Blackfort TechnologyBlackfort Technology

Cyber Resilience Act für Maschinenbau & industrielle Automatisierung

Blackfort Technology · Cyber Resilience Act nach Branche

Hinweis: Dieser Beitrag bietet allgemeine technisch-organisatorische Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und ist keine Rechtsberatung. Maßgeblich ist stets der geltende Verordnungstext; eine verbindliche Beurteilung Ihres Einzelfalls ersetzt dieser Beitrag nicht. Blackfort Technology erbringt technisch-organisatorische IT-Security- und Compliance-Beratung, keine Rechtsdienstleistungen i.S.d. RDG.

Der Cyber Resilience Act (CRA), die Verordnung (EU) 2024/2847, führt erstmals horizontale Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen" ein. Für den Maschinenbau und die industrielle Automatisierung ist das mehr als eine Rechtsfrage: Steuerungen, Netzwerkkomponenten, Embedded-Firmware und vernetzte Komponenten fallen im Regelfall in den Anwendungsbereich, sobald sie eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz haben (Art. 2 Abs. 1). Diese Seite gibt eine technisch-organisatorische Orientierung – keine Rechtsberatung; die konkrete Einordnung Ihrer Produkte ist stets einzelfallabhängig.

Kurz gesagt: Der CRA ist am 10. Dezember 2024 in Kraft getreten, entfaltet aber gestaffelt Wirkung. Die allgemeine Anwendung inklusive CE-Kennzeichnung gilt ab dem 11. Dezember 2027. Prüfen Sie unverbindlich Ihre Betroffenheit und verschaffen Sie sich einen Überblick im CRA-Überblick.

Zeitplan: Diese Fristen sind für Maschinenbauer relevant

Der CRA gilt nicht „ab Inkrafttreten". Die Pflichten treten gestaffelt in Kraft (Art. 71 Abs. 2). Für die Produktplanung im Maschinenbau sind vor allem zwei Termine entscheidend – und die Reihenfolge zur Maschinenverordnung ist bewusst zu beachten.

DatumWas gilt
10. Dezember 2024Inkrafttreten (Art. 71 Abs. 1) – noch keine durchsetzbaren Produktpflichten
11. Juni 2026Vorschriften zu notifizierten Stellen / Konformitätsbewertungsstellen (Kapitel IV)
11. September 2026Melde­pflichten der Hersteller bei aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen (Art. 14)
20. Januar 2027Anwendung der Maschinenverordnung (EU) 2023/1230 – vor der allgemeinen CRA-Anwendung
11. Dezember 2027Allgemeine Anwendung: grundlegende Anforderungen (Anhang I), Konformitätsbewertung, CE-Kennzeichnung

Wichtig: Die Meldepflichten nach Art. 14 greifen bereits ab dem 11. September 2026 – und betreffen auch Produkte, die bereits am Markt sind. Für Maschinen im Feld bedeutet das, dass Prozesse zur Schwachstellenbehandlung frühzeitig stehen müssen.

Produkteinordnung: Wo landen Automatisierungskomponenten typischerweise?

Der CRA kennt vier Stufen (Art. 32, Anhang VIII): den Standardfall (Selbstbewertung), wichtige Produkte Klasse I (Anhang III-I), wichtige Produkte Klasse II (Anhang III-II) und kritische Produkte (Anhang IV). Die folgende Einordnung ist bewusst mit Vorbehalt formuliert – maßgeblich ist der Einzelfall und die Kategoriebeschreibung der Durchführungsverordnung (EU) 2025/2392.

  • Viele industrielle Komponenten – etwa Mikrocontroller mit Sicherheitsfunktionen, Netzwerkverwaltung, Router/Modems/Switches oder Betriebssysteme – können häufig als wichtiges Produkt der Klasse I einzuordnen sein.
  • Bestimmte Sicherheitskomponenten – Firewalls, IDS/IPS sowie manipulationssichere Mikroprozessoren/-controller – fallen typischerweise in die Klasse II.
  • Der weit überwiegende Teil der Produkte darf sich selbst bewerten (Modul A). Klasse I kann sich selbst bewerten, sofern harmonisierte Normen oder gemeinsame Spezifikationen vollständig angewandt werden; andernfalls ist ein Dritter einzubinden (Modul B+C oder H). Nur bei Klasse II und kritischen Produkten ist eine notifizierte Stelle zwingend.

Eine belastbare Einordnung ersetzt diese Übersicht nicht. Details und Beispiele finden Sie im Artikel zu den CRA-Produktklassen.

Was der CRA inhaltlich verlangt (Anhang I)

Unabhängig von der Klasse müssen alle betroffenen Produkte die grundlegenden Anforderungen des Anhangs I erfüllen. Teil I betrifft Produkteigenschaften: ein angemessenes Cybersicherheitsniveau auf Basis einer Risikobewertung, Auslieferung ohne bekannte ausnutzbare Schwachstellen, sichere Standardkonfiguration, Schutz von Vertraulichkeit und Integrität sowie Angriffsflächen-Minimierung. Teil II betrifft die Schwachstellenbehandlung über den gesamten Unterstützungszeitraum – einschließlich SBOM, verpflichtender koordinierter Offenlegung (CVD) und sicherer Update-Verteilung.

Für vernetzte Maschinen ist besonders relevant, dass diese Anforderungen nicht mit der Auslieferung enden. Die Risikobewertung nach Anhang I ist zu dokumentieren und in der technischen Dokumentation (Anhang VII) auf die konkreten Maßnahmen abzubilden – ein durchgängiger Nachweis „von der Konstruktion bis zum Feld".

Zusammenspiel mit der Maschinenverordnung (EU) 2023/1230

Maschinenhersteller müssen im Regelfall beide Regelwerke erfüllen: die Maschinenverordnung (EU) 2023/1230, die ab dem 20. Januar 2027 gilt, und den CRA ab dem 11. Dezember 2027. Beide adressieren sich überschneidende Cybersicherheitsrisiken; der CRA erkennt dieses Zusammenspiel ausdrücklich an (Recital 53).

Praktisch nutzbar: Ein Zertifikat nach dem Cybersecurity Act (Verordnung (EU) 2019/881) kann eine Konformitätsvermutung für die Cybersicherheitsanforderungen der Maschinenverordnung begründen. Wer seine Sicherheitsarchitektur einmal sauber nach CRA-Logik aufbaut, kann Doppelarbeit über beide Verordnungen hinweg vermeiden.

Weil die Maschinenverordnung vor dem CRA anwendbar wird, empfiehlt es sich, die Cybersicherheitsanforderungen von Anfang an so zu gestalten, dass sie beide Regelwerke tragen – statt zweimal nachzurüsten.

Besondere Herausforderungen für Maschinen im Feld

Der Maschinenbau bringt Rahmenbedingungen mit, die der CRA nur teilweise abbildet – hier entsteht der eigentliche Handlungsdruck:

  • Lange Produktlebenszyklen vs. Unterstützungszeitraum: Der Hersteller muss Schwachstellen über einen Unterstützungszeitraum von mindestens 5 Jahren behandeln (oder die kürzere erwartete Nutzungsdauer). Maschinen laufen oft deutlich länger – Support-Strategie und vertragliche Regelungen sollten das adressieren.
  • SBOM für Embedded-Firmware: Anhang I Teil II verlangt eine Software-Stückliste (SBOM) in einem gängigen, maschinenlesbaren Format, mindestens für die Abhängigkeiten der obersten Ebene. Bei Embedded-Systemen mit vielen Zulieferkomponenten ist das ein echtes Datenmanagement-Thema. Ein konkretes Format schreibt die Verordnung nicht vor.
  • Sichere Updates im Feld: Sicherheitsupdates sind unverzüglich und kostenlos bereitzustellen und sicher zu verteilen; Sicherheits- von Funktionsupdates sind – wo möglich – zu trennen. Für Maschinen ohne dauerhafte Netzanbindung braucht es dafür belastbare Prozesse.
  • Technische Dokumentation (Anhang VII): Produktbeschreibung, Architektur, SBOM, CVD-Politik, Risikobewertung nach Anhang I, Angaben zum Unterstützungszeitraum. Aufbewahrung mindestens 10 Jahre bzw. für die Dauer des Unterstützungszeitraums.

Handlungsfelder und eine realistische Roadmap

1. Betroffenheit & Einordnung

Produktportfolio sichten: Welche Komponenten sind Produkte mit digitalen Elementen? Vorläufige Einordnung nach Anhang III/IV – mit Vorbehalt und dokumentierter Begründung.

2. Schwachstellen & Meldung

Prozess zur Schwachstellenbehandlung, koordinierte Offenlegung (CVD-Politik ist verpflichtend) und Meldewege nach Art. 14 aufbauen – rechtzeitig vor dem 11. September 2026.

3. SBOM & sichere Updates

SBOM für Firmware und Zulieferkomponenten etablieren, Update-Verteilung absichern, Sicherheits- von Funktionsupdates trennen.

4. Dokumentation & Konformität

Technische Dokumentation (Anhang VII), EU-Konformitätserklärung (Art. 28, Anhang V) und den passenden Konformitätsbewertungspfad (Art. 32) vorbereiten – abgestimmt mit der Maschinenverordnung.

  1. Bis Mitte 2026: Betroffenheits- und Klassenanalyse abschließen, Schwachstellen- und Meldeprozess einführen (Art. 14 ab 11.09.2026).
  2. 2026–2027: SBOM, sichere Updates, technische Dokumentation und Risikobewertung nach Anhang I aufbauen; Cybersicherheit im Einklang mit der Maschinenverordnung (ab 20.01.2027) gestalten.
  3. Vor dem 11.12.2027: Konformitätsbewertung durchführen, EU-Konformitätserklärung erstellen, CE-Kennzeichnung vorbereiten – für Klasse II und kritische Produkte notifizierte Stelle einplanen.

Die Bußgelder sind spürbar: Bei Verstößen gegen die grundlegenden Anforderungen sowie die Hersteller- und Meldepflichten (Art. 13, 14) drohen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes – der jeweils höhere Betrag. Das ist Grund genug, früh und strukturiert zu starten.

Häufige Fragen

Fällt eine industrielle Steuerung überhaupt unter den Cyber Resilience Act?
Im Regelfall ja, sobald sie eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz hat (Art. 2 Abs. 1) und als Produkt mit digitalen Elementen gilt. Die konkrete Einordnung ist einzelfallabhängig; dies ist eine technisch-organisatorische Orientierung, keine Rechtsberatung.
Braucht meine Maschine eine notifizierte Stelle für die Konformitätsbewertung?
Nicht zwingend. Der weit überwiegende Teil der Produkte darf sich selbst bewerten (Modul A). Wichtige Produkte der Klasse I können sich selbst bewerten, wenn harmonisierte Normen vollständig angewandt werden. Nur für Klasse II und kritische Produkte (z. B. typischerweise Firewalls/IDS/IPS in Klasse II) ist eine notifizierte Stelle verpflichtend (Art. 32).
Ab wann muss ich Schwachstellen und Vorfälle melden?
Die Meldepflichten nach Art. 14 gelten ab dem 11. September 2026 und betreffen auch bereits am Markt befindliche Produkte. Bei aktiv ausgenutzten Schwachstellen oder schweren Vorfällen gilt: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen 14 Tagen nach Verfügbarkeit einer Behebung (bei Schwachstellen) bzw. binnen eines Monats nach der Meldung (bei schweren Vorfällen).
Wie hängen CRA und Maschinenverordnung (EU) 2023/1230 zusammen?
Maschinenhersteller müssen im Regelfall beide erfüllen. Die Maschinenverordnung gilt ab 20. Januar 2027, die allgemeine CRA-Anwendung ab 11. Dezember 2027; beide adressieren überschneidende Cybersicherheitsrisiken (Recital 53). Ein Zertifikat nach dem Cybersecurity Act (Verordnung (EU) 2019/881) kann eine Konformitätsvermutung für die Cybersicherheitsanforderungen der Maschinenverordnung begründen.
Was bedeutet der Unterstützungszeitraum bei langlebigen Maschinen?
Der Hersteller muss Schwachstellen über einen Unterstützungszeitraum von mindestens 5 Jahren behandeln (oder die kürzere erwartete Nutzungsdauer). Da Maschinen oft deutlich länger im Einsatz sind, sollten Support-Strategie, sichere Update-Verteilung und vertragliche Regelungen frühzeitig darauf ausgelegt werden. Die technische Dokumentation ist mindestens 10 Jahre bzw. für die Dauer des Unterstützungszeitraums aufzubewahren.

Sprechen wir über Ihre CRA-Readiness

Sie möchten wissen, welche Ihrer Komponenten der CRA betrifft und wie eine realistische Roadmap bis 2027 aussieht? In einem ersten unverbindlichen Beratungsgespräch ordnet Christian Gebhardt von Blackfort Technology Ihre Ausgangslage ein und zeigt die nächsten sinnvollen Schritte auf.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.