnt im Dezember 2027.
Bauunternehmen sind als Nutzer betroffen: Sie müssen bei der Softwareauswahl stärker auf Sicherheitsnachweise und Update-Prozesse ihrer Anbieter achten. Hersteller müssen Sicherheit by-design liefern, Schwachstellen managen und Sicherheitsupdates bereitstellen.
Unsichere Software kann Projektabläufe, Zahlungsprozesse und personenbezogene Daten gefährden.
Bauunternehmen brauchen keine eigenen IT-Security-Experten, sie brauchen einen Softwarepartner mit nachvollziehbaren Sicherheitsprozessen.
IT-Sicherheit wird zur Sorgfaltspflicht
Cybersicherheit war in der Baubranche lange ein Randthema. Die meisten Unternehmen haben sich auf funktionale Anforderungen und den Preis konzentriert, wenn sie neue Software ausgewählt haben. Mit dem CRA ändert sich diese Perspektive grundlegend.
„Der wichtigste Perspektivwechsel ist: IT-Sicherheit ist nicht mehr „nice to have“ oder eine Aufgabe einzelner Spezialisten, sondern Teil der unternehmerischen Sorgfaltspflicht, vergleichbar mit der Arbeitssicherheit auf der Baustelle“, sagt Daniel Heide.
Software muss über ihren gesamten Lebenszyklus sicher betrieben werden, mit klaren Verantwortlichkeiten, dokumentierten Prozessen und kontinuierlichen Updates. Für Bauunternehmen heißt das: aktiv prüfen, ob die eingesetzten Systeme und ihre Anbieter Sicherheit systematisch nachweisen, Sicherheitslücken zügig schließen und transparent kommunizieren. Wer bei der Softwareauswahl nur auf Funktionsumfang und Preis schaut, riskiert Probleme in Projekten, Lieferketten und Geschäftsprozessen.
Was der CRA konkret regelt
Der Cyber Resilience Act setzt EU-weit Mindestanforderungen an die Cybersicherheit von digitalen Produkten und Software fest. Das betrifft den gesamten Produktlebenszyklus: Entwicklung, Bereitstellung, Updates und Umgang mit Schwachstellen.
Hersteller müssen Sicherheit by-design und by-default liefern, Schwachstellen managen, Sicherheitsupdates bereitstellen und Pflichten zur Dokumentation und Meldung erfüllen. Bauunternehmen sind dabei auf zwei Ebenen betroffen.
Erstens als Nutzer: Sie sollten bei der Auswahl von Software stärker auf Sicherheitsfähigkeit und belastbare Nachweise des Anbieters achten. Zweitens über Risiko und Verlässlichkeit: Unsichere Software kann Projektabläufe, Zahlungsprozesse und personenbezogene Daten beeinträchtigen und reale wirtschaftliche Schäden auslösen.
“Ein professioneller Softwarepartner, der Sicherheit konsequent mitliefert, wird zum zentralen Baustein, um Risiken zu minimieren und Sicherheit dauerhaft im Betrieb zu verankern.”
Daniel Heide Head of Product Management NEVARIS Finance
Was der CRA für Softwarehersteller bedeutet
Für Softwarehersteller wie NEVARIS bringt der CRA einen grundlegenden Wandel: Sicherheitsanforderungen werden zu verbindlichen Kernanforderungen an jedes Produkt.
Konkret bedeutet das drei Dinge:
Secure by Design, Secure by Default
Sicherheit muss von Anfang an in die Produktentwicklung integriert sein. Produkte dürfen keine schwachen Standard-Passwörter verwenden, Sicherheitsupdates müssen automatisch bereitstehen, und Schutzmechanismen müssen ab Werk aktiv sein.
Schwachstellenmanagement und Meldepflichten
Hersteller müssen während des gesamten Supportzeitraums Sicherheitsupdates bereitstellen und ein strukturiertes Schwachstellenmanagement betreiben. Dazu gehören schnelle Analyse und Behebung gemeldeter Lücken sowie Meldepflichten für ausgenutzte Schwachstellen und Sicherheitsvorfälle.
Dokumentation und Nachweispflicht
Hersteller müssen die Sicherheit ihrer Produkte dokumentieren und nachweisen können. Das schafft Transparenz und gibt Kunden die Möglichkeit, Anbieter miteinander zu vergleichen.
Warum Altlösungen zum Risiko werden
Der CRA hat auch Konsequenzen für ältere Softwareprodukte. Lösungen, die technisch veraltet sind oder auf Architekturen basieren, die sich nicht wirtschaftlich auf das geforderte Sicherheitsniveau bringen lassen, können die CRA-Anforderungen häufig nicht erfüllen. Hersteller stehen deshalb vor der Entscheidung, veraltete Produkte entweder aufwändig nachzurüsten oder den Support kontrolliert zu beenden und Kunden auf moderne, sichere Plattformen zu migrieren.
Das betrifft auch die Baubranche. Wenn Softwareanbieter Altlösungen abkündigen, steckt dahinter oft keine willkürliche Entscheidung. Die CRA-Anforderungen an durchgängige Sicherheit, Schwachstellenmanagement und Update-Fähigkeit lassen sich mit veralteter Technologie schlicht nicht mehr zuverlässig erfüllen. Eine Migration auf aktuelle Plattformen schützt Kunden langfristig besser, weil sie auf Systemen arbeiten, die von Grund auf für diese Anforderungen gebaut sind.
Stefan Neumann, Director Product Management, zum Umgang mit dem CRA innerhalb der NEVARIS-Produktpalette: “Wir haben in den vergangenen Jahren sehr klar evaluiert, welche älteren Lösungen unseres Produktportfolios den Anforderungen nicht mehr gerecht werden und konsequent begonnen, diese Lösungen Schritt für Schritt aus dem Sortiment der NEVARIS zu nehmen.”
Hierbei sind frühzeitige Kommunikation und Erklärung für eben diese Sorgfaltspflicht sehr wichtig, wie Stefan Neumann, Director Product Management, ergänzt:
“Wir gehen sensibel und mit großem zeitlichen Vorlauf und einem klaren Angebot in die Information zu Produktabkündigungen. Bei uns sind Support und Professional Service stark eingebunden, um Anwendende abzuholen.”
Stefan Neumann Director Product Management NEVARIS
Wie NEVARIS Kunden bei der CRA-Konformität unterstützt
NEVARIS hat das Thema CRA früh aufgegriffen, weil Kunden in der Baubranche zunehmend cloudbasiert und vernetzt arbeiten. Die konsequente CRA-Konformität ist dabei ein zentrales Qualitätsmerkmal und ein klarer Vorteil von NEVARIS.
„Unsere Kunden profitieren von einem Anbieter, der Sicherheitsanforderungen systematisch in Betrieb und Weiterentwicklung verankert“, sagt Daniel Heide. Dazu gehören klare Prozesse für Patch- und Release-Management, ein professionelles Schwachstellenmanagement sowie definierte Verantwortlichkeiten und Dokumentation.
Konkrete Risiken auf der digitalen Baustelle
Baustellen werden digitaler: Cloud-basierte Projekträume, vernetzte Maschinen und BIM-Modelle. Die Risiken durch unzureichende IT-Sicherheit gehen dabei weit über reinen Datenverlust hinaus und treffen unmittelbar die Wertschöpfung auf der Baustelle und im Büro.
Daniel Heide nennt Beispiele aus der Praxis: „Wenn Zugriffsrechte falsch gesetzt sind oder Konten kompromittiert werden, können Angebote, Nachträge, Rechnungen oder Zahlungsfreigaben manipuliert werden. In Projekträumen können Pläne und Modelle gezielt verändert werden, mit Folgen wie Fehlbestellungen, Terminverzug oder Qualitätsmängeln.“
Bei vernetzten Maschinen und IoT-Komponenten drohen Betriebsunterbrechungen, weil Systeme ausfallen oder absichtlich blockiert werden. Angriffe erfolgen außerdem häufig über die Lieferkette, also über Tools, Integrationen oder Dienstleister, die im Alltag mitgenutzt werden.
Mit dem CRA werden Nachweis und Verantwortung stärker professionalisiert. Bauunternehmen sollten darauf achten, dass Anbieter nachvollziehbare Sicherheitsprozesse, schnelle Reaktionszeiten bei Schwachstellen und klare Kommunikationswege im Vorfall bieten. Ein verlässlicher Softwarepartner reduziert das Risiko, dass aus einem IT-Vorfall ein Projekt- und Haftungsproblem wird.
Kein Mehraufwand, wenn der Softwarepartner mitdenkt
Viele Bauunternehmen befürchten zusätzlichen Aufwand durch den CRA. Daniel Heide sieht das differenziert: „Die Sorge vor Mehraufwand ist verständlich. Gleichzeitig wird es immer wichtiger, Softwarepartner zu haben, die das notwendige Security-Know-how im Haus haben und die Anforderungen des CRA professionell umsetzen.“
Viele Pflichten liegen beim Hersteller und Betreiber der Software: strukturiertes Schwachstellenmanagement, nachvollziehbare Dokumentation, schnelle Sicherheitsupdates und klare Prozesse für den Umgang mit Vorfällen. NEVARIS Finance unterstützt Kunden durch standardisierte, sichere Bereitstellung, geregelte Update-Prozesse und transparente Verantwortlichkeiten. Die Basis auf Microsoft Dynamics 365 Business Central sorgt für eine robuste Plattform mit hohen Sicherheitsstandards. NEVARIS stellt sicher, dass Branchenprozesse und Integrationen in dieses Sicherheitsniveau eingebettet sind.
„Niemand muss selbst IT-Security-Experte werden. Entscheidend ist, die richtigen Fragen zu stellen und mit Partnern zu arbeiten, die klare Antworten geben“, betont Daniel Heide. Sein Rat: Lassen Sie sich erklären, wie Sicherheitsupdates bereitgestellt werden, wie Schwachstellen bewertet und behoben werden, welche Standards als Nachweis dienen und wie im Incident-Fall kommuniziert wird. Wenn diese Punkte transparent sind, ist ein großer Teil der CRA-Anforderungen bereits pragmatisch abgedeckt.
Vorsprung durch die Nemetschek Gruppe
NEVARIS gehört zur Nemetschek Gruppe. Das bringt Vorteile bei der CRA-Umsetzung: gruppenweite Security-Standards, gebündelter Erfahrungsaustausch und eine strategische Verankerung von Cyber-Resilienz. CRA-Anforderungen lassen sich so strukturiert in Roadmaps und Governance übersetzen.
Für NEVARIS Build kommt die fachliche Kompetenz im Haus hinzu, die Sicherheitsanforderungen praxisnah in Bauprozesse und Workflows überträgt. Der Fahrplan folgt einem klaren Prinzip: Risiken minimieren, Nachweise schaffen, Prozesse etablieren und kontinuierlich verbessern. Das umfasst technische Maßnahmen wie sichere Architektur, Härtung und Monitoring, organisatorische Maßnahmen wie definierte Verantwortlichkeiten und Incident-Prozesse sowie die Fähigkeit, Kunden transparent zu informieren.
„CRA-Umsetzung ist ein dauerhafter Sicherheitsbetrieb, und genau hier ist ein stabiler, erfahrener Anbieterverbund im Vorteil“, fasst Daniel Heide zusammen.
Fazit: Spielregeln für Softwarehersteller im Umbruch
Der Cyber Resilience Act verändert die Spielregeln für Software in der Baubranche. Hersteller müssen Sicherheit nachweisbar liefern, und Bauunternehmen müssen bei der Softwareauswahl genauer hinschauen. Die gute Nachricht: Wer mit einem Anbieter arbeitet, der Sicherheitsprozesse systematisch betreibt und transparent dokumentiert, hat den größten Teil der neuen Anforderungen bereits abgedeckt. NEVARIS unterstützt seine Kunden genau an dieser Stelle, sowohl mit NEVARIS Finance auf Basis von Microsoft Dynamics 365 Business Central als auch mit NEVARIS Build im Verbund der Nemetschek Gruppe.
FAQ: Cyber Resilience Act
Die wichtigsten Fragen und Antworten zur Umsetzung des CRA’s in Bausoftware:
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die am 11. Dezember 2024 in Kraft trat. Sie verpflichtet Hersteller digitaler Produkte und Software zu verbindlichen Sicherheitsstandards über den gesamten Produktlebenszyklus.
Ja. Bauunternehmen sind als Nutzer betroffen, weil sie bei der Softwareauswahl stärker auf Sicherheitsfähigkeit und Nachweise des Anbieters achten sollten. Unsichere Software kann Projektabläufe und Zahlungsprozesse gefährden.
Nein. Die meisten Pflichten liegen beim Softwarehersteller. Für Bauunternehmen kommt es darauf an, die richtigen Fragen zu stellen: Wie werden Sicherheitsupdates bereitgestellt? Wie werden Schwachstellen behoben? Welche Standards dienen als Nachweis?
NEVARIS hat Sicherheitsanforderungen systematisch in Betrieb und Weiterentwicklung verankert. Dazu gehören Patch-Management, Schwachstellenmanagement und ein ISO 27001-zertifiziertes Informationssicherheitsmanagement (Nemetschek Gruppe, seit Ende 2024). NEVARIS Finance basiert auf Microsoft Dynamics 365 Business Central, NEVARIS Build profitiert vom Verbund der Nemetschek Grupp
Der CRA trat am 11. Dezember 2024 in Kraft. Ab September 2026 gelten Meldepflichten für Schwachstellen, ab Dezember 2027 alle weiteren Anforderungen. Bauunternehmen sollten bereits jetzt bei der Softwareauswahl auf CRA-konforme Anbieter achten.
Bildnachweis: Adobe Stock, NEVARIS
