Der Cyber Resilience Act (CRA) der EU enthält verbindlichere und detailliertere Anforderungen als das NIST Cybersecurity Framework, das freiwillige Leitlinien statt verpflichtender Standards vorgibt. Während NIST flexible Umsetzungsansätze ermöglicht, definiert der CRA konkrete Compliance-Mechanismen mit rechtlich durchsetzbaren Vorgaben. Unternehmen, die sich bereits an den NIST-Prinzipien orientieren, profitieren jedoch von inhaltlichen Überschneidungen, die die Vorbereitung auf die CRA-Compliance erleichtern.

Im Vergleich zum britischen Product Security and Telecommunications Infrastructure Act (PSTI) ist der Anwendungsbereich des CRA breiter und technisch detaillierter ausgestaltet. Die britische Regelung konzentriert sich hauptsächlich auf Consumer-IoT-Geräte, während der CRA auch industrielle Systeme und Unternehmenssoftware umfasst. Beide Regelwerke verfolgen das Prinzip „Security by Design“, unterscheiden sich jedoch in Zertifizierungsverfahren und Durchsetzungsstrukturen.

Branchenspezifische Normen wie IEC 62443 für industrielle Steuerungssysteme ergänzen den CRA inhaltlich. Diese Normen bieten detaillierte technische Leitlinien für Operational-Technology-Umgebungen, während der CRA den rechtlichen Rahmen vorgibt, der deren Umsetzung verbindlich macht. Hersteller, die IEC-62443-Anforderungen bereits implementiert haben, erfüllen damit viele CRA-Vorgaben, müssen jedoch zusätzliche Dokumentations- und Konformitätsnachweise erbringen.

Die internationale Regulierungslandschaft entwickelt sich kontinuierlich weiter, und eine stärkere Angleichung verschiedener Regelwerke ist möglich. Global tätige Unternehmen sollten CRA-Compliance strategisch nutzen, um auch künftige regulatorische Anforderungen in anderen Märkten effizient zu erfüllen und ein ganzheitliches, international ausgerichtetes Cybersicherheitsprogramm aufzubauen.

Hersteller benötigen Klarheit darüber, ob ihre Produkte als „Produkte mit digitalen Elementen“ (Hardware oder Software) eingestuft werden und somit den Verpflichtungen des CRA unterliegen. Dabei stellen sich insbesondere Fragen zu eingebetteter Software, Firmware, einzelnen Komponenten oder späteren Updates.

Was gilt genau als Produkt mit digitalen Elementen?

• Ein Produkt mit digitalen Elementen (PDE) ist jedes Hardware- oder Softwareprodukt, das Software enthält und dafür vorgesehen ist, direkt oder indirekt mit einem Gerät oder einem Netzwerk verbunden zu werden. Dazu zählen unter anderem Industriemaschinen, eingebettete Systeme, Steuerungen, Gateways sowie zugehörige Software, die auf dem EU-Markt bereitgestellt wird.

Löst Firmware oder ein reines Softwareprodukt eine CRA-Compliance-Pflicht aus?

• Firmware gilt ausdrücklich als Software und fällt vollständig in den Anwendungsbereich des CRA. Auch reine Softwareprodukte (z. B. kommerzielle Software, eingebettete Software, Management- oder Steuerungssoftware) unterliegen den Anforderungen, sofern sie auf dem EU-Markt in Verkehr gebracht werden. Nicht-kommerzielle Open-Source-Software ist teilweise ausgenommen.

Unterliegen Produkte, die vor der Frist 2027 verkauft wurden, der vollständigen Compliance-Pflicht?

• Produkte, die vor dem 11. Dezember 2027 auf dem EU-Markt in Verkehr gebracht wurden, müssen nicht vollständig den CRA-Vorgaben entsprechen. Wesentliche Software- oder Firmware-Updates nach diesem Datum können jedoch neue CRA-Verpflichtungen auslösen, da das Produkt rechtlich als erneut in Verkehr gebracht gelten kann. Verpflichtungen zur Meldung von Schwachstellen und Sicherheitsvorfällen greifen bereits früher (ab 2026).

Der Cyber Resilience Act stellt den umfassenden Ansatz der Europäischen Union dar, um den wachsenden Cybersicherheitsrisiken im Bereich digitaler Produkte zu begegnen. Die Gesetzgebung wurde 2022 von der Europäischen Kommission vorgeschlagen und verfolgt das Ziel, einen einheitlichen Rechtsrahmen zur Gewährleistung der Sicherheit vernetzter Produkte und zugehöriger Dienstleistungen im gesamten EU-Binnenmarkt zu schaffen.

Im Kern adressiert der CRA wesentliche Sicherheitslücken in Hard- und Softwareprodukten, einschließlich eigenständiger sowie eingebetteter Komponenten. Die Initiative entstand vor dem Hintergrund einer zunehmenden Zahl von Cyberangriffen auf vernetzte Geräte und der Erkenntnis, dass freiwillige Sicherheitsmaßnahmen nicht ausreichen, um kritische Infrastrukturen und industrielle Systeme wirksam zu schützen.

Der Anwendungsbereich des Gesetzes erstreckt sich auf nahezu alle digitalen Produkte mit direkter oder indirekter Anbindung an Netzwerke oder IT-Umgebungen. Dazu zählen eingebettete Software, eigenständige Anwendungen sowie IoT-Geräte sowohl im Verbraucher- als auch im Industriesektor. Produkte, die als „kritisch“ eingestuft werden, unterliegen strengeren Anforderungen als Standardprodukte.

Die Umsetzung des CRA erfolgt stufenweise. Wesentliche Verpflichtungen treten etwa 24 Monate nach Inkrafttreten in Kraft. Für Hersteller bedeutet dies ein begrenztes Zeitfenster, um Sicherheitsarchitekturen, Entwicklungsprozesse und Dokumentationspraktiken umfassend zu überprüfen und rechtzeitig vor Beginn der Marktüberwachung die vollständige Konformität sicherzustellen.

Die Durchsetzungsmechanismen des Cyber Resilience Act sehen erhebliche finanzielle Konsequenzen für nicht konforme Unternehmen vor. Verwaltungsstrafen können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Dieses gestufte Sanktionssystem richtet sich nach der Schwere des Verstoßes, wobei vorsätzliche oder wiederholte Nichtkonformität zu besonders hohen Bußgeldern führen kann.

Neben finanziellen Sanktionen stellen Marktzugangsbeschränkungen ein wesentliches Geschäftsrisiko dar. Nicht konforme Produkte können vom EU-Markt entfernt werden, was unmittelbare Umsatzeinbußen verursacht und kostspielige Nachbesserungsmaßnahmen erforderlich macht, bevor ein erneutes Inverkehrbringen möglich ist. Die Marktüberwachungsbehörden verfügen zudem über erweiterte Befugnisse, Produktrückrufe anzuordnen, wenn Sicherheitsmängel erhebliche Risiken darstellen.

Der Reputationsschaden geht häufig über regulatorische Maßnahmen hinaus und kann Kundenbeziehungen sowie die Marktposition nachhaltig beeinträchtigen. Da formelle Compliance-Verfahren öffentlich bekannt gemacht werden können, werden Sicherheitsdefizite für Kunden, Partner und Wettbewerber sichtbar. Für Hersteller im Bereich Industrial IoT kann dies weitreichende Auswirkungen entlang der gesamten Lieferkette haben.

Darüber hinaus schafft der regulatorische Fokus auf Dokumentation zusätzliche Haftungsrisiken. Im Rahmen von Untersuchungen prüfen Behörden nicht nur die technischen Sicherheitsmaßnahmen, sondern auch die Qualität und Vollständigkeit der Compliance-Dokumentation. Unzureichende oder lückenhafte Aufzeichnungen können selbst dann zu Sanktionen führen, wenn die technischen Sicherheitsanforderungen grundsätzlich erfüllt sind.

Kurz gesagt: Ab Dezember 2027 müssen in der EU verkaufte Maschinen mit digitalen Elementen standardmäßig cybersicher sein, aktiv gegen Schwachstellen gewartet werden und durch eine klare, dokumentierte Konformitätsnachweisführung abgesichert sein.

Um eine Maschine mit digitalen Elementen in der EU in Verkehr zu bringen, muss der Hersteller sicherstellen, dass sämtliche CRA-Anforderungen erfüllt sind. Der CRA führt verbindliche Cybersicherheitsvorgaben ein, die Planung, Design, Entwicklung und Wartung dieser Produkte betreffen. Diese Verpflichtungen gelten entlang der gesamten Wertschöpfungskette. Darüber hinaus verlangt der CRA ein strukturiertes Schwachstellenmanagement über den gesamten Produktlebenszyklus. Bestimmte, als besonders sicherheitsrelevant eingestufte Produkte müssen vor dem Inverkehrbringen eine Konformitätsbewertung durch eine benannte Stelle durchlaufen.

Die Maschine muss „secure by design“ und „secure by default“ sein. Cybersicherheit wird bereits in der Entwicklungsphase integriert und nicht nachträglich ergänzt. Maschinen dürfen nur mit den notwendigen Funktionen ausgeliefert werden – ohne schwache Standardpasswörter, unnötig offene Ports oder überflüssige Dienste.

Hersteller müssen grundlegende Sicherheitsmaßnahmen implementieren. Dazu gehört der Schutz vor bekannten Schwachstellen, die Bereitstellung sicherer Software- und Firmware-Updates sowie die Minimierung der Angriffsfläche. Es muss ein klar definierter Prozess zur Identifikation, Bewertung und Behebung von Schwachstellen über den gesamten Lebenszyklus bestehen.

Zudem ist eine umfassende Cybersicherheitsdokumentation verpflichtend. Dazu zählen eine dokumentierte Cyber-Risikobewertung, eine Software Bill of Materials (SBOM), ein formalisierter Schwachstellenmanagementprozess sowie technische Unterlagen zum Nachweis der CRA-Konformität. Diese Dokumentation muss den EU-Behörden auf Anfrage vorgelegt werden können.

Unser KI-gestütztes End-to-End-System CRA Navigator AI unterstützt Maschinenhersteller dabei, sämtliche verpflichtenden CRA-Anforderungen strukturiert umzusetzen – und bietet darüber hinaus Lösungen für Service-, After-Sales- und Wartungsprozesse.

Maschinenhersteller sind verpflichtet, folgende Unterlagen zu erstellen, fortlaufend zu aktualisieren und systematisch zu verwalten: Cybersicherheits-Risikobewertungen, Software Bill of Materials (SBOM), dokumentierte Verfahren zum Schwachstellenmanagement sowie technische Unterlagen, die die Einhaltung der CRA-Anforderungen nachweisen.

Diese Dokumentation muss über viele Jahre nach dem Inverkehrbringen der Maschine aufbewahrt werden und den zuständigen EU-Behörden auf Anfrage jederzeit zur Verfügung gestellt werden können.

Mit unserem KI-gestützten System CRA Navigator verwalten Maschinenhersteller sämtliche CRA-relevanten Dokumentationsanforderungen strukturiert, nachvollziehbar und revisionssicher in einer zentralen Umgebung.

Hersteller stehen vor einem strukturierten Katalog technischer und dokumentationsbezogener Anforderungen, um die CRA-Compliance zu erreichen. Die Grundlage bildet eine umfassende Risikobewertung, die potenzielle Schwachstellen über die gesamte Produktarchitektur hinweg identifiziert. Dazu gehören die Analyse von Hardwarekomponenten, Softwareelementen, Netzwerkkommunikation sowie Benutzeroberflächen im Hinblick auf mögliche Sicherheitslücken.

Die Dokumentationspflichten sind umfangreich und gelten über den gesamten Produktlebenszyklus. Hersteller müssen technische Unterlagen erstellen und regelmäßig aktualisieren, darunter detaillierte Produktspezifikationen, Risikobewertungen, Ergebnisse von Sicherheitstests sowie Prozesse zum Schwachstellenmanagement. Diese Unterlagen dienen als Nachweis der Konformität im Rahmen von Zertifizierungsverfahren und möglichen behördlichen Prüfungen.

Der Konformitätsweg hängt von der Risikoklassifizierung des Produkts ab. Als „kritisch“ eingestufte Produkte erfordern eine Konformitätsbewertung durch eine unabhängige Drittstelle, während Standardprodukte unter bestimmten Voraussetzungen eine Selbstbewertung durchführen können. In beiden Fällen umfasst die CE-Kennzeichnung künftig spezifische Cybersicherheitsnachweise, die bislang nicht erforderlich waren.

Ein wesentlicher Paradigmenwechsel betrifft die kontinuierliche Überwachungspflicht. Der CRA schreibt verbindliche Meldeverfahren für schwerwiegende Sicherheitsvorfälle vor. Hersteller müssen zuständige Behörden informieren, wenn erhebliche Sicherheitsprobleme auftreten. Diese Verpflichtung besteht während der gesamten unterstützten Produktlebensdauer und erfordert angepasste organisatorische und operative Strukturen.

Für industrielle Automatisierungssysteme muss die Compliance-Dokumentation zudem die spezifischen Anforderungen von Operational-Technology-(OT)-Umgebungen berücksichtigen, einschließlich industrieller Kommunikationsprotokolle, der Integration von Bestandsanlagen sowie möglicher sicherheitsrelevanter Auswirkungen von Cybersicherheitsmaßnahmen.

Kurz gesagt: OEMs sollten SBOMs über Softwareversionen und Konfigurationen mit Maschinen verknüpfen, diese Verbindung über den gesamten Lebenszyklus aufrechterhalten und sie bei jeder Softwareänderung aktualisieren.

Aus Sicht eines OEM ist es am sinnvollsten, das SBOM als Bestandteil der Maschinenkonfiguration zu behandeln – nicht als eigenständiges Dokument.

Jede Maschine sollte über eine eindeutige Asset-Identität verfügen (z. B. Seriennummer, Asset-ID oder Digital Twin). Das SBOM wird anschließend über die installierten Software- und Firmware-Versionen mit diesem Asset verknüpft – nicht ausschließlich über die einzelne physische Einheit. In der Praxis bedeutet dies, dass ein SBOM mehrere Maschinen abdecken kann, sofern diese denselben Software-Stack und dieselbe Version verwenden.

Beim Bau oder bei der Inbetriebnahme einer Maschine dokumentiert der OEM die Asset-ID, die installierten Firmware- und Softwareversionen sowie die zugehörige SBOM-Version. Bei einem Software- oder Firmware-Update wird auch die SBOM-Referenz des jeweiligen Assets aktualisiert.

Die physische Maschine bleibt unverändert – ihre Cyber-Konfiguration jedoch nicht. Die SBOM-Verknüpfung bildet diese Änderungen ab.

Für Skalierbarkeit verwalten OEMs SBOMs in der Regel zentral und verknüpfen sie mit Assets über ein Konfigurationsmanagementsystem, eine Asset- oder Flottenmanagementplattform oder ein Product-Lifecycle-Management-System (PLM).

Dieser Ansatz ermöglicht es dem OEM, bei Bekanntwerden einer Schwachstelle in einer bestimmten Softwarekomponente betroffene Maschinen schnell zu identifizieren und gezielte Updates bereitzustellen – genau im Sinne der CRA-Anforderungen.

Sprechen Sie mit unseren Experten, um zu erfahren, wie Sie SBOMs strukturiert und CRA-konform mit Ihren Assets verknüpfen sollten.

Der Cyber Resilience Act (CRA) der Europäischen Union stellt einen wegweisenden regulatorischen Rahmen dar, der digitale Produkte vor Cybersicherheitsbedrohungen schützen soll. Diese Gesetzgebung legt umfassende Sicherheitsanforderungen für vernetzte Geräte, Software und zugehörige Dienstleistungen im gesamten EU-Binnenmarkt fest.

Für Industrial-IoT-Umgebungen führt der CRA verbindliche „Security-by-Design“-Prinzipien, strukturierte Schwachstellenmanagement-Prozesse sowie strenge Konformitäts- und Zertifizierungsanforderungen ein, die Hersteller über den gesamten Produktlebenszyklus hinweg umsetzen müssen. Maschinenbauer und Unternehmen der industriellen Automatisierung sind daher gefordert, sich frühzeitig auf diese neuen Compliance-Verpflichtungen vorzubereiten, um den uneingeschränkten Zugang zum EU-Markt sicherzustellen.

Industrial-IoT-Geräte unterliegen im Rahmen des Cyber Resilience Act besonders strengen Anforderungen, da sie häufig Teil kritischer Infrastrukturen und industrieller Produktionsumgebungen sind. Das Prinzip „Security by Design“ steht dabei im Mittelpunkt: Sicherheitsmechanismen müssen bereits in der frühen Entwicklungsphase systematisch integriert werden und dürfen nicht erst nachträglich ergänzt werden.

Im industriellen Umfeld ist das Schwachstellenmanagement deutlich komplexer als bei Consumer-Produkten. Der CRA verlangt strukturierte Prozesse zur Identifikation, Dokumentation und Behebung von Sicherheitslücken über den gesamten Produktlebenszyklus hinweg. Dazu gehören sichere Meldekanäle für Schwachstellen sowie klar definierte Reaktions- und Eskalationsprozesse.

Auch Update-Mechanismen spielen eine zentrale Rolle. Hersteller müssen sichere und zuverlässige Verfahren für Software- und Firmware-Updates implementieren, die den betrieblichen Anforderungen industrieller Anlagen gerecht werden. Da Stillstandzeiten erhebliche wirtschaftliche Folgen haben können, sind geplante Wartungsfenster, Redundanzkonzepte und kontrollierte Rollout-Strategien essenziell.

Im Gegensatz zu Consumer-IoT-Produkten, die oft nur wenige Jahre im Einsatz sind, haben industrielle Systeme typischerweise Lebenszyklen von zehn Jahren oder mehr. Diese lange Nutzungsdauer stellt erhöhte Anforderungen an langfristige Sicherheitsunterstützung, Patch-Management und Dokumentationspflichten – auch für Bestandsanlagen.

Für Maschinenbauer, die Low-Code-Plattformen wie die von Noux Node einsetzen, entstehen sowohl Herausforderungen als auch Chancen. Eine integrierte Industrial-IoT-Plattform kann Sicherheitsfunktionen bereits in der Entwicklungsumgebung verankern und so die strukturierte Umsetzung der CRA-Anforderungen deutlich vereinfachen.

Nach dem EU Cyber Resilience Act ist Cybersicherheit für Maschinenhersteller eine langfristige Verantwortung und keine einmalige Aufgabe.

Hersteller müssen Sicherheitsupdates bereitstellen und ein strukturiertes Schwachstellenmanagement für die erwartete Lebensdauer der Maschine gewährleisten, mindestens jedoch für einen Zeitraum von fünf Jahren. Nach dem Inverkehrbringen auf dem EU-Markt sind Hersteller verpflichtet, relevante Schwachstellen kontinuierlich zu überwachen, Sicherheitslücken unverzüglich zu beheben und Updates auf sichere Weise bereitzustellen.

Die technische Dokumentation, einschließlich Risikobewertungen, Software Bill of Materials (SBOM) und Verfahren zum Umgang mit Schwachstellen, muss fortlaufend aktualisiert und über mehrere Jahre nach dem Verkauf aufbewahrt werden. Marktüberwachungsbehörden können diese Unterlagen jederzeit anfordern.

Kurz gesagt: Maschinenhersteller müssen Cybersicherheit über den gesamten Lebenszyklus der Maschine hinweg planen, betreiben, aktualisieren und lückenlos dokumentieren.