Welche verpflichtenden Cybersicherheitsanforderungen müssen Hersteller bis zum 11. Dezember 2027 erfüllen?

Kurz gesagt: Ab Dezember 2027 müssen in der EU verkaufte Maschinen mit digitalen Elementen standardmäßig cybersicher sein, aktiv gegen Schwachstellen gewartet werden und durch eine klare, dokumentierte Konformitätsnachweisführung abgesichert sein.

Um eine Maschine mit digitalen Elementen in der EU in Verkehr zu bringen, muss der Hersteller sicherstellen, dass sämtliche CRA-Anforderungen erfüllt sind. Der CRA führt verbindliche Cybersicherheitsvorgaben ein, die Planung, Design, Entwicklung und Wartung dieser Produkte betreffen. Diese Verpflichtungen gelten entlang der gesamten Wertschöpfungskette. Darüber hinaus verlangt der CRA ein strukturiertes Schwachstellenmanagement über den gesamten Produktlebenszyklus. Bestimmte, als besonders sicherheitsrelevant eingestufte Produkte müssen vor dem Inverkehrbringen eine Konformitätsbewertung durch eine benannte Stelle durchlaufen.

Die Maschine muss „secure by design“ und „secure by default“ sein. Cybersicherheit wird bereits in der Entwicklungsphase integriert und nicht nachträglich ergänzt. Maschinen dürfen nur mit den notwendigen Funktionen ausgeliefert werden – ohne schwache Standardpasswörter, unnötig offene Ports oder überflüssige Dienste.

Hersteller müssen grundlegende Sicherheitsmaßnahmen implementieren. Dazu gehört der Schutz vor bekannten Schwachstellen, die Bereitstellung sicherer Software- und Firmware-Updates sowie die Minimierung der Angriffsfläche. Es muss ein klar definierter Prozess zur Identifikation, Bewertung und Behebung von Schwachstellen über den gesamten Lebenszyklus bestehen.

Zudem ist eine umfassende Cybersicherheitsdokumentation verpflichtend. Dazu zählen eine dokumentierte Cyber-Risikobewertung, eine Software Bill of Materials (SBOM), ein formalisierter Schwachstellenmanagementprozess sowie technische Unterlagen zum Nachweis der CRA-Konformität. Diese Dokumentation muss den EU-Behörden auf Anfrage vorgelegt werden können.

Unser KI-gestütztes End-to-End-System CRA Navigator AI unterstützt Maschinenhersteller dabei, sämtliche verpflichtenden CRA-Anforderungen strukturiert umzusetzen – und bietet darüber hinaus Lösungen für Service-, After-Sales- und Wartungsprozesse.