Was regelt der Cyber Resilience Act der EU?
Der Cyber Resilience Act verpflichtet Hersteller digitaler Produkte ab September 2026 dazu, Security von Anfang an mitzudenken. Dazu gehören eine SBOM-Pflicht, Schwachstellenmanagement über den gesamten Lebenszyklus und Security-Updates für mindestens fünf Jahre.
CRA im Maschinenbau: Fristen & RoadmapDer Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals horizontale, verbindliche Cybersecurity-Anforderungen an "Produkte mit digitalen Elementen" stellt — also an nahezu jede Hard- und Software mit Datenverbindung, die in der EU in Verkehr gebracht wird. Adressat sind primär Hersteller, daneben Importeure und Händler. Der CRA ist im Dezember 2024 in Kraft getreten; seine Hauptpflichten gelten gestaffelt bis zur vollen Anwendbarkeit im Dezember 2027. Anders als eine Richtlinie wie NIS2 gilt der CRA als Verordnung unmittelbar in allen Mitgliedstaaten, ohne nationale Umsetzung.
Die Kernpflichten umfassen Security-by-Design und -by-Default, ein Schwachstellenmanagement über den gesamten Lebenszyklus, das Bereitstellen von Security-Updates über einen festgelegten Unterstützungszeitraum, eine SBOM sowie Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle. Die Pflichten werden gestaffelt wirksam: Die Meldepflichten greifen früher, die SBOM-Pflicht ab September 2026, während die vollständige Geltung der Hauptpflichten 2027 folgt.
Für Industrieunternehmen ist der CRA ein erheblicher Treiber Richtung DevSecOps. Eine SBOM bei jedem Release, kontinuierliches Schwachstellen-Monitoring der eingebundenen Komponenten und ein belastbarer Update-Prozess lassen sich praktisch nur über automatisierte CI/CD-Pipelines wirtschaftlich darstellen. Wer Produkte mit langen Feldlaufzeiten ausliefert — typisch im Maschinenbau und in der Automatisierung — muss zudem den Update-Kanal über Jahre verlässlich betreiben.
Typische Stolpersteine: Hersteller unterschätzen den Lebenszyklus-Aspekt und planen nur die Erstauslieferung, nicht den jahrelangen Betrieb des Update- und Schwachstellenprozesses. Oder die SBOM wird als formale Hürde behandelt statt als operatives Werkzeug zur Betroffenheitsanalyse. Auch die Einstufung in die Produktkategorien (Standard, "wichtig", "kritisch") wird häufig zu spät geklärt, obwohl sie den Konformitätsweg bestimmt.
Update-Versprechen über die Feldlaufzeit absichern
Ein Hersteller industrieller Geräte richtet einen signierten OTA-Update-Kanal mit Staging-Rollout und Rollback ein, um Security-Updates über den vom CRA geforderten Unterstützungszeitraum zuverlässig ausliefern zu können — auch für Geräte, die zehn Jahre im Feld stehen.
SBOM-Pflicht ab September 2026 erfüllen
Ein Anbieter koppelt die SBOM-Erzeugung an jeden Build, sodass ab dem Stichtag im September 2026 jedes Release eine aktuelle, maschinenlesbare Komponentenliste mitführt und diese auf behördliche Anfrage bereitgestellt werden kann.
- Welche Produkte fallen unter den CRA?
- Grundsätzlich alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden — von vernetzten Industriegeräten über Software bis zu Komponenten. Ausgenommen sind einige bereits anderweitig regulierte Bereiche wie Medizinprodukte oder Automotive. Produkte werden je nach Risiko in Kategorien eingeteilt, die den Konformitätsweg bestimmen.
- Ab wann greifen die CRA-Pflichten genau?
- Die Anwendung ist gestaffelt: Die Meldepflichten für ausgenutzte Schwachstellen und schwerwiegende Vorfälle greifen zuerst, die SBOM-Pflicht ab September 2026, und die vollständige Geltung der zentralen Hersteller-Pflichten folgt 2027. Hersteller sollten den Aufbau der Prozesse an diesem Zeitplan ausrichten.
- Wie verhält sich der CRA zur IEC 62443?
- Der CRA setzt die rechtliche Pflicht, die IEC 62443 liefert einen anerkannten technischen Rahmen zu ihrer Erfüllung im industriellen Kontext. Harmonisierte Normen werden den konkreten Konformitätsnachweis erleichtern; etablierte Standards wie die IEC 62443 sind ein naheliegender Baustein dafür.
- Was ist der Unterschied zwischen CRA und NIS2?
- Der CRA reguliert Produkte: Er stellt Cybersecurity-Anforderungen an die Hard- und Software selbst, die in der EU in Verkehr gebracht wird. NIS2 reguliert Organisationen: Es verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu Risikomanagement und Meldewesen. Ein Maschinenbauer kann beides zugleich betreffen — als Hersteller (CRA) und als betroffenes Unternehmen (NIS2).
- Welche Strafen drohen bei Verstößen gegen den CRA?
- Der CRA sieht gestaffelte Bußgelder vor; für Verstöße gegen die grundlegenden Cybersecurity-Anforderungen drohen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zusätzlich können Aufsichtsbehörden nicht-konforme Produkte vom Markt nehmen lassen — das Marktzugangsrisiko wiegt oft schwerer als das Bußgeld.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance