Cyber Resilience Act für Maschinenbau & industrielle Automatisierung
Der Cyber Resilience Act (CRA), die Verordnung (EU) 2024/2847, führt erstmals horizontale Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen" ein. Für den Maschinenbau und die industrielle Automatisierung ist das mehr als eine Rechtsfrage: Steuerungen, Netzwerkkomponenten, Embedded-Firmware und vernetzte Komponenten fallen im Regelfall in den Anwendungsbereich, sobald sie eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz haben (Art. 2 Abs. 1). Diese Seite gibt eine technisch-organisatorische Orientierung – keine Rechtsberatung; die konkrete Einordnung Ihrer Produkte ist stets einzelfallabhängig.
Kurz gesagt: Der CRA ist am 10. Dezember 2024 in Kraft getreten, entfaltet aber gestaffelt Wirkung. Die allgemeine Anwendung inklusive CE-Kennzeichnung gilt ab dem 11. Dezember 2027. Prüfen Sie unverbindlich Ihre Betroffenheit und verschaffen Sie sich einen Überblick im CRA-Überblick.
Zeitplan: Diese Fristen sind für Maschinenbauer relevant
Der CRA gilt nicht „ab Inkrafttreten". Die Pflichten treten gestaffelt in Kraft (Art. 71 Abs. 2). Für die Produktplanung im Maschinenbau sind vor allem zwei Termine entscheidend – und die Reihenfolge zur Maschinenverordnung ist bewusst zu beachten.
| Datum | Was gilt |
|---|---|
| 10. Dezember 2024 | Inkrafttreten (Art. 71 Abs. 1) – noch keine durchsetzbaren Produktpflichten |
| 11. Juni 2026 | Vorschriften zu notifizierten Stellen / Konformitätsbewertungsstellen (Kapitel IV) |
| 11. September 2026 | Meldepflichten der Hersteller bei aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen (Art. 14) |
| 20. Januar 2027 | Anwendung der Maschinenverordnung (EU) 2023/1230 – vor der allgemeinen CRA-Anwendung |
| 11. Dezember 2027 | Allgemeine Anwendung: grundlegende Anforderungen (Anhang I), Konformitätsbewertung, CE-Kennzeichnung |
Wichtig: Die Meldepflichten nach Art. 14 greifen bereits ab dem 11. September 2026 – und betreffen auch Produkte, die bereits am Markt sind. Für Maschinen im Feld bedeutet das, dass Prozesse zur Schwachstellenbehandlung frühzeitig stehen müssen.
Produkteinordnung: Wo landen Automatisierungskomponenten typischerweise?
Der CRA kennt vier Stufen (Art. 32, Anhang VIII): den Standardfall (Selbstbewertung), wichtige Produkte Klasse I (Anhang III-I), wichtige Produkte Klasse II (Anhang III-II) und kritische Produkte (Anhang IV). Die folgende Einordnung ist bewusst mit Vorbehalt formuliert – maßgeblich ist der Einzelfall und die Kategoriebeschreibung der Durchführungsverordnung (EU) 2025/2392.
- Viele industrielle Komponenten – etwa Mikrocontroller mit Sicherheitsfunktionen, Netzwerkverwaltung, Router/Modems/Switches oder Betriebssysteme – können häufig als wichtiges Produkt der Klasse I einzuordnen sein.
- Bestimmte Sicherheitskomponenten – Firewalls, IDS/IPS sowie manipulationssichere Mikroprozessoren/-controller – fallen typischerweise in die Klasse II.
- Der weit überwiegende Teil der Produkte darf sich selbst bewerten (Modul A). Klasse I kann sich selbst bewerten, sofern harmonisierte Normen oder gemeinsame Spezifikationen vollständig angewandt werden; andernfalls ist ein Dritter einzubinden (Modul B+C oder H). Nur bei Klasse II und kritischen Produkten ist eine notifizierte Stelle zwingend.
Eine belastbare Einordnung ersetzt diese Übersicht nicht. Details und Beispiele finden Sie im Artikel zu den CRA-Produktklassen.
Was der CRA inhaltlich verlangt (Anhang I)
Unabhängig von der Klasse müssen alle betroffenen Produkte die grundlegenden Anforderungen des Anhangs I erfüllen. Teil I betrifft Produkteigenschaften: ein angemessenes Cybersicherheitsniveau auf Basis einer Risikobewertung, Auslieferung ohne bekannte ausnutzbare Schwachstellen, sichere Standardkonfiguration, Schutz von Vertraulichkeit und Integrität sowie Angriffsflächen-Minimierung. Teil II betrifft die Schwachstellenbehandlung über den gesamten Unterstützungszeitraum – einschließlich SBOM, verpflichtender koordinierter Offenlegung (CVD) und sicherer Update-Verteilung.
Für vernetzte Maschinen ist besonders relevant, dass diese Anforderungen nicht mit der Auslieferung enden. Die Risikobewertung nach Anhang I ist zu dokumentieren und in der technischen Dokumentation (Anhang VII) auf die konkreten Maßnahmen abzubilden – ein durchgängiger Nachweis „von der Konstruktion bis zum Feld".
Zusammenspiel mit der Maschinenverordnung (EU) 2023/1230
Maschinenhersteller müssen im Regelfall beide Regelwerke erfüllen: die Maschinenverordnung (EU) 2023/1230, die ab dem 20. Januar 2027 gilt, und den CRA ab dem 11. Dezember 2027. Beide adressieren sich überschneidende Cybersicherheitsrisiken; der CRA erkennt dieses Zusammenspiel ausdrücklich an (Recital 53).
Praktisch nutzbar: Ein Zertifikat nach dem Cybersecurity Act (Verordnung (EU) 2019/881) kann eine Konformitätsvermutung für die Cybersicherheitsanforderungen der Maschinenverordnung begründen. Wer seine Sicherheitsarchitektur einmal sauber nach CRA-Logik aufbaut, kann Doppelarbeit über beide Verordnungen hinweg vermeiden.
Weil die Maschinenverordnung vor dem CRA anwendbar wird, empfiehlt es sich, die Cybersicherheitsanforderungen von Anfang an so zu gestalten, dass sie beide Regelwerke tragen – statt zweimal nachzurüsten.
Besondere Herausforderungen für Maschinen im Feld
Der Maschinenbau bringt Rahmenbedingungen mit, die der CRA nur teilweise abbildet – hier entsteht der eigentliche Handlungsdruck:
- Lange Produktlebenszyklen vs. Unterstützungszeitraum: Der Hersteller muss Schwachstellen über einen Unterstützungszeitraum von mindestens 5 Jahren behandeln (oder die kürzere erwartete Nutzungsdauer). Maschinen laufen oft deutlich länger – Support-Strategie und vertragliche Regelungen sollten das adressieren.
- SBOM für Embedded-Firmware: Anhang I Teil II verlangt eine Software-Stückliste (SBOM) in einem gängigen, maschinenlesbaren Format, mindestens für die Abhängigkeiten der obersten Ebene. Bei Embedded-Systemen mit vielen Zulieferkomponenten ist das ein echtes Datenmanagement-Thema. Ein konkretes Format schreibt die Verordnung nicht vor.
- Sichere Updates im Feld: Sicherheitsupdates sind unverzüglich und kostenlos bereitzustellen und sicher zu verteilen; Sicherheits- von Funktionsupdates sind – wo möglich – zu trennen. Für Maschinen ohne dauerhafte Netzanbindung braucht es dafür belastbare Prozesse.
- Technische Dokumentation (Anhang VII): Produktbeschreibung, Architektur, SBOM, CVD-Politik, Risikobewertung nach Anhang I, Angaben zum Unterstützungszeitraum. Aufbewahrung mindestens 10 Jahre bzw. für die Dauer des Unterstützungszeitraums.
Handlungsfelder und eine realistische Roadmap
1. Betroffenheit & Einordnung
Produktportfolio sichten: Welche Komponenten sind Produkte mit digitalen Elementen? Vorläufige Einordnung nach Anhang III/IV – mit Vorbehalt und dokumentierter Begründung.
2. Schwachstellen & Meldung
Prozess zur Schwachstellenbehandlung, koordinierte Offenlegung (CVD-Politik ist verpflichtend) und Meldewege nach Art. 14 aufbauen – rechtzeitig vor dem 11. September 2026.
3. SBOM & sichere Updates
SBOM für Firmware und Zulieferkomponenten etablieren, Update-Verteilung absichern, Sicherheits- von Funktionsupdates trennen.
4. Dokumentation & Konformität
Technische Dokumentation (Anhang VII), EU-Konformitätserklärung (Art. 28, Anhang V) und den passenden Konformitätsbewertungspfad (Art. 32) vorbereiten – abgestimmt mit der Maschinenverordnung.
- Bis Mitte 2026: Betroffenheits- und Klassenanalyse abschließen, Schwachstellen- und Meldeprozess einführen (Art. 14 ab 11.09.2026).
- 2026–2027: SBOM, sichere Updates, technische Dokumentation und Risikobewertung nach Anhang I aufbauen; Cybersicherheit im Einklang mit der Maschinenverordnung (ab 20.01.2027) gestalten.
- Vor dem 11.12.2027: Konformitätsbewertung durchführen, EU-Konformitätserklärung erstellen, CE-Kennzeichnung vorbereiten – für Klasse II und kritische Produkte notifizierte Stelle einplanen.
Die Bußgelder sind spürbar: Bei Verstößen gegen die grundlegenden Anforderungen sowie die Hersteller- und Meldepflichten (Art. 13, 14) drohen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes – der jeweils höhere Betrag. Das ist Grund genug, früh und strukturiert zu starten.
Häufige Fragen
Fällt eine industrielle Steuerung überhaupt unter den Cyber Resilience Act?
Braucht meine Maschine eine notifizierte Stelle für die Konformitätsbewertung?
Ab wann muss ich Schwachstellen und Vorfälle melden?
Wie hängen CRA und Maschinenverordnung (EU) 2023/1230 zusammen?
Was bedeutet der Unterstützungszeitraum bei langlebigen Maschinen?
Sprechen wir über Ihre CRA-Readiness
Sie möchten wissen, welche Ihrer Komponenten der CRA betrifft und wie eine realistische Roadmap bis 2027 aussieht? In einem ersten unverbindlichen Beratungsgespräch ordnet Christian Gebhardt von Blackfort Technology Ihre Ausgangslage ein und zeigt die nächsten sinnvollen Schritte auf.
Erstgespräch anfragen Betroffenheit prüfen