Cyber Resilience Act: Warum Firmen investieren müssen

Im Maschinen- und Anlagenbau müssen sich nahezu alle Unternehmen mit dem CRA auseinandersetzen: Ab 11. Dezember 2027 dürfen nur noch nachweislich sichere Produkte in der EU in Umlauf gebracht werden. Der Cyber Resiliance Act fordert, dass die Security im Produkt selbst verankert sein muss (Secure by Design). Dazu gehören sichere Softwarearchitektur, wirksamer Umgang mit Schwachstellen und Updatefähigkeit. 

„Industrielle Produktion ohne Digitalisierung ist nicht mehr möglich, wenn man wettbewerbsfähig bleiben möchte: In der Digitalen Fabrik sind entsprechend sehr viele Komponenten vom CRA betroffen“, sagt Dr. Christine Payer, Rechtsanwältin beim Dürr-Konzern, Leiterin der Arbeitsgruppe Rechtliche Rahmenbedingungen bei der Plattform Industrie 4.0 des BMWE und Vorsitzende des VDMA-Arbeitskreises digitaLegis.

Aus Sicht von Jens Köhler, Chief Expert Cybersecurity beim Engineering-Dienstleister ITK Engineering GmbH, sind die jeweiligen Herausforderungen für CRA-Compliance sehr unterschiedlich: Einerseits sind kleinere Unternehmen, die nur wenige Mitarbeitende für Software haben, mit dem zusätzlichen Thema Cybersicherheit oft überfordert. 

Andererseits haben größere Unternehmen zwar mehr Fachpersonal, allerdings auch eine extensive Produktpalette mit vielen Legacy-Produkten und hoher Variantenvielfalt, die nachgezogen werden müssen. „Ich gehe davon aus, dass Firmen in einzelnen Fällen Legacy-Produkte abkündigen und stattdessen direkt neue Versionen entwickeln“, sagt der ITK-Experte.

KMU laufen Gefahr, den Anschluss zu verlieren

CRA, NIS2, Maschinenverordnung, KI-Verordnung, letzten Herbst der Go Live vom EU Data Act: „Es ist ein Sammelsurium an neuen Gesetzen, das man jetzt in kurzer Zeit umsetzen muss. Das ist eine sehr große Herausforderung und ich frage mich, wie kleine und mittlere Unternehmen das eigentlich stemmen sollen“, sagt Christine Payer aus ihrer Praxiserfahrung in den Verbänden.

Beim Embedded-Systems-Hersteller Kontron aus Linz befasst man sich bereits seit längerem intensiv mit Produktsicherheit und Secure-by-Design-Konzepten. Stefan Eberhardt, Senior Business Developer IoT Software und CRA-Experte bei Kontron, weiß aus eigener Erfahrung, welcher Aufwand mit der Erfüllung der CRA-Vorgaben verbunden ist. Er fürchtet, dass sich gerade die KMUs im Maschinen- und Anlagenbau die Tragweite noch nicht ausreichend bewusst gemacht haben. „Vor allem für mittelständische Maschinenbauer, deren Produkte in größere Fertigungsanlagen integriert werden, steigt der Compliance-Druck“, meint Eberhardt. Bisher reichte für die CE-Konformität oft eine Selbsterklärung aus. „Je nach der Klasse, in der ein Produkt gelistet ist, muss jetzt eine Abnahme durch eine Prüforganisation erfolgen. Das bedeutet einen immensen Mehraufwand“, erklärt der Kontron-Experte.

Industrie mit Aufholbedarf bei Cybersecurity-Standards

Die Industrie bereitet sich auf das Ende der Übergangsfrist des EU Cyber Resilience Act (CRA) in den Jahren 2026/27 vor, sollte bei der Erfüllung der damit verbundenen technischen Standards jedoch noch an Fahrt gewinnen.

Stolperstein: Die harmonisierten Normen sind nicht fertig

Der CRA unterteilt Produkte in unterschiedliche Sicherheitsklassen. Bei der Default-Klasse reicht eine eigene Erklärung für die CE-Kennzeichnung, ab Klasse 1 ist eine Prüforganisation einzubinden. Eigentlich soll bei Klasse 1 statt einer Prüfung auch der Konformitätsnachweis mit einem harmonisierten Standard ausreichen. Allerdings sind die Normen dafür derzeit noch nicht fertig! Zwar wird auf Hochdruck daran gearbeitet, doch viele der vertikalen Normen sind für Ende 2026 geplant, die horizontalen Normen überwiegend bis Ende 2027. 

Dass es immer noch keine harmonisierte Norm für den CRA gibt, bewertet Christine Payer als eine der größten Herausforderungen: Darauf zu warten, sei keine Option für Dürr. Beim Automatisierungsunternehmen Pilz sieht man es genauso. Teilweise gebe es noch Unsicherheit bei der Einordnung, ob ein Produkt noch in die Default-Klasse fällt, meint Hartmut Paulus, Senior Manager Network Systems bei Pilz: „Wir suchen hier teilweise das Gespräch mit anderen Firmen und versuchen, eine gemeinsame Sicht zu entwickeln. Auch die Verbände sind am Thema dran“.

„Der CRA besagt, dass wir als Hersteller in der Verantwortung und Haftung für das Endprodukt sind. Das bedeutet für uns, dass wir derzeit mit Hochdruck daran arbeiten, dass unsere Lieferketten den Anforderungen des CRA entsprechen“, sagt Payer. Auch bei Dürr stellt sich angesichts des großen Produktportfolios, zu dem etwa Lackieranlagen, Holzbearbeitungs- und Auswuchtmaschinen sowie Lösungen für die Automatisierung gehören, bei einigen Produkten die Frage, unter welche Klasse sie letztlich fallen. Hier biete der Blick ins Gesetz teilweise keine unmittelbare Antwort.

Cybersecurity: Schmerzhaft, aber dringend nötig

Dennoch findet der CRA Zuspruch und wird als das richtige Signal des europäischen Gesetzgebers angesehen, um die dringend notwendige Stärkung der Cybersicherheit zu gewährleisten, meint Christine Payer. In den aktuellen Ausschreibungen werde bereits CRA-Compliance eingefordert und es kämen dezidierte Fragen, wie das Meldewesen und das Incident Management aussehen werden.

„Laut einer Analyse der ENISA fallen im Maschinen- und Anlagenbau mindestens 90 Prozent der Produkte in die Default-Kategorie“, berichtet Matthias Springer, Senior Vice President Functional Safety & Security bei der TÜV Nord Gruppe. Für rund zehn Prozent muss eine Prüforganisation hinzugezogen werden. Dennoch müsse der CRA-Nachweis für alle, auch die Default-Produkte vorliegen. Geprüft werde das durch BSI und Bundesnetzagentur. „Im Schadensfall oder einer Prüfung ist es hochproblematisch, wenn Unternehmen den CRA-Nachweis nicht parat haben. Strafen gibt es auch schon bei der Default Class“, so Springer. Bei schwerwiegenden Verstößen geht es um 15 Millionen Euro oder 2,5 Jahresumsatz, bei Verletzung der Meldepflichten drohen ähnlich hohe Strafen, Produktrückrufe und Produktverkaufsverbote.

Prüforganisationen bereiten sich auf Ansturm vor

Schon jetzt verzeichnet der TÜV eine starke Nachfrage: „Viele Unternehmen wollen eine Akkreditierung erreichen, um – nicht zuletzt aus Marketing-Gründen – den Trust-Aspekt ihrer Produkte nachzuweisen. Voraussichtlich werden nicht alle davon sie tatsächlich benötigen“, so Springer. Im Moment arbeite man vor allem mit den Großen der Branche. Zudem beschäftigten sich auch viele größere Mittelständler damit. Die kleineren hätten es entweder noch nicht auf dem Schirm oder seien häufig damit überfordert, ist auch Springers Einschätzung.

Derzeit stelle der TÜV seine Prozesse und Prüfprogramme um, um den CRA abbilden zu können. Damit wird sich die Prüforganisation bis zur Frist am 11. Juni als notifizierte Stelle für den CRA bewerben. Bis 11. Dezember sollen alle Prüfstellen bestätigt werden: Ein sehr knapper Zeitplan also, weil dann für die Akkreditierung der Produkte nur noch ein Jahr Zeit bleibt. „Deshalb fangen wir jetzt schon in großer Fläche an, mit den Unternehmen auf Basis der für die Harmonisierung vorgesehenen Normen auf die CRA-Konformität hinzuarbeiten und können dann später formal den Prüfbericht zu einem Zertifikat umschreiben“, erklärt der TÜV-Experte. Sein Apell: „Wer bis Dezember 2027 fertig sein möchte, der muss als Hersteller spätestens jetzt starten. Danach darf man das Produkt nicht mehr in Verkehr bringen, wenn der CRA nicht erfüllt ist“.

CRA-Umsetzung: Personalressourcen und Organisationsveränderung

„Organisatorisch ist die Umsetzung des CRA ein Riesenakt, der viele Ressourcen erfordert. Für Themen wie Entwicklung, Schwachstellenmanagement und Software-Updates braucht es schon mindestens ein kleines Cyberteam“, konstatiert Springer. So müsse im Grunde das bestehende Qualitätsmanagement komplett erweitert werden, um alle Aspekte des CRA abdecken zu können. „Wir haben den CRA schon während der Entstehung begleitet und uns vor zwei Jahren für ein großes, zentrales abteilungsübergreifendes Umstellungsprojekt entschieden, weil die Vorgaben auf sehr viele Unternehmensbereiche Auswirkungen haben“, berichtet Paulus. 

Es gebe viele Überschneidungen mit der neuen EU-Maschinenverordnung, die im Januar 2027 Anwendung findet und unter dem Stichwort „Protection against Corruption“ bereits auch schon Industrial Security-Anforderungen aufnimmt: Vieles kann sozusagen in einem „Aufwasch“ erledigt werden. Entsprechend will man das bei Pilz für sich nutzen. Dabei helfe, dass viele der Safety-Produkte bereits hohe regulatorische Anforderungen erfüllen und der sichere Entwicklungsprozess bereits nach EN IEC 62443 zertifiziert wurde.

EU-Regulierung: Warum Industrieunternehmen jetzt genau hinschauen

Cyber Resilience Act, AI Act, NIS2 oder CBAM: Seit Anfang 2026 greifen zahlreiche neue EU-Vorschriften für Unternehmen. Einige gelten bereits, andere folgen im Laufe des Jahres und auch 2027 steht schon im Fokus der Regulierung.

Manfred Godek

Auch bei Dürr hat man die Cybersicherheit als konzernübergreifendes Thema bereits seit vielen Jahren auf dem Schirm und die Prozesse entsprechend ausgerichtet – etwa nach IEC 62443 – um den Kunden verlässliche Lösungen zu bieten. Der CRA erfordere also eher eine Ergänzung, die allerdings nicht zu unterschätzen sei, so Payer. Ein Experten-Team ist dafür zuständig, gruppenweit den CRA als Wissenstransfer umzusetzen. Gerade mit Blick auf Security by Design für Produktsicherheitsentwicklungsprozesse sowie gesetzlich geforderte Meldewege wurde Personal aufgestockt und ein sicheres Kunden-Portal eingerichtet, um Updates zur Verfügung zu stellen.

Herausforderung Lebenszeit-Updates

„Der Support-Zeitraum darf vom Hersteller nicht mehr komplett frei gewählt werden, sondern soll sich insbesondere an der Erwartungshaltung der Nutzer orientieren. Das Thema Security-Updates ist dabei sicher einer der größeren Pain Points“, bestätigt auch Köhler. Remote-Update-Fähigkeit beherrschten die meisten Unternehmen Stand heute noch nicht, häufig würden noch Service-Techniker ins Feld geschickt. „Hinzu kommt, dass gerade industrielle Produkte oft lange Lebensdauern haben. Für einen unserer Kunden bedeutete das beispielsweise, dass er auch in 30 Jahren noch in der Lage sein muss, einen Security Patch zu kompilieren“, konstatiert Köhler. Er sieht zwei Ansätze bei den Kunden: Entweder die sogenannten „Build Chains“ für die Software im Produkt die gesamte Zeit am Leben zu erhalten – oder sie zu archivieren und sie im Ernstfall mit einer Task-Force wiederzubeleben.

„Eine der größten Herausforderung ist vor allem die lange Update-Pflege: Die Lebenszyklen von Software und von Maschinen vertragen sich nicht besonders gut“, beschreibt es Hartmut Paulus. Oft solle ein Produkt bis zu 20 Jahre betrieben werden, in denen immer neue Angriffsvektoren auf die Software entstehen könnten. Dadurch müsse man sich über lange Zeitspannen in der Maintenance-Phase um Softwaremodule kümmern, die einen deutlich höheren Aufwand als die initiale Softwarelösung erfordern.

Hürde kontinuierliches Schwachstellen-Management

Mit dem CRA sind Hersteller in der Pflicht, kontinuierlich Schwachstellen-Monitoring zu betreiben. Hier spielt die Software Bill of Material eine zentrale Rolle. Zwar gibt es Tools für den Abgleich von SBOM und Schwachstellendatenbanken. „Die Bewertung für den konkreten Anwendungsfall, ob eine Schwachstelle überhaupt ausnutzbar und kritisch ist, müssen die Unternehmen jedoch selbst vornehmen“, so Jens Köhler.

Schwierigkeiten sieht der Hartmut Paulus von Pilz hinsichtlich der kontinuierlichen Updates für die Maschinenbetreiber, die Komponenten von vielen verschiedenen Lieferanten verbaut haben. Ein Stahlofen oder eine Backstraße etwa könnten nicht ohne weiteres für ein Update heruntergefahren werden, die Betreiber bräuchten nun also kluge Mechanismen, um selbst zu entscheiden, ob eine Sicherheitslücke ihr Produkt überhaupt kritisch betrifft und ob das Update notwendig ist. Grundlage dafür sind die Schwachstellenwarnungen, die immer mehr Komponentenanbieter aufgrund der Berichtspflicht mit herausgeben.

Software- und Produktentwicklung auf neue, sichere Beine stellen

Es wird künftig wettbewerbsrelevant, dass Unternehmen ganz genau wissen und nachweisen können, welche Software-Komponenten in ihrem Produkt verarbeitet sind. Auf viele Unternehmen komme hier noch sehr viel Untersuchungs- und Evaluierungsarbeit zu, um alle Komponenten daraufhin zu prüfen, ob die gesetzlichen Vorgaben einhalten werden können, weiß Stefan Eberhardt: „Unternehmen müssen jetzt beispielsweise auch im Open-Source-Umfeld genauer hinschauen, welche Lizenzen und Komponenten ein Produkt betreffen – und eine entsprechende Dokumentation bereithalten“. 

Besonders herausfordernd sei eine tiefgreifende Veränderung, die im Rahmen des CRA notwendig wird: Überall dort, wo bisher zur Problemlösung oder im Entwicklungsprozess bestehende Komponenten zusammengewürfelt oder rasch adaptiert worden sind, muss nachgearbeitet werden. Die schnelle Lösung oder ein kurzfristiges neues Release zur Problemlösung seien damit im Grunde nicht mehr möglich, meint Eberhardt.

„Der Software-Entwicklungsprozess verändert sich mit den CRA-Vorgaben von Grund auf und wird erheblich formaler. Es fällt deutlich mehr Dokumentation im Vorfeld an, zugleich gehört ein klares Sicherheitskonzept mit entsprechenden Nachweisen von Beginn an dazu“, erklärt der Kontron-Experte. Zudem brauche es anders als zuvor für Entwickler, die an der verlängerten Werkbank in anderen Ländern sitzen, definierte Schnittstellen. Auch im Testing müsse es formaler zugehen. 

Für einige Unternehmen könne diese Veränderung bedeuten, dass sich auch die Produktpalette ändert, wenn die Adhoc-Entwicklung für kleinere Produktserien in der gewohnten Form nicht mehr möglich ist.

Kühlen Kopf bewahren

Unternehmen, die das Thema jetzt angehen, rät Jens Köhler, die Priorität auf die Risikoanalyse zu legen: „Der CRA fordert ein angemessenes Cybersecurity-Niveau, das sich mit einer produktspezifischen Risikoanalyse bestimmen lässt. Es kann legitim sein, unkritische Risiken zu akzeptieren, ohne direkt in Gegenmaßnahmen investieren zu müssen“. Die Risikoanalyse muss dabei mögliche Einsatzszenarien und Zielgruppen berücksichtigen – etwa erhöhte Sicherheitsanforderungen für KRITIS. Denjenigen, die sich vom Aufwand erschlagen fühlen, macht der ITK-Experte jedoch Mut: „Cybersecurity ist ein kein Hexenwerk: In vielen Fällen ist es auch möglich, zu sehr pragmatischen Lösungen zu kommen“.