Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die Cybersecurity-Anforderungen für Produkte mit digitalen Elementen festlegt. Das Ziel: Verbraucher und Unternehmen sollen darauf vertrauen können, dass vernetzte Produkte sicher entwickelt, betrieben und gewartet werden – über den gesamten Lebenszyklus hinweg.

Was den CRA so besonders macht: Er gilt nicht nur für IT-Produkte im klassischen Sinne, sondern explizit auch für industrielle Hard- und Software, die vernetzt ist oder vernetzt werden kann. Mit dem CRA hat die EU einen Rahmen geschaffen, der Security nicht als Kür, sondern als Pflicht definiert.

Einen ersten Einstieg zum CRA finden Sie in unserem Blog: 
CRA – Was Hersteller jetzt wissen müssen

Betrifft mich der CRA überhaupt?

Kurze Antwort: Sehr wahrscheinlich ja. Der CRA richtet sich an alle Hersteller, die Produkte mit digitalen Elementen auf dem Unionsmarkt bereitstellen. Das umfasst sowohl reine Softwareprodukte, wie auch industrielle Steuerungen, Embedded-Systeme, Maschinen mit Netzwerkanbindung, oder auch Sensoren mit Kommunikationsschnittstelle.

Wer also solche Produkte entwickelt oder vertreibt, sollte den CRA nicht als abstraktes IT-Thema betrachten, sondern als konkreten Handlungsauftrag für die eigene Produktentwicklung.

Wie umfangreich Sie betroffen sind, hängt von der Risikoeinstufung Ihres Produkts ab. 

Wie Sie die Einstufung vornehmen, besprechen wir gern in einem persönlichen Termin oder bei unserem CRA-Praxisevent im Frühsommer.

Termin buchen   Zum Event anmelden

Zeitplan und Pflichten: Was bis wann geschehen muss

Der CRA ist keine ferne Zukunftsmusik. Die Verordnung ist seit Dezember 2024 in Kraft und gilt ab Dezember 2027 vollständig. Doch auch bis dahin gibt es Zwischenschritte, die Hersteller kennen und einplanen müssen.

Vier wichtige Voraussetzungen, die bis September 2026 zu erfüllen sind
Bis zum 11. September 2026 müssen Hersteller Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle einhalten. Dafür braucht es die richtigen Grundlagen:

• Die Risikoanalyse und -bewertung müssen durchgeführt werden.
• SBOMs (Software-Stücklisten) müssen erstellt werden.
• Regelmäßige Schwachstellenscans müssen etabliert sein.
• Meldeprozesse müssen definiert sein.

Was bis zum 11. Dezember 2027 geschehen muss
Ab diesem Datum gilt der CRA vollumfänglich. Produkte, die ab diesem Datum auf den Markt kommen, müssen die CRA-Anforderungen vollständig erfüllen und eine CE-Kennzeichnung tragen, die auch die Cybersecurity-Konformität einschließt. Das bedeutet: Die technische Dokumentation ist vollständig, eine Konformitätsbewertung wurde durchgeführt, eine SBOM (Software Bill of Materials) liegt vor, und ein Prozess für Security Updates über den gesamten Produktlebenszyklus ist etabliert.

Was das für Ihre Produktentwicklung bedeutet
Wer heute noch keine strukturierte Auseinandersetzung mit Security-Anforderungen in der Produktentwicklung betreibt, hat nicht mehr viel Zeit. Denn die Anforderungen des CRA können tief in den Produktentstehungsprozess eingreifen: von der Risiko- und Anforderungsanalyse über das Design bis hin zu Test, Dokumentation sowie dem Betrieb nach Markteinführung. Security muss künftig von Anfang an mitgedacht und nicht erst als Add-on nach der Entwicklung betrachtet werden.

MaschVO – Der Zusammenhang mit der Maschinenverordnung

Neben dem CRA hat auch die neue EU-Maschinenverordnung (MaschVO, Ablösung der Maschinenrichtlinie, gültig ab 2027) Cybersecurity explizit ins Blickfeld genommen. Sie erweitert den bisherigen Sicherheitsbegriff: Softwareschwachstellen und Cyberangriffe, die zu einer physischen Gefährdung von Personen führen können, fallen nun in den Anwendungsbereich der Sicherheitsbetrachtung.

Das bedeutet: Sicherheitsprobleme in der Software dürfen nicht mittelbar zu einem Personenschaden führen – und das muss nachweisbar sein. Wer CRA-Konformität nachweist, kann diese gleichzeitig als Konformitätsvermutung im Sinne der MaschVO nutzen. Beide Regelwerke sind also keine getrennten Baustellen, sondern lassen sich im Rahmen einer integrierten Sicherheitsstrategie gemeinsam adressieren.

Wir denken Cybersecurity aus der Industrieperspektive

Wenn es um CRA-Konformität geht, sollten und können Security-Anforderungen isoliert vom Produkt betrachtet werden.

Für unsere Kunden ist Verfügbarkeit das höchste Gut. Eine Maschine, die nicht läuft, ist ein direktes wirtschaftliches Problem. Wir wissen das. Unsere Erfahrung zeigt, dass Security-Maßnahmen, die den zuverlässigen Betrieb gefährden, in der Industrie keine Akzeptanz finden. Deshalb sind alle unsere Empfehlungen in diesem Kontext verankert.

Aus über 40 Jahren Erfahrung mit industriellen Systemen kennen wir die Produkte, die über viele Jahre zuverlässig laufen und verkauft werden. Wenn Systeme historisch gewachsen sind, Schnittstellen seit Jahrzehnten in Betrieb sind, und Brownfield-Anforderungen und Legacy-Protokolle auf neue Security-Anforderungen treffen, braucht es diese Erfahrung. Der nun entstandene Spagat zwischen funktionalen Anforderungen und Security-Zielen ist jedoch keine abstrakte Herausforderung für uns: Er ist unser Alltag.

Außerdem kennen wir ressourcenbeschränkte Embedded-Systeme und die besonderen Anforderungen, die sich daraus für die Security-Architektur ergeben. Was in einem serverbasierten IT-System selbstverständlich ist, kann auf einem Embedded-Controller schlicht nicht umsetzbar sein. Diese Realität muss berücksichtigen werden. Gemeinsam mit Ihnen bewerten wir, was machbar, sinnvoll und nachhaltig ist.

Unser Fokus liegt dabei immer auf dem Produkt, nicht auf einer abstrakten Security-Bewertung. Wir können im gesamten Produktentstehungsprozess einsteigen, von der ersten Idee oder Anforderungsanalyse über Design und Implementierung bis hin zu Test, Dokumentation und der Unterstützung nach Markteinführung. Security ist kein separates Thema mehr, sondern integraler Bestandteil Ihrer Produktentwicklung. 
All das erhalten Sie bei uns aus einer Hand.