Cyber Resilience Act-Anforderungen:  Was Hersteller bis September 2026 vorbereiten müssen

Der Cyber Resilience Act (CRA) ist vielen Herstellern digitaler Produkte inzwischen ein Begriff. Die EU-Verordnung definiert verbindliche Sicherheitsanforderungen für Produkte mit digitalen Komponenten. Hersteller, Importeure und Händler müssen diese Anforderungen erfüllen, um ihre Produkte weiterhin in der Europäischen Union vertreiben zu dürfen.

Alle Anforderungen müssen ab dem 11. Dezember 2027 vollständig umgesetzt sein. Der nächste Meilenstein liegt allerdings deutlich näher: Schon ab dem 11. September 2026 gelten neue Meldepflichten. Hersteller müssen ab diesem Zeitpunkt in der Lage sein, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle zu melden.

Für Unternehmen mit vernetzten Maschinen, Steuerungen oder IoT-Geräten bedeutet das, ihre Industrial-Security-Prozesse frühzeitig vorzubereiten. In diesem Beitrag zeigen wir, welche Voraussetzungen Hersteller bis September 2026 schaffen sollten, um die CRA-Meldepflicht zu erfüllen.

Lassen Sie uns über Ihre Lösung sprechen.

Termin buchen

Welche Produkte vom Cyber Resilience Act betroffen sind

Der Cyber Resilience Act betrifft grundsätzlich alle Produkte mit digitalen Elementen. Dazu zählen Softwareprodukte ebenso wie vernetzte Geräte. Gerade im industriellen Umfeld sind viele Produkte betroffen. Moderne Maschinen, Steuerungen und Produktionsanlagen sind heute vernetzt und enthalten zahlreiche Softwarekomponenten.

Vier Voraussetzungen für die CRA-Meldepflicht ab September 2026

Damit Hersteller aktiv ausgenutzte Schwachstellen ihrer dann in Verkehr gebrachten Produkte bewerten und gemäß CRA melden können, werden folgende Voraussetzungen benötigt:

• Die Risikoanalyse und -bewertung müssen durchgeführt werden.
• SBOMs (Software-Stücklisten) müssen erstellt werden.
• Regelmäßige Schwachstellenscans müssen etabliert sein.
• Meldeprozesse müssen definiert sein.

Diese Maßnahmen gehören zu den zentralen Anforderungen des Cyber Resilience Act und müssen in Entwicklungs- und Sicherheitsprozessen berücksichtigen werden.

Risikoanalyse und -bewertung

Gerade bei vernetzten Maschinen, Steuerungen oder IoT-Geräten ist es entscheidend, die gesamte Systemarchitektur und Umsysteme zu betrachten. Dazu gehören eigene Softwarekomponenten ebenso wie integrierte Drittsoftware, Kommunikationsschnittstellen und Update-Mechanismen. Eine fundierte Risikoanalyse bildet die Grundlage für alle weiteren Sicherheitsmaßnahmen. Hersteller müssen verstehen, welche potenziellen Angriffsflächen ihre Produkte besitzen und welche Auswirkungen Sicherheitslücken auf Betrieb, Daten oder angeschlossene Systeme haben können.

SBOMs (Software Bill of Materials)

Eine Software Bill of Materials dokumentiert die Komponenten und Bibliotheken eines Produkts. Sie macht sichtbar, welche Open-Source- oder Drittanbieterkomponenten enthalten sind und in welchen Versionen diese eingesetzt werden. Gerade in komplexen Embedded- oder Industrieprodukten entstehen über Jahre gewachsene Softwarelandschaften. SBOMs schaffen hier Transparenz. Sie ermöglichen Entwicklungsteams eine bessere Übersicht über Softwareabhängigkeiten und unterstützen Verantwortliche dabei, Sicherheitsrisiken zu bewerten.

Schwachstellenscans

Neben der Dokumentation der eingesetzten Softwarekomponenten müssen Hersteller ihre Produkte regelmäßig auf bekannte Sicherheitslücken prüfen. Automatisierte Schwachstellenscans helfen dabei, veröffentlichte Sicherheitsprobleme rechtzeitig zu erkennen. Gerade bei Industrieprodukten mit langen Lebenszyklen ist das besonders wichtig. Neue Schwachstellen werden kontinuierlich veröffentlicht und können auch ältere Softwarekomponenten betreffen. Ein strukturiertes Schwachstellenmanagement ermöglicht es Unternehmen, Risiken frühzeitig zu identifizieren, Prioritäten zu setzen und notwendige Updates oder Sicherheitsmaßnahmen einzuleiten.

Meldeprozesse

Der Cyber Resilience Act verpflichtet Hersteller dazu, bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen eine Early Warning innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden sowie einen späteren Abschlussbericht vorzulegen. Die Meldungen erfolgt über die europäische Meldestelle unter Koordination der EU-Agentur für Cybersicherheit ENISA.

Industrial Security praxisnah umsetzen

Mit über 40 Jahren Erfahrung in der industriellen Softwareentwicklung kennen wir die Herausforderungen vernetzter Produkte und komplexer Systemlandschaften. Dieses Know-how bringen wir sowohl in den Produktentstehungsprozess als auch in bestehende Produkt- und Systemlandschaften ein. So entstehen Lösungen, die sich in der Praxis bewähren und die CRA-Meldepflichten zuverlässig erfüllen.

Endlich Industrial Security umsetzen?
Kein Problem. Mit Lachmann & Rink.

Lassen Sie uns gemeinsam über Ihre Meldepflichten sprechen, denn jeden Lösung beginnt mit einem Gespräch.

Termin buchen

Welche Anforderungen stellt der Cyber Resilience Act an Hersteller?

Der Cyber Resilience Act verpflichtet Hersteller digitaler Produkte unter anderem zu einer Risikoanalyse, zur Dokumentation eingesetzter Softwarekomponenten (SBOM), zu regelmäßigen Schwachstellenanalysen sowie zu Meldeprozessen für aktiv ausgenutzte Sicherheitslücken.

Welche Sanktionen können greifen?

Es drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 64 CRA). Falschangaben zur Informationssicherheit können Strafen von bis zu 5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes nach sich ziehen.

Wo werden Schwachstellen und Sicherheitsvorfälle gemeldet?

Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind innerhalb der vorgesehenen Fristen an das nationale Computer Security Incident Response Team (CSIRT/CERT) und die ENISA zu melden.