Welche Verpflichtungen gelten über den gesamten Produktlebenszyklus?

Nach dem EU Cyber Resilience Act ist Cybersicherheit für Maschinenhersteller eine langfristige Verantwortung und keine einmalige Aufgabe.

Hersteller müssen Sicherheitsupdates bereitstellen und ein strukturiertes Schwachstellenmanagement für die erwartete Lebensdauer der Maschine gewährleisten, mindestens jedoch für einen Zeitraum von fünf Jahren. Nach dem Inverkehrbringen auf dem EU-Markt sind Hersteller verpflichtet, relevante Schwachstellen kontinuierlich zu überwachen, Sicherheitslücken unverzüglich zu beheben und Updates auf sichere Weise bereitzustellen.

Die technische Dokumentation, einschließlich Risikobewertungen, Software Bill of Materials (SBOM) und Verfahren zum Umgang mit Schwachstellen, muss fortlaufend aktualisiert und über mehrere Jahre nach dem Verkauf aufbewahrt werden. Marktüberwachungsbehörden können diese Unterlagen jederzeit anfordern.

Kurz gesagt: Maschinenhersteller müssen Cybersicherheit über den gesamten Lebenszyklus der Maschine hinweg planen, betreiben, aktualisieren und lückenlos dokumentieren.