CRA-PRO
Cyber Resilience Act: Praktische Resilienz für Osterreich
| Programm / Ausschreibung | KIRAS, F&E-Dienstleistungen, KIRAS-Kybernet-Pass CS F&E Dienstleistungen (CS FED_2024) | Status | laufend |
|---|---|---|---|
| Projektstart | 01.10.2025 | Projektende | 31.03.2027 |
| Zeitraum | 2025 - 2027 | Projektlaufzeit | 18 Monate |
| Projektförderung | € 276.281 | ||
| Keywords | Cybersecurity, Cyber Resilience Act | ||
Projektbeschreibung
Die Umsetzung des Cyber Resilience Act (CRA) stellt Österreich vor große Herausforderungen in den Bereichen Cybersicherheit, Marktüberwachung und wirtschaftliche Wettbewerbsfähigkeit. Während der CRA europaweit harmonisierte Anforderungen an digitale Produkte definiert, fehlen in Österreich noch klare nationale Prozesse, Verantwortlichkeiten und Unterstützungsstrukturen für Unternehmen und Behörden. Die regulatorischen Anforderungen müssen sowohl in bestehende Marktüberwachungsmechanismen als auch in unternehmerische Prozesse integriert werden, ohne dabei unnötige Bürokratie oder Hürden für KMU zu schaffen.
Das Projekt entwickelt praxisnahe Lösungen für Unternehmen, Behörden und kritische Infrastrukturen, um eine effiziente, wirtschaftlich tragfähige und koordinierte CRA-Umsetzung in Österreich sicherzustellen. Ein zentrales Ziel ist die Erhebung und Strukturierung staatlicher Zuständigkeiten, da bislang nicht klar ist, welche Behörden für die Marktüberwachung und die Umsetzung des CRA verantwortlich sind. Eine Verantwortungsmatrix wird erarbeitet, um diese Fragestellung systematisch zu klären und eine einheitliche behördliche Umsetzung zu ermöglichen. Unternehmen, insbesondere KMU, profitieren von entwickelten Leitfäden, Checklisten und Vorlagen, die eine strukturierte Umsetzung des CRA erleichtern und Kosten sowie regulatorische Unsicherheiten reduzieren.
Ein weiterer Fokus liegt auf der Integration des CRA mit bestehenden Regulierungen wie der NIS2-Richtlinie für Cybersicherheit und der RED-Richtlinie für Funkanlagen, um Synergien zu nutzen und redundante Anforderungen zu vermeiden. Zusätzlich wird analysiert, wie CRA-konforme Produkte die Sicherheit kritischer Infrastrukturen verbessern können, insbesondere in Verbindung mit den Anforderungen der NIS2-Richtlinie.
Um die nationale Umsetzung des CRA langfristig zu unterstützen, wird ein nationales Netzwerk aufgebaut, das den Austausch zwischen Behörden, Industrie und Prüfinstitutionen erleichtert und eine koordinierte österreichische Beteiligung an europäischen Standardisierungsprozessen ermöglicht. Dies ist besonders für kleinere Unternehmen wichtig, die sonst keinen direkten Einfluss auf die Entwicklung harmonisierter Standards haben.
Das Projekt wird von einem interdisziplinären Konsortium aus Forschungseinrichtungen, Behörden und Industrie durchgeführt, um eine praxisnahe, regulatorisch abgestimmte und international anschlussfähige Umsetzung sicherzustellen. Das Bundeskanzleramt (BKA) ist als staatlicher Bedarfsträger eingebunden und übernimmt die gesamtstaatliche Koordination, insbesondere im Hinblick auf europäische Abstimmungsprozesse. Durch die entwickelten Werkzeuge, Prozesse und Handlungsempfehlungen wird das Projekt einen nachhaltigen Beitrag zur Stärkung der Cybersicherheit, Wettbewerbsfähigkeit und regulatorischen Klarheit in Österreich leisten.
Abstract
The implementation of the Cyber Resilience Act (CRA) presents Austria with major challenges in the areas of cybersecurity, market surveillance and economic competitiveness. While the CRA defines harmonized requirements for digital products across Europe, Austria still lacks clear national processes, responsibilities and support structures for companies and authorities. The regulatory requirements must be integrated into both existing market surveillance mechanisms and business processes without creating unnecessary bureaucracy or hurdles for SMEs.
The project develops practical solutions for companies, authorities and critical infrastructures to ensure efficient, economically viable and coordinated CRA implementation in Austria. A central goal is to collect and structure state responsibilities, as it is not yet clear which authorities are responsible for market surveillance and the implementation of the CRA. A responsibility matrix is being developed to systematically clarify this issue and enable uniform official implementation. Companies, especially SMEs, benefit from developed guidelines, checklists and templates that facilitate a structured implementation of the CRA and reduce costs and regulatory uncertainty.
Another focus is on integrating the CRA with existing regulations such as the NIS2 Directive for cybersecurity and the RED Directive for radio equipment in order to exploit synergies and avoid redundant requirements. In addition, it is analyzed how CRA-compliant products can improve the security of critical infrastructures, especially in conjunction with the requirements of the NIS2 Directive.
In order to support the national implementation of the CRA in the long term, a national network is being set up that facilitates the exchange between authorities, industry and testing institutions and enables coordinated Austrian participation in European standardization processes. This is particularly important for smaller companies that otherwise have no direct influence on the development of harmonized standards.
The project is being carried out by an interdisciplinary consortium of research institutions, authorities and industry in order to ensure a practical, regulatory-coordinated and internationally compatible implementation. The Federal Chancellery (BKA) is involved as a state-required authority and is responsible for national coordination, particularly with regard to European coordination processes. Through the tools, processes and recommendations for action developed, the project will make a sustainable contribution to strengthening cybersecurity, competitiveness and regulatory clarity in Austria.