Cybersecurity 2026: Anforderungen aus dem Cybersecurity Resilience Act und der IEC 81001-5-1

Autor:innen:

Sebastian Wittor Projektmanager

Julia Schliesch Marketing Generalist bei BAYOOMED

Spätestens 2026 ist Cybersecurity ein zentraler Bestandteil regulatorischer Compliance und unternehmerischer Strategie. Neue gesetzliche Vorgaben, strengere Konformitätsbewertungen und wachsende Anforderungen entlang des gesamten Produktlebenszyklus zwingen Unternehmen dazu, ihre Cybersecurity-Strukturen kritisch zu überprüfen und weiterzuentwickeln.

Besonders zwei Regelwerke stehen dabei im Fokus: der Cybersecurity Resilience Act und die IEC 81001-5-1. Letzteres wird in Audits deutlich stärker berücksichtigt und stellen strengere Anforderungen an Prozesse, Organisation und technische Umsetzung.

Cybersecurity Resilience Act: Neue Maßstäbe für Produkt-Cybersecurity

Der Cybersecurity Resilience Act (CRA) gewinnt 2026 weiter an Relevanz, da zusätzliche Stufen der Verordnung in Kraft treten. In der Medizintechnik sind Anforderungen hinsichtlich Cybersecurity bei der Entwicklung von Medizinprodukten seit Langem etabliert. Der Cybersecurity Resilience Act überträgt nun ähnliche Grundanforderungen auf andere Bereiche, insbesondere auf Software und digitale Produkte im Gesundheitswesen, die nicht als Medizinprodukte klassifiziert sind.

Der Cybersecurity Resilience Act verlangt, dass Cybersecurity systematisch über den gesamten Produktlebenszyklus hinweg berücksichtigt wird. Dazu gehören unter anderem:

  • ein strukturiertes Vulnerability Management

  • Transparenz über eingesetzte Softwarekomponenten durch SBOM

  • sichere Softwareentwicklungsprozesse

  • nachvollziehbare Reaktionsmechanismen auf Sicherheitsvorfälle

IEC 81001-5-1: Cybersecurity im Entwicklungslebenszyklus verankern

Die Norm IEC 81001-5-1 ist bereits seit einigen Jahren veröffentlicht, gewinnt jedoch immer mehr spürbar an Bedeutung. Konformitätsbewertungsverfahren prüfen Cybersecurity-Aspekte zunehmend detailliert, und viele Unternehmen stellen fest, dass bestehende Entwicklungsprozesse diesen Anforderungen nicht vollständig gerecht werden.

Die IEC 81001-5-1 unterstützt Unternehmen dabei, einen sicheren Entwicklungslebenszyklus zu etablieren, in dem Cybersecurity von Beginn an berücksichtigt wird. Dies umfasst unter anderem Risikoanalysen, Sicherheitsanforderungen, Designentscheidungen, Tests und Dokumentation.

Aus der Praxis zeigt sich deutlich: Cybersecurity direkt entlang der IEC 81001-5-1 umzusetzen ist wesentlich effizienter, als Sicherheitsmaßnahmen später nachzuziehen. Wer Cybersecurity erst kurz vor einem Audit adressiert, geht ein erhöhtes Risiko ein, dass die Maßnahmen nicht ausreichen und Nacharbeit erforderlich wird.

Cybersecurity in der Post-Market-Phase: Pflicht und Risiko zugleich

Ein häufig unterschätzter Bereich ist die Post-Market-Phase. Dabei sind Cybersecurity-Aktivitäten hier unter anderem im Rahmen der MDR verpflichtend. Unternehmen müssen Prozesse etablieren, um Schwachstellen zu bewerten, Sicherheitsmeldungen zu überwachen und geeignete Maßnahmen umzusetzen.

Fehlende oder unzureichende Post-Market-Cybersecurity-Prozesse können jederzeit zu ausnutzbaren Schwachstellen führen. Neben regulatorischen Konsequenzen drohen auch Reputationsschäden und negative öffentliche Wahrnehmung. Gleichzeitig zeigt sich, dass ein klar definierter Prozess meist einfacher umzusetzen ist als erwartet, wenn Verantwortlichkeiten und Abläufe sauber geregelt sind.

Software Supply Chain Security: Risiken gezielt steuern

Software Supply Chain Security beschreibt Maßnahmen, mit denen Unternehmen sicherstellen, dass Software über ihren gesamten Lebenszyklus hinweg sicher und nachvollziehbar bleibt. Dabei liegt der Fokus auf externe Komponenten, Prozesse und Abhängigkeiten.

Third-Party Libraries und Dependencies können die Entwicklungsprozesse beschleunigen, aber auch Risiken mit sich bringen. Unbekannte oder veraltete Komponenten können Schwachstellen einführen, die die Sicherheit des gesamten Produkts beeinträchtigen.

Ein weiterer Faktor sind Build-, CI/CD- und Release-Prozesse. Unsichere oder unzureichend kontrollierte Abläufe können dazu führen, dass manipulierte Software ausgeliefert wird. Ebenso erhöhen Subsysteme und Integrationen die Angriffsfläche, wenn Sicherheitsanforderungen und Schnittstellen nicht klar definiert sind.

Entscheidend ist der Blick auf Risiken über den gesamten Lebenszyklus hinweg. Software Supply Chain Security endet nicht mit dem Release, sondern erfordert kontinuierliches Monitoring, Vulnerability Management und klare Prozesse in der Post-Market-Phase.

Audits 2026: Warum Vorbereitung entscheidend ist

Insbesondere die Themen IEC 81001-5-1, Post-Market-Cybersecurity und Supply Chain Security werden 2026 strenger geprüft und können bei unzureichender Vorbereitung zu unerwarteten Abweichungen führen. Unternehmen, die Cybersecurity frühzeitig strategisch angehen, reduzieren nicht nur Auditrisiken, sondern schaffen auch langfristige Sicherheit und Transparenz.

Fazit: Cybersecurity strategisch und frühzeitig angehen

Cybersecurity wird 2026 für viele Unternehmen zu einem entscheidenden Erfolgs- und Risikofaktor. Der Cybersecurity Resilience Act und die IEC 81001-5-1 machen deutlich, dass Cybersecurity nicht mehr isoliert betrachtet werden kann. Es muss fest in Entwicklungsprozesse, Organisationsstrukturen und den gesamten Produktlebenszyklus integriert werden.

Es lohnt sich, frühzeitig über die Umsetzung von Cybersecurity nachzudenken, da dies mittelfristig für das Gesamtprojekt deutlich kosteneffizienter ist. Allein der nachträgliche Aufwand für Cybersecurity-Dokumentation kann den Faktor 1,5 bis 2 erreichen, zusätzliche Aufwände im Requirements Engineering und in der Architektur- und Entwicklungsanpassung noch nicht eingerechnet. Unternehmen, die Cybersecurity frühzeitig und systematisch umsetzen, reduzieren nicht nur Audit- und Haftungsrisiken, sondern schaffen auch langfristige Transparenz und Sicherheit.

Besonders wichtig ist dabei, Cybersecurity nicht als einmalige Maßnahme oder reine Dokumentationspflicht zu verstehen. Nachhaltige Prozesse, klare Verantwortlichkeiten und eine kontinuierliche Betrachtung in der Post-Market-Phase sowie entlang der Lieferkette sind entscheidend, um regulatorischen Anforderungen gerecht zu werden und Sicherheitsrisiken wirksam zu beherrschen.