Zum Inhalt springen
Skip to content
Regulatorik / Cyber Resilience Act

Der Cyber Resilience Act beendet
die Ära der Eigenbau-LIMS.

Die EU-Verordnung 2024/2847 erzwingt Security-by-Design und kontinuierliche Updates. Warum alte Access-Datenbanken und lokale On-Premise-Systeme ab sofort zur persönlichen Haftungsfalle für die Labor-Geschäftsführung werden.

Hinweis: Wir sind Software-Architekten, keine Rechtsberater. Wir lösen das technische Problem.

01
CRA zwingt OS-Updates
02
Eigenbau-LIMS inkompatibel
03
NIS-2 / DSGVO-Strafe
FIG.B — KASKADIERENDES COMPLIANCE-RISIKO
Die Inhouse-Ausnahme-Falle

„Wir nutzen das LIMS nur intern.“ Warum dieses Argument 2026 nicht mehr rettet.

§ B.01CRA · NIS-2 · DSGVO Art. 32

Auf den ersten Blick nimmt der CRA (Artikel 3) intern entwickelte Software von der CE-Pflicht aus. Viele kleine Labore glauben daher, ihre 10 Jahre alte FileMaker- oder Access-Lösung sei sicher. Das ist ein fataler Trugschluss.

Erstens greift die NIS-2-Richtlinie: Sie fordert auch für interne Systeme exakt das gleiche Schutzniveau. Zweitens stirbt der Eigenbau am Domino-Effekt: Kommerzielle Betriebssysteme (Windows Server) werden durch den CRA zu extrem kurzen Update-Zyklen gezwungen. Die alte Labor-Software überlebt diese Updates technisch nicht.

Bleibt der Server ungepatcht, verstoßen Sie unmittelbar gegen Art. 32 DSGVO (Sicherheit der Verarbeitung). Der juristische Tod der Eigenbau-Lösung ist besiegelt.

Fristen & Stichtage

Der Countdown läuft. Ab wann der CRA zubeißt.

Der Cyber Resilience Act ist bereits am 10. Dezember 2024 offiziell in Kraft getreten. Hier sind die kritischen Meilensteine.

  1. Juni 2026

    Auditoren-Setup

    Notifizierung der Konformitätsbewertungsstellen. Die Infrastruktur für zwingende Drittprüfungen von Hochrisikoprodukten steht.

  2. Sept 2026

    Meldepflichten

    Ab hier wird es ernst: Aktiv ausgenutzte Schwachstellen müssen zwingend an die ENISA gemeldet werden. Gilt auch für Alt-Produkte.

  3. Dez 2027

    Vollständige Anwendbarkeit

    Security by Design, SBOM-Pflicht und CE-Kennzeichnung sind vollumfänglich bindend. Keine Ausnahmen mehr.

Architektur-Weiche

Warum On-Premise-LIMS unter dem CRA unkalkulierbar werden.

Der historische GxP-Grundsatz lautete: „Never touch a running system." Jedes Update erforderte eine monatelange Re-Validierung. Der CRA fordert das Gegenteil: kontinuierliche, unverzügliche Sicherheitsupdates.

Vergleich: On-Premise LIMS gegen SaaS LIMS unter CRA und Annex 11
ArchitekturKonsequenz
RisikoOn-Premise LIMS (Lokal)

Der Hersteller verliert die Kontrolle an der Kunden-Firewall. Labore spielen Patches aus Angst vor Validierungsverlust nicht ein. Resultat: Ungepatchte Systeme, massive Haftung.

LösungSaaS LIMS (wie Laboros)

SaaS ist primär von den starren Produkt-Regeln des CRA ausgenommen (fällt unter NIS-2). Der Anbieter patcht zentral (Zero-Day-Patching). Kunden profitieren sofort, ohne lokale IT-Eingriffe.

RegulatorikDie EudraLex Annex 11 Lösung

Annex 11 zwingt Anbieter künftig, Security-Patches von Funktions-Updates sauber zu trennen. SaaS-Anbieter können das serverseitig leisten — alte Client-Server-Eigenbauten niemals.

Beweislastumkehr & Organhaftung

„Wer Software einsetzt, die keine Sicherheitsupdates mehr erhält, handelt schlicht fahrlässig.“

— Thomas Caspers, Vizepräsident des BSI

Dieses Zitat der höchsten deutschen Cybersicherheitsbehörde ist juristisch toxisch. Kommt es durch eine veraltete LIMS-Software zum Cyber-Vorfall, haftet der Geschäftsführer persönlich mit seinem Privatvermögen (§ 43 GmbHG).

Besonders tückisch: Die Beweislastumkehr. Sie müssen proaktiv beweisen, dass Sie Ihre Pflichten nicht verletzt haben. Mit einer 10 Jahre alten Access-Datenbank ist dieser Entlastungsbeweis faktisch unmöglich.

FAQ

Häufige Fragen zur CRA-Compliance im Labor

  • Reine Cloud-SaaS-Anwendungen fallen in der Regel nicht unter den Produktbegriff des CRA, sondern werden als Dienstleistung unter der NIS-2-Richtlinie reguliert. Der Vorteil: Die Verantwortung für das Patching liegt zentral beim Anbieter, nicht lokal beim Labor.

Lagern Sie das Patch-Risiko aus.
SaaS ist Ihr rechtlicher Schutzschild.

In 30 Minuten zeigen wir Ihnen, wie Laboros das Vulnerability-Handling und die GxP-Validierung zentral löst — ohne dass Ihre IT eingreifen muss.

EU-Hosting (Hetzner), NIS-2-konform, SaaS-Architektur. Keine Rechtsberatung, nur robuste Technik.

  • GxP-ready
  • NIS-2 konform
  • EU-Hosting
  • Zero-Day-Patching