Verordnung (EU) 2024/2847 – Gesetz über Cyberresilienz (CRA)

Die Verordnung (EU) 2024/2847 – der Cyber Resilience Act (CRA) – ist eine neue EU-Verordnung, die horizontale Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ einführt. Sie wurde im Oktober 2024 verabschiedet und wird nach Übergangsfristen ab Ende 2027 in allen EU-Mitgliedstaaten unmittelbar gelten. Für Manager in der Industrie – ob verantwortlich für Instandhaltung, Einkauf oder Compliance – ist es sinnvoll, schon jetzt zu verstehen, welche Produkte unter diese Verordnung fallen, welche neuen Pflichten sie Herstellern, Importeuren und Händlern auferlegt und wie sich das Unternehmen auf die kommenden Änderungen vorbereiten kann. Im Folgenden stellen wir die wichtigsten Informationen praxisnah dar – ohne juristischen Jargon, aber mit technischer Präzision –, um die Einleitung geeigneter vorbereitender Maßnahmen zu erleichtern.

Anwendungsbereich: Welche Produkte erfasst der Cyberresilienzakt?

Die Verordnung (EU) 2024/2847 gilt für alle „Produkte mit digitalen Elementen“, die auf dem EU-Markt bereitgestellt werden und deren bestimmungsgemäße Verwendung eine Verbindung mit einem anderen Gerät oder einem Netzwerk umfasst (direkt oder indirekt, physisch oder logisch). Anders gesagt: Die meisten Geräte oder Software, die mit anderen Systemen kommunizieren können, unterliegen den neuen Anforderungen. In der Praxis betrifft das u. a. IoT-Geräte und Unterhaltungselektronik (z. B. Smartwatches, Mobiltelefone, intelligente Haushalts- und Unterhaltungselektronik, Babyphones), Wearables (z. B. Fitnessarmbänder), Industrieausrüstung mit Netzwerkfunktionen (Sensoren und Industriemaschinen mit Netzwerkanbindung) sowie verschiedenste Software (Betriebssysteme, mobile und Desktop-Anwendungen, Business-Software usw.). Wichtig ist, dass auch eigenständig vertriebene Software (als Produkt) unter den CRA fällt – ebenso wie fernbasierte Datenverarbeitungsdienste, die integraler Bestandteil eines Produkts sind: So wird z. B. ein Cloud-Dienst zur Steuerung eines Smart-Home-Geräts als Teil des Produkts behandelt und muss die Sicherheitsanforderungen erfüllen.

Die Verordnung hat einen sehr weiten Anwendungsbereich, sieht jedoch auch Ausnahmen für bestimmte Produktkategorien vor, die bereits durch eigene sektorale Vorschriften geregelt sind. CRA gilt nicht u. a. für: Medizinprodukte (geregelt durch die Verordnungen MDR 2017/745 und 2017/746), Fahrzeuge und deren Ausrüstung (u. a. erfasst durch die Verordnung 2019/2144 im Bereich der Fahrzeugtypgenehmigung), Luftfahrzeuge (Verordnung 2018/1139 zum Luftverkehr) sowie Schiffsausrüstung (Richtlinie 2014/90/EU). Für diese Produkte gelten eigenständige Regelwerke, die häufig bereits branchenspezifisch angepasste Anforderungen enthalten; daher wurden sie vom Anwendungsbereich der CRA ausgenommen. Darüber hinaus betreffen die neuen Vorschriften keine ausschließlich militärische Ausrüstung und Software oder solche, die der nationalen Sicherheit dienen (einschließlich der Verarbeitung von Verschlusssachen). Ausgenommen sind außerdem Ersatzteile, die als Austausch identischer Komponenten geliefert werden – wurde das Originalprodukt rechtmäßig in Verkehr gebracht, muss das identische Teil die CRA nicht gesondert erfüllen.

Wichtig ist: sogenannte freie und offene Software (Open Source) fällt nicht unter den CRA, sofern sie nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Wird eine Software also unentgeltlich entwickelt und veröffentlicht, außerhalb des Marktverkehrs, gelten ihre Urheber (z. B. die Open-Source-Community) im Sinne der Verordnung nicht als „Hersteller“, und die nachfolgend beschriebenen Pflichten treffen sie nicht. Nutzt hingegen ein Unternehmen eine Open-Source-Komponente in seinem kommerziellen Produkt, liegt die Verantwortung für die Erfüllung der Sicherheitsanforderungen beim Hersteller des Endprodukts. Zusammengefasst richtet sich der CRA vor allem an professionell hergestellte und verkaufte digitale Produkte, die auf dem EU-Binnenmarkt an Endnutzer gelangen.

Warum wurde der CRA eingeführt? Neue Bedrohungen, Regulierungslücke und Lieferkette

Die Europäische Union hat den dringenden Bedarf erkannt, die Cyberresilienz digitaler Produkte angesichts wachsender Bedrohungen zu stärken. In den letzten Jahren ist die Zahl und Vielfalt internetfähiger Geräte explosionsartig gestiegen – von industriellen IoT-Systemen in Fabriken bis hin zu smarten Haushaltsgeräten. Leider ist das Cybersicherheitsniveau dieser Produkte häufig niedrig; das zeigt sich in weit verbreiteten Schwachstellen sowie in einer unzureichenden und uneinheitlichen Bereitstellung von Sicherheitsupdates. Viele Hersteller haben Sicherheit bislang nicht über den gesamten Produktlebenszyklus hinweg priorisiert, und Nutzer verfügen oft weder über das Bewusstsein noch über die Informationen, welche Geräte sicher sind, wie lange sie durch Updates unterstützt werden und wie sie sicher zu verwenden sind. Diese Kombination von Faktoren führt zu einem erhöhten Risiko von Cyberangriffen.

Der Cyber Resilience Act soll eine Regulierungslücke schließen – bislang fehlten auf EU-Ebene einheitliche, verbindliche Anforderungen an die digitale Sicherheit von Produkten. Zwar gab es Initiativen wie ICT-Sicherheitszertifizierungen (auf Grundlage des Cybersecurity Act 2019/881) oder die Anforderungen der NIS2-Richtlinie für kritische Sektoren, doch kein Rechtsakt begründete unmittelbar eine Pflicht zu „Cybersecurity by Design” für alle in Verkehr gebrachten Geräte und Software. Der CRA schafft genau einen solchen universellen Rahmen – er stellt sicher, dass Hardware und Software über den gesamten Lebenszyklus hinweg mit Blick auf robuste Schutzmaßnahmen konzipiert, hergestellt und gepflegt werden. Ziel ist, dass Produkte mit weniger Schwachstellen auf den Markt kommen und Hersteller neue Bedrohungen zügig beseitigen (z. B. durch Sicherheits-Patches), statt Nutzer mit löchrigen Geräten zurückzulassen.

Das Thema Cyberresilienz hat auch eine Lieferketten- und grenzüberschreitende Dimension. In Zeiten, in denen praktisch alles mit allem vernetzt ist, kann ein Vorfall in einem einzelnen, scheinbar unbedeutenden Gerät zum Angriffsvektor auf die gesamte Organisation oder auf Geschäftspartner werden. Ein einziger infizierter IoT-Sensor in der Produktionshalle kann ein Einfallstor in das Werksnetz öffnen; eine Schwachstelle in einer weit verbreiteten Anwendung kann innerhalb von Minuten weltweit ausgenutzt werden. Wie in der Begründung der Verordnung hervorgehoben wird, kann sich ein Cybervorfall in einem Produkt innerhalb weniger Minuten entlang der Lieferkette über die Grenzen eines Landes hinaus ausbreiten. Die Kosten solcher Angriffe tragen nicht nur Hersteller und Nutzer, sondern die gesamte Gesellschaft – Störungen kritischer Infrastrukturen, finanzielle Verluste, Beeinträchtigungen der öffentlichen Sicherheit. Gemeinsame, verbindliche Regeln in der gesamten EU sollen das allgemeine Schutzniveau erhöhen und verhindern, dass das schwächste Glied (ein nicht resilientes Produkt) alle gefährdet.

Ein weiterer Beweggrund ist die Stärkung des Vertrauens in digitale Produkte und die Schaffung fairer Wettbewerbsbedingungen. Derzeit geraten Hersteller, die in „Security by Design“ investieren, preislich nicht selten gegenüber jenen ins Hintertreffen, die diese Themen ignorieren. Der CRA soll bewirken, dass Cybersicherheit zu einem Qualitätsstandard wird – alle müssen Mindestanforderungen erfüllen, was die Ausgangsbedingungen angleicht und die gesellschaftlichen Kosten von Angriffen senkt (die heute auf die Opfer abgewälzt werden). Dadurch soll die Widerstandsfähigkeit des gesamten EU-Marktes sowie das Vertrauen der Kunden in moderne Geräte mit digitalen Komponenten steigen. Der Rechtsakt fügt sich zudem in eine umfassendere EU-Strategie ein (zusammen mit RODO, NIS2, DORA usw.), die darauf abzielt, die Cybersicherheit von Dienstleistungen und Produkten als Fundament der digitalen Wirtschaft zu stärken.

Verordnung (EU) 2024/2847: Zentrale Pflichten für Hersteller, Importeure und Händler

Die neue Verordnung führt eine Reihe konkreter Pflichten für Wirtschaftsakteure ein, die in die Lieferkette von Produkten mit digitalen Elementen eingebunden sind. Der Umfang der Verantwortung hängt von der jeweiligen Rolle ab – am meisten wird von den Herstellern verlangt, doch auch Importeure und Händler haben wichtige Aufgaben. Im Folgenden fassen wir die zentralen Pflichten aus der Sicht eines Managers zusammen, der die Konformität der Produkte des Unternehmens mit den Vorschriften sicherstellt.

Pflichten der Hersteller

Der Hersteller (ebenso wie ein Unternehmen, das ein Produkt unter eigener Marke in Verkehr bringt oder es verändert – auch dieses gilt als Hersteller) trägt die Hauptverantwortung für die Erfüllung der CRA-Anforderungen. Zu seinen wichtigsten Aufgaben gehören:

• Sicherstellung der Konformität des Produkts mit den in Anhang I der Verordnung festgelegten grundlegenden Anforderungen an die Cybersicherheit. In der Praxis bedeutet das, dass das Produkt bereits in der Entwurfs- und Konstruktionsphase Eigenschaften aufweisen muss, die ein angemessenes Niveau der digitalen Sicherheit gewährleisten, entsprechend dem Risiko, das mit dem jeweiligen Produkt verbunden ist. Die Verordnung nennt eine Reihe konkreter technischer Anforderungen – u. a. das Fehlen bekannter Schwachstellen zum Zeitpunkt des Inverkehrbringens, die Verwendung sicherer Standardkonfigurationen (z. B. Vermeidung von Standardpasswörtern), Verschlüsselung, wo angemessen, Schutz vor unbefugtem Zugriff, Schutz der personenbezogenen Daten des Nutzers, Widerstandsfähigkeit gegen Angriffe, die Funktionen stören (z. B. DoS-Angriffe), sowie die Möglichkeit eines Zurücksetzens auf Werkseinstellungen. Das Produkt sollte so entwickelt werden, dass seine „Angriffsfläche“ so weit wie möglich reduziert wird – z. B. keine unnötigen offenen Ports oder Dienste bereitzustellen, die die Exponierung gegenüber Cyberbedrohungen erhöhen. Diese grundlegenden Anforderungen (Teil I von Anhang I CRA) bilden eine Checkliste von Sicherheitsmerkmalen, die jedes digitale Produkt erfüllen muss.
• Einrichtung eines Prozesses für den Umgang mit Schwachstellen und Sicherheitsvorfällen – der Hersteller muss sich aktiv um die Sicherheit des Produkts auch nach dem Verkauf kümmern, und zwar über den gesamten erklärten Supportzeitraum hinweg. In Teil II von Anhang I werden Anforderungen an den Prozess zur Schwachstellenbehandlung (vulnerability handling) festgelegt: regelmäßiges Testen und Monitoring im Hinblick auf neue Lücken, die Entgegennahme von Schwachstellenmeldungen (z. B. von Forschenden oder Nutzern) sowie das schnelle Beheben/Schließen festgestellter Schwachstellen durch die Bereitstellung von Sicherheitsupdates. Der Hersteller muss eine Policy zur koordinierten Offenlegung von Schwachstellen (coordinated disclosure) vorhalten – d. h. einen benannten Kontaktpunkt, an den Probleme gemeldet werden können, sowie Verfahren, wie auf solche Meldungen zu reagieren ist. Wichtig ist, dass Updates Schwachstellen unverzüglich beheben und auf sichere Weise verteilt werden (z. B. digital signiert). Wesentlich ist außerdem, dass der Hersteller verpflichtet ist, Support und Sicherheitsupdates für einen Zeitraum bereitzustellen, der dem erwarteten Lebenszyklus des Produkts entspricht, mindestens 5 Jahre (es sei denn, die Art des Produkts rechtfertigt einen kürzeren Zeitraum). Mit anderen Worten: Wenn unsere Hardware typischerweise ~5+ Jahre beim Kunden im Einsatz ist, können wir nicht nach einem oder zwei Jahren aufhören, Patches zu veröffentlichen – erforderlich ist ein mehrjähriger Post-Sales-Support, damit der Nutzer nicht mit einem Gerät voller Sicherheitslücken zurückbleibt.
• Durchführung einer Cybersecurity-Risikobewertung – bevor ein Produkt mit digitalen Elementen in Verkehr gebracht wird, muss der Hersteller eine systematische Risikoanalyse der mit Cyberbedrohungen für dieses Produkt verbundenen Risiken durchführen. Die Risikobewertung sollte Teil des Entwicklungsprozesses (security by design) sein und u. a. den vorgesehenen Verwendungszweck des Produkts, mögliche Fehlanwendungen sowie die Nutzungsbedingungen (IT-Umgebung, Netzwerk, Art der Daten, die das Gerät verarbeitet) berücksichtigen. Auf Basis dieser Analyse sind geeignete Schutzmaßnahmen zu planen und in der Konstruktion zu berücksichtigen. Die Dokumentation der Cyber-Risikobewertung wird Bestandteil der technischen Dokumentation des Produkts und muss aktualisiert werden, wenn neue Bedrohungen auftreten. Der Hersteller ist verpflichtet, die Dokumentation mindestens 10 Jahre ab dem Inverkehrbringen des Produkts aufzubewahren (und falls der erklärte Supportzeitraum länger als 10 Jahre ist – entsprechend länger). Die Risikobewertung ist keine einmalige Maßnahme – sie sollte bei Bedarf überprüft und aktualisiert werden, insbesondere wenn neue Schwachstellen festgestellt werden oder sich der Nutzungskontext des Produkts ändert.
• Überwachung externer Komponenten – der Hersteller muss bei der Nutzung von Komponenten Dritter, einschließlich Open-Source-Bibliotheken, die gebotene Sorgfalt walten lassen. Es ist sicherzustellen, dass externe Komponenten (Software und Hardware) die Cybersicherheit des gesamten Produkts nicht beeinträchtigen. In der Praxis bedeutet dies, die Versionen und Updates der verwendeten Bibliotheken zu kontrollieren, bekannte Schwachstellen (z. B. in CVE veröffentlicht) in diesen Komponenten zu überwachen sowie sie zu aktualisieren/auszutauschen, sobald Sicherheitslücken auftreten. Wenn im Produkt Open-Source-Software eingesetzt wurde und darin eine Schwachstelle festgestellt wird, ist der Hersteller verpflichtet, die für die Pflege dieses Open Source verantwortliche Stelle (z. B. das Open-Source-Projekt) über das Problem zu informieren und – sofern er die Schwachstelle eigenständig behebt – der Community Informationen über den eingespielten Fix bereitzustellen. Ziel ist es, Hersteller in das Ökosystem des koordinierten Patchens von Schwachstellen auch in Open-Source-Komponenten einzubinden.
• Formale Konformitätsbewertung und Dokumente – bevor ein Produkt auf den Markt kommt, muss der Hersteller das Verfahren zur Konformitätsbewertung gemäß den CRA-Anforderungen durchführen und eine Dokumentation erstellen, die die Erfüllung der Anforderungen belegt. Für die meisten „gewöhnlichen“ Produkte (die nicht der Kategorie mit erhöhtem Risiko zugeordnet sind) reicht eine interne Prüfung (interne Bewertung) sowie die Erstellung einer technischen Dokumentation, die u. a. eine Produktbeschreibung, die Ergebnisse der Risikoanalyse, eine Liste der angewandten Sicherheitsmaßnahmen, Test- und Aktualisierungsverfahren usw. enthält. Anschließend stellt der Hersteller eine EU-Konformitätserklärung aus, in der er erklärt, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt, und bringt am Produkt die CE-Kennzeichnung an. Hinweis: Wird ein Produkt im Hinblick auf die Cybersicherheit als „wichtig“ oder „kritisch“ eingestuft (Annex III und IV CRA), können dafür strengere Konformitätsbewertungsverfahren gelten. Für wichtige Produkte (wichtig) der Klasse II sowie für kritische Produkte ist eine Zertifizierung durch eine dritte Stelle erforderlich, d. h. eine Prüfung und ein Zertifikat, ausgestellt durch eine notifizierte Stelle (z. B. ein akkreditiertes Labor). Für wichtige Produkte der Klasse I ist eine Selbstzertifizierung nur zulässig, wenn geeignete harmonisierte Normen existieren, die der Hersteller anwendet – andernfalls ist ebenfalls die Einbindung einer dritten Stelle erforderlich. Der Manager sollte daher klären, zu welcher Kategorie das Produkt des Unternehmens gehört und ob eine externe Zertifizierung einzuplanen ist (was den Zeitplan für die Markteinführung beeinflussen kann).
• Sicherheitsüberwachung nach dem Inverkehrbringen und Meldung – eine durch den CRA eingeführte Neuerung ist die Pflicht, schwerwiegende Sicherheitsprobleme den zuständigen Stellen zu melden. Der Hersteller muss jede aktiv ausgenutzte Schwachstelle seines Produkts sowie jeden schwerwiegenden Vorfall, der die Sicherheit des Produkts beeinträchtigt, an das nationale CSIRT (Reaktionsteam), das als Koordinator benannt ist, sowie an die Agentur ENISA notifizieren. Die Meldefrist ist sehr kurz – sie beträgt 24 Stunden ab Entdeckung der Schwachstelle/des Ereignisses (analog zu den strengen Vorgaben der DSGVO oder NIS2). Die Meldungen erfolgen über eine einheitliche europäische Plattform, die von ENISA betrieben wird. Die Meldepflicht tritt früher in Kraft als die übrigen Anforderungen (September 2026 – siehe die Fristen unten) und gilt ab diesem Zeitpunkt für alle Produkte auf dem Markt. Daher muss der Hersteller über interne Verfahren verfügen, die in der Lage sind, einen Vorfall/eine Schwachstelle zu erkennen und innerhalb eines Tages die von der Verordnung geforderten Informationen zu übermitteln. Ziel ist es, den Aufsichtsbehörden einen Überblick über neu auftretende Bedrohungen zu verschaffen und die Reaktion zu koordinieren (z. B. andere Nutzer zu warnen, wenn ein bestimmtes Produkt eine kritische Sicherheitslücke aufweist).

Die genannten Pflichten erfordern häufig erhebliche organisatorische Veränderungen – von der Einführung eines Secure SDLC in der F&E-Abteilung über neue Richtlinien für Wartung und Produktsupport bis hin zu zusätzlicher Dokumentation und Schulungen für das Personal. Im Gegenzug gewinnt das Unternehmen mehr Sicherheit, dass sein Produkt nicht zur Ursache eines gefährlichen Cybervorfalls wird, sowie die Konformität mit dem kommenden Recht, was den weiteren Vertrieb auf dem EU-Markt ermöglicht.

Verordnung (EU) 2024/2847: Pflichten von Importeuren und Händlern

Akteure, die Produkte mit digitalen Elementen aus Nicht-EU-Staaten in die EU einführen (Importeure) oder sie anschließend auf dem Unionsmarkt weiterverkaufen (Händler), müssen ebenfalls für die Konformität dieser Erzeugnisse mit dem CRA sorgen. Ihre Rolle besteht vor allem in der Überprüfung sowie dem Reagieren auf mögliche Nichtkonformitäten.

Importer muss vor dem Inverkehrbringen eines Produkts auf dem EU-Markt prüfen, ob der Hersteller seinen Pflichten nachgekommen ist – mit anderen Worten: ob das Produkt über die erforderliche CE-Kennzeichnung und eine EU-Konformitätserklärung verfügt, ob Anleitungen und Sicherheitsinformationen beigefügt sind und ob der Hersteller die erforderliche technische Dokumentation erstellt hat. Der Importeur muss die Cybersicherheit des Produkts nicht selbst testen; hat er jedoch begründete Zweifel an der Konformität des Produkts mit den Anforderungen (z. B. fehlende CE-Kennzeichnung, keine Angaben zum Supportzeitraum usw.), sollte er ein solches Produkt nicht auf dem Markt bereitstellen, bis er sich vergewissert hat, dass die Nichtkonformität behoben wurde. Stellt sich heraus, dass das Produkt die CRA-Anforderungen nicht erfüllt, ist der Importeur verpflichtet, die Marktüberwachungsbehörden zu informieren und Korrekturmaßnahmen zu ergreifen – also sicherzustellen, dass das Produkt in Konformität gebracht wird, und falls dies nicht möglich ist, es aus dem Verkehr oder vom Markt zu nehmen. Importeure müssen – ebenso wie Hersteller – eine Kopie der Konformitätserklärung aufbewahren und dafür sorgen, dass die technische Dokumentation den Behörden auf Verlangen zur Verfügung steht. Außerdem sollten sie ihre Kontaktdaten auf dem Produkt (oder der Verpackung) anbringen und sicherstellen, dass das Produkt ordnungsgemäß gekennzeichnet ist. In der Praxis läuft die Rolle des Importeurs auf ein Sicherheits-Gate hinaus – er soll verhindern, dass in der EU Produkte vertrieben werden, denen die „Papiere“ fehlen, die die Erfüllung des CRA belegen.

Vertriebspartner (inländische Großhändler, Einzelhändler usw.) befinden sich in einer ähnlichen Lage wie Importeure, mit dem Unterschied, dass sie die Erfüllung der Anforderungen sowohl durch den Hersteller als auch – falls das Produkt von außerhalb der EU stammt – durch einen etwaigen Importeur überprüfen. Der Distributor sollte daher vor dem Weiterverkauf prüfen, ob die Ware mit dem CE-Zeichen versehen ist, ob die gesetzlich erforderliche Erklärung oder Anleitungen beigefügt sind und ob nicht öffentlich bekannt gemacht wurde, dass das betreffende Modell die Sicherheitsanforderungen nicht erfüllt. Bei Zweifeln ist er ebenfalls verpflichtet, den Verkauf bis zur Klärung auszusetzen. Wenn er zu dem Schluss kommt (oder darüber informiert wird), dass das Produkt eine ernsthafte Gefahr darstellt oder die Anforderungen der CRA nicht erfüllt, sollte er den Hersteller oder Importeur sowie die Aufsichtsbehörden darüber informieren und bei Abhilfemaßnahmen mitwirken (z. B. bei Rückrufaktionen).

Aus Sicht eines Einkaufsleiters bedeuten diese Regelungen, dass bei der Auswahl von Lieferanten für Hardware/Software noch genauer hingeschaut werden muss. Es ist sicherzustellen, dass Vertragspartner außerhalb der EU bereits CRA-konforme Produkte liefern – andernfalls trägt unser Unternehmen (als Importeur) die Verantwortung für etwaige Defizite. Für einen Distributor (z. B. ein Unternehmen, das Automatisierungstechnik vertreibt) kommt zudem die Pflicht hinzu, zu überwachen, ob die Produkte der verschiedenen Marken im Sortiment über aktuelle Konformitätserklärungen verfügen und die Anforderungen erfüllen – in der Praxis erfordert das eine enge Zusammenarbeit mit den Herstellern sowie eine schnelle Reaktion auf sämtliche Sicherheitswarnungen zu den vertriebenen Geräten.

Wichtig zu beachten: Wenn ein Importeur oder Händler ein Produkt unter eigenem Logo bzw. eigener Marke in Verkehr bringt oder das Produkt verändert (z. B. seine Funktionalität, Software oder Konfiguration in einer für die Cybersicherheit wesentlichen Weise anpasst), dann wird er nach der Verordnung selbst zum Hersteller dieses Produkts. In diesem Fall muss er sämtliche Herstellerpflichten übernehmen (eine Konformitätsbewertung durchführen, eine eigene Erklärung ausstellen usw.). Das betrifft z. B. Systemintegratoren, die OEM-Geräte unter ihrer eigenen Marke verkaufen – hier ist besondere Vorsicht geboten, denn formal tragen sie die Verantwortung für die Konformität genauso wie der ursprüngliche Hersteller.

Inkrafttreten und Übergangsfristen

Die Verordnung (EU) 2024/2847 wurde am 20. November 2024 im Amtsblatt veröffentlicht. Sie trat am 10. Dezember 2024 in Kraft (20 Tage nach der Veröffentlichung), jedoch gelten die wesentlichen Pflichten erst nach 36 Monaten ab diesem Datum. Der Gesetzgeber hat eine lange Übergangsfrist vorgesehen, um der Branche Zeit für die Anpassung zu geben. Hier die wichtigsten Termine:

• 11. September 2026 – ab diesem Tag gelten die Pflichten zur Meldung von Schwachstellen und Sicherheitsvorfällen. Der Hersteller jedes Produkts mit digitalen Elementen, das auf dem EU-Markt verfügbar ist, muss den zuständigen Behörden alle aktiv ausgenutzten Schwachstellen sowie schwerwiegende Sicherheitsvorfälle im Zusammenhang mit seinem Produkt melden. Dieses Datum liegt 21 Monate nach dem Inkrafttreten des CRA und bedeutet, dass Unternehmen bereits 2026 über Verfahren zur Sicherheitsüberwachung und zur Meldung von Problemen verfügen müssen. Dies ist unabhängig davon, wann das Produkt in Verkehr gebracht wurde – es gilt auch für Produkte, die vor 2026 verkauft wurden und weiterhin genutzt werden. Mit anderen Worten: Selbst wenn ein Gerät z. B. 2025 (vor Geltung der Verordnung) in Verkehr gebracht wurde und im September 2026 eine kritische Schwachstelle darin offengelegt wird, ist der Hersteller verpflichtet, diese zu melden und zu beheben.
• 11. Juni 2026 – ab diesem Datum sollen die Vorschriften zu notifizierten Stellen und Konformitätsbewertungsstellen gelten. Die Mitgliedstaaten werden bis Mitte 2026 ein System zur Benennung und Notifizierung von Stellen vorbereiten, die zur Zertifizierung von Produkten (wichtigen und kritischen) im Hinblick auf die Erfüllung der CRA-Anforderungen befugt sind. Für Hersteller ist es wichtig, dass in der zweiten Hälfte 2026 bereits die Infrastruktur für die Durchführung der erforderlichen Prüfungen und Zertifizierungen verfügbar ist.
• 11. Dezember 2027 – vollständige Anwendung der CRA-Verordnung. Ab diesem Tag darf kein Produkt mit digitalen Elementen, das die CRA-Anforderungen nicht erfüllt, in der EU rechtmäßig in Verkehr gebracht werden. Diese Frist (3 Jahre ab Inkrafttreten) ist das Stichtagsdatum, um Produkte und Prozesse anzupassen. Nach dem 11.12.2027 müssen alle neuen Geräte und Software, die in der EU verkauft werden, gemäß CRA konzipiert, hergestellt und gepflegt werden – andernfalls setzt sich das Unternehmen erheblichen Sanktionen aus. Hervorzuheben ist, dass die Vorschriften eine gewisse Erleichterung für Erzeugnisse vorsehen, die sich bereits auf dem Markt befinden: Wurde ein bestimmtes Produkt (ein konkretes Exemplar) bereits vor dem 11. Dezember 2027 auf dem Markt bereitgestellt, kann es weiterhin in Verkehr bleiben, ohne die CRA erfüllen zu müssen. Das gilt jedoch nur für einzelne Exemplare – der Typ eines Produkts, der vor CRA entwickelt wurde, erhält nicht automatisch eine Ausnahme. Jede neue Charge, jedes neue Exemplar, das nach diesem Datum in den Verkauf gebracht wird, muss CRA-konform sein, es sei denn, es befand sich physisch bereits zuvor im Verkehr (was in der Praxis z. B. ein Lagerbestand beim Distributor bedeutet, der die Ware vor dem Stichtag bereits gekauft hat). Die Vorschriften lassen sich daher nicht umgehen, indem man „auf Vorrat“ produziert und nach 2027 verkauft – jedes Produkt unterliegt zum Zeitpunkt des Inverkehrbringens den jeweils geltenden Anforderungen. Eine Ausnahme bilden noch gültige EU-Baumusterprüfbescheinigungen, die vor diesem Datum auf Grundlage anderer Regelungen ausgestellt wurden – sie bleiben bis Juni 2028 gültig, sofern keine kürzere Frist festgelegt wurde.

Für Unternehmen ergibt sich daraus ein klarer, praxisnaher Schluss: Der tatsächliche Stichtag ist Ende 2027. Ab 2028 dürfen in der EU keine Geräte mehr verkauft werden, die die CRA-Anforderungen nicht erfüllen. Gleichzeitig muss man bereits 2026 auf die neuen Pflichten zur Meldung von Sicherheitsvorfällen vorbereitet sein. Die verbleibende Zeit sollte für Analyse und Anpassung der Produkte genutzt werden. Auch wenn 3 Jahre auf den ersten Blick viel erscheinen, können die Änderungen tiefgreifend sein – daher ist es besser, frühzeitig mit den Arbeiten zu beginnen. Nachfolgend stellen wir eine Checkliste mit Maßnahmen vor, die eine Führungskraft in Betracht ziehen sollte, um die eigene Organisation auf die Erfüllung der Anforderungen des Cyberresilienzgesetzes vorzubereiten.

Verordnung (EU) 2024/2847: So bereiten Sie sich auf 2026/2027 vor – Checkliste für Manager

• Identifiziere die CRA-pflichtigen Produkte – Erstelle eine Liste der Unternehmensprodukte, die „Produkte mit digitalen Elementen“ sind (Hardware oder Software, die sich mit dem Netz/anderen Geräten verbindet). Lege für jedes fest, ob es im Sinne der Verordnung (Annex III/IV) als wichtig oder kritisch eingestuft werden kann – z. B. ob es wesentliche Sicherheitsfunktionen erfüllt oder ob seine Kompromittierung einen weitreichenden Schaden verursachen könnte. Von dieser Klassifizierung hängt u. a. das erforderliche Konformitätsbewertungsverfahren ab (ob eine Beteiligung einer dritten Stelle erforderlich ist).
• Machen Sie sich mit den Anforderungen und Normen vertraut – Analysieren Sie die grundlegenden Cybersicherheitsanforderungen aus Anhang I der CRA und beziehen Sie diese auf Ihre Produkte. Prüfen Sie, ob bereits passende harmonisierte Normen oder Branchenstandards existieren, die die Erfüllung der Anforderungen erleichtern können (z. B. können Normen aus der Familie IEC 62443 für die Absicherung von Systemen der Industrieautomation bei der Auslegung von Maschinenschutzmaßnahmen hilfreich sein). Bleiben Sie über die Normungsarbeiten auf dem Laufenden – möglicherweise erscheinen Leitlinien, die die Umsetzung der CRA-Anforderungen in Ihrem Bereich erleichtern.
• Führe eine Gap-Analyse durch – Vergleiche den aktuellen Stand deiner Produkte und Prozesse mit den neuen Anforderungen. Bewerte, inwieweit das derzeitige Sicherheitsniveau die Vorgaben erfüllt (z. B. ob die Geräte über Mechanismen zur Authentifizierung, Verschlüsselung, sichere Updates usw. verfügen). Analysiere den Softwareentwicklungsprozess im Unternehmen – ob Secure-Coding-Prinzipien angewendet werden, ob Penetrationstests durchgeführt werden und wie schnell ihr auf gemeldete Schwachstellen reagiert. Identifiziere Lücken und Verbesserungsbereiche sowohl in der Organisation (Prozesse) als auch in der Technologie (Sicherheitsfunktionen).
• Passen Sie Produktdesign und -entwicklung an – Wenn die Gap-Analyse Defizite aufzeigt, planen Sie die Umsetzung fehlender Mechanismen und Praktiken. Dies kann Änderungen an der Produktarchitektur umfassen (z. B. das Hinzufügen eines Verschlüsselungsmoduls, die Absicherung von Kommunikationsschnittstellen), die Erweiterung des SDLC (Software Development Life Cycle) um Elemente wie threat modeling, code review pod kątem bezpieczeństwa, Fuzzing-Tests usw. sowie die Einführung neuer Produktsicherheitsrichtlinien. Stellen Sie sicher, dass das R&D-Team Cybersicherheit als Designanforderung gleichrangig zur Funktionalität behandelt – die Verordnung erzwingt den Ansatz „security by design/default“.
• Plane ein Update- und Supportkonzept – Prüfe, ob dein Unternehmen darauf vorbereitet ist, Produkte über einen ausreichend langen Zeitraum zu unterstützen. Möglicherweise musst du einen Zeitplan und Ressourcen für die Veröffentlichung regelmäßiger Updates der Firmware-Software über mehrere Jahre nach dem Verkauf einplanen. Stelle sicher, dass die Produkte technisch aktualisierbar sind (remote oder lokal) – wenn nicht, ist das ein ernstes Problem, denn CRA verlangt die Möglichkeit, Schwachstellen auch nach dem Verkauf zu beheben. Lege einen realistischen Supportzeitraum (mindestens 5 Jahre) fest und kommuniziere ihn an die Nutzer. Erarbeite außerdem einen Plan für den technischen Umgang mit Sicherheitsmeldungen von Kunden.
• Bereite die erforderliche Dokumentation vor – Stelle sicher, dass für jedes Produkt eine vollständige technische Dokumentation im Hinblick auf Cybersicherheit erstellt wird. Sie sollte u. a. einen Bericht zur Risikobewertung, eine Beschreibung der Sicherheitsarchitektur, eine Liste der eingesetzten Maßnahmen (z. B. Verschlüsselung, Autorisierung), Ergebnisse von Sicherheitstests, Verfahren für Updates, eine Richtlinie zur Offenlegung von Schwachstellen usw. enthalten. Diese Dokumentation bildet die Grundlage, um die Konformität im Falle einer Kontrolle nachzuweisen (und ggf. auch zur Vorlage bei einer Zertifizierungsstelle). Organisiere außerdem den Prozess ihrer Archivierung für den vorgeschriebenen Zeitraum (10 Jahre oder länger). Zusätzlich solltest du Vorlagen für die EU-Konformitätserklärung für deine Produkte vorbereiten – und dabei daran denken, dass sie eine neue Formulierung enthalten muss, die die Erfüllung aller Anforderungen der Verordnung bestätigt.
• Kümmere dich um die Lieferkette – Nimm Kontakt zu den Lieferanten von Komponenten (insbesondere Software, IoT-Module usw.) auf, um Fragen der CRA-Konformität zu besprechen. Aktualisiere die Lieferantenverträge, indem du Klauseln zum erforderlichen Cybersecurity-Niveau der Komponenten sowie zur Pflicht zur Meldung entdeckter Schwachstellen aufnimmst. Stelle sicher, dass du Zugriff auf Informationen zur Herkunft und zu den Versionen der Komponenten hast (führe für Produkte eine SBOM – Software Bill of Materials, was das Nachverfolgen von Schwachstellen in abhängigen Bibliotheken erleichtert). Wenn du externe Cloud-Services nutzt, die mit dem Produkt verbunden sind, prüfe deren Sicherheitsmaßnahmen und die Konformität mit NIS2 (denn SaaS kann statt CRA unter NIS2 fallen). Die Cybersecurity eines Produkts ist auch die Sicherheit aller Bausteine, aus denen es besteht – die Lieferanten müssen an einem Strang ziehen.
• Schulen Sie Ihr Personal und sensibilisieren Sie Kunden – Die neuen Pflichten führen dazu, dass verschiedene Unternehmensbereiche über Grundkenntnisse zur CRA verfügen müssen. Führen Sie Schulungen für Entwicklung, Qualität, IT und Service zu den Anforderungen der Verordnung und zu internen Verfahren durch (z. B. wie auf eine Meldung zu einer Schwachstelle zu reagieren ist, wie Änderungen im Hinblick auf die Konformität zu dokumentieren sind). Sinnvoll ist es außerdem, Einkauf und Vertrieb zu informieren, damit sie sich der neuen Kennzeichnungen und Erklärungen bewusst sind (z. B. der Notwendigkeit zu prüfen, ob ein Lieferant außerhalb der EU eine Konformitätserklärung bereitgestellt hat). Erwägen Sie, für Kunden Informationen zur Sicherheitsrichtlinie Ihrer Produkte aufzubereiten – Transparenz in diesem Bereich kann zu einem Verkaufsargument werden (Nutzer werden verstärkt darauf achten, ob ein bestimmtes Produkt die Cyber-Anforderungen erfüllt und ob Updates zugesichert sind).
• Verfolge Leitlinien und Fristen – Verfolge Mitteilungen der Europäischen Kommission und der nationalen Behörden zum CRA. Es können delegierte oder Durchführungsrechtsakte erscheinen, die bestimmte Punkte präzisieren (z. B. sektorale Ausnahmen – die Kommission kann entscheiden, Produkte vom CRA auszunehmen, die gleichwertigen sektoralen Anforderungen unterliegen). Behalte auch den Prozess der Veröffentlichung harmonisierter Normen im Blick – die Anwendung einer Norm ist der einfachste Weg zur Konformitätsvermutung. Stelle sicher, dass die genannten Fristen eingehalten werden: September 2026 (Bereitschaft zur Meldung von Vorfällen) und Dezember 2027 (vollständige Konformität aller neuen Produkte). Am besten legst du interne Meilensteine deutlich früher fest – z. B. Abschluss der ersten Risikoanalyse bis Mitte 2025, Anpassung des Entwicklungsprozesses bis Ende 2025, Konformitätstests und Vorzertifizierungen im Jahr 2026 usw., damit du ins Jahr 2027 mit nahezu erfüllten Anforderungen startest. Eine Überraschung in letzter Minute kann einen Verkaufsstopp nach sich ziehen – daher ist ein proaktives Vorgehen entscheidend.

Wenn Sie diese „Hausaufgabe” frühzeitig erledigen, vermeiden Sie hektischen Zeitdruck im Jahr 2027 und die damit verbundenen Risiken. Statt CRA nur als Pflicht zu sehen, lohnt es sich, es als Chance zu begreifen, das allgemeine Sicherheitsniveau der Produkte zu erhöhen – und damit sowohl das Unternehmen als auch die Kunden vor kostspieligen Vorfällen zu schützen.

CRA und Maschinenverordnung (EU) 2023/1230 – was fällt unter welches Regelwerk?

Viele Führungskräfte in der Industrie fragen sich, wie sich die neuen Vorschriften zur Cyberresilienz zum bereits bekannten Maschinenverordnung (EU) 2023/1230 verhalten (die die Maschinenrichtlinie ersetzen wird). Kommt es dabei zu einer Doppelung von Anforderungen, oder ergänzen sich diese Regelwerke gegenseitig? Entscheidend ist zu verstehen, welche Aspekte des Produkts die jeweiligen Rechtsakte regeln.

Die Maschinenverordnung 2023/1230 umfasst die Maschinensicherheit im klassischen Sinn – sie konzentriert sich auf den Schutz von Gesundheit und Sicherheit der Maschinenanwender. Sie legt die sogenannten grundlegenden Sicherheits- und Gesundheitsschutzanforderungen (EHSR) fest, die u. a. mechanische und elektrische Aspekte, Ergonomie, Lärm, EMC usw. betreffen. Die neue Maschinenverordnung hat zwar auch die Anforderung eingeführt, Gefährdungen im Zusammenhang mit dem Internetzugang und Cyberangriffen als potenzielle Gefahr für die Sicherheit zu berücksichtigen. Das bedeutet, dass der Maschinenhersteller bei der Risikobeurteilung Szenarien betrachten muss, in denen z. B. ein Fernzugriff bzw. eine Fernmanipulation des Maschinensteuerungssystems einen Unfall verursachen könnte. Er muss daher Maßnahmen vorsehen, die solche Situationen verhindern (z. B. Netzwerkschutzmaßnahmen, die eine Übernahme der Kontrolle über die Maschine durch Unbefugte verhindern). Allerdings regelt die Maschinenverordnung Cybersicherheit nur insoweit, wie sie die physische Sicherheit der Personen beeinflusst, die Maschinen bedienen. Das ist eines von vielen Elementen der Konformitätsbewertung einer Maschine; in detaillierte IT-Anforderungen geht sie hingegen nicht – dort findet sich weder eine Liste kryptografischer Mechanismen noch eine Pflicht, die Software der Maschine nach dem Verkauf zu aktualisieren. Vereinfacht gesagt: Die Maschinenverordnung stellt sicher, dass die Maschine keine Gefahr für Leben/Gesundheit darstellt (auch nicht infolge eines Cybervorfalls), während der CRA für die allgemeine Cybersicherheit des Produkts sorgt (einschließlich Datenvertraulichkeit, Dienstresilienz, gesamter Lebenszyklus).

Der Cyber Resilience Act deckt einen deutlich breiteren Bereich an IT-Themen ab als die Maschinenverordnung. Selbst bei Industriemaschinen macht der CRA z. B. Vorgaben zur Meldung von Schwachstellen, zur Bereitstellung von Updates über X Jahre sowie zum Schutz vor Datenverlust – also Themen, die nicht unmittelbar mit der Sicherheit des Maschinenbenutzers zusammenhängen, sondern mit Cybersicherheit als solcher. In der Praxis bedeutet das, dass eine Maschine als Produkt mit digitalen Elementen gleichzeitig den Vorschriften beider Verordnungen unterliegt. Der Hersteller einer solchen Maschine muss die Anforderungen beider Rechtsakte erfüllen – sowohl diejenigen, die eine sichere Konstruktion z. B. im Hinblick auf Mechanik betreffen (Maschinenverordnung), als auch diejenigen, die die Absicherung von Software, Netzwerken und Daten betreffen (CRA). Die Erfüllung der Anforderungen der einen Verordnung bedeutet nicht automatisch die Konformität mit der anderen, da die Bewertungskriterien unterschiedlich sind.

Aus Sicht des Konformitätsbewertungsverfahrens gilt: Ein Produkt, das unter mehr als eine EU-Verordnung fällt, muss vor der CE-Kennzeichnung alle anwendbaren Vorschriften erfüllen. Beispiel: Ein Hersteller, der einen kollaborativen Industrieroboter mit Funktion zur Fernüberwachung in Verkehr bringt, muss sicherstellen, dass der Roboter die grundlegenden Sicherheitsanforderungen für Maschinen (rozporz. 2023/1230) und die grundlegenden Anforderungen an die Cybersicherheit (Rozporządzenie (UE) 2024/2847) erfüllt. Die EU-Konformitätserklärung für eine solche Maschine sollte beide Rechtsakte aufführen. Umgekehrt muss der Instandhaltungsleiter, der ein solches Gerät beschafft, sowohl die Konformität mit dem „Maschinen-CE“ als auch mit dem „Cyber-CE“ prüfen. In der Praxis gibt es nur eine CE-Kennzeichnung – die Dokumentation muss jedoch die Konformität mit sämtlichen Vorschriften des neuen Konzepts nachweisen, die für das jeweilige Produkt gelten.

Es lohnt sich, einige Beispiele dafür zu nennen, was unter welche Verordnung fällt:

• Rein elektronische IT-Geräte (ohne Maschinenfunktionen) – z. B. Router, Smartphones, IP-Kameras – fallen nicht unter die Maschinenverordnung (weil sie keine Maschinen sind), unterliegen aber dem CRA, wenn sie digitale Elemente enthalten und netzwerkbasiert kommunizieren. In ihrem Fall steht vor allem die Cybersicherheit im Vordergrund, und Fragen der physischen Sicherheit des Nutzers sind nicht relevant (abgesehen von allgemeinen Vorschriften zu Arbeitsschutz/EMV).
• Traditionelle Maschinen ohne digitale Anbindung – z. B. eine Hydraulikpresse mit rein analoger Steuerung – fallen unter die Maschinenverordnung (es sind die Anforderungen u. a. an Konstruktion, Schutzeinrichtungen, Sicherheitskreise usw. zu erfüllen), unterliegen jedoch nicht unmittelbar dem CRA, da sie keine digitalen Komponenten enthalten, die nach außen kommunizieren. Natürlich kann vorhandene Steuerelektronik für sich genommen als digitale Ausrüstung eingestuft werden – solange jedoch keine Konnektivität besteht (z. B. keine Netzwerkports, kein Fernzugriff), erfüllt sie nicht die Definition eines „Produkts mit digitalen Elementen“ im Sinne des CRA.
• Moderne Maschinen mit digitalen Funktionen – z. B. Roboter, Produktionslinien mit IoT, AGV-Fahrzeuge, die mit dem Managementsystem kommunizieren – fallen unter beide Rechtsakte. Hier wird die Maschinenverordnung u. a. eine klassische Risikobeurteilung verlangen (damit die Maschine keine mechanischen/elektrischen Gefährdungen verursacht) sowie die Anforderung, dass z. B. ein Fernzugriff auf den Roboter keine gefährliche Situation auslösen kann (also die Berücksichtigung von Cyberbedrohungen für die Sicherheit). CRA legt zusätzlich die Pflicht auf, dass dieser Roboter insgesamt über abgesicherte Software verfügt (z. B. verschlüsselte Datenübertragungen, eindeutige Passwörter), vom Hersteller aktualisiert wird und dass im Fall einer entdeckten Schwachstelle diese behoben und den Behörden gemeldet wird. Der Hersteller solcher Geräte muss daher Resilienz gegenüber Cyberangriffen sowohl im Kontext der Sicherheit von Menschen als auch der Betriebskontinuität, der Vertraulichkeit von Daten usw. sicherstellen.

Zusammengefasst gilt: Maschinenverordnung und CRA stehen nicht in Konkurrenz, sondern ergänzen sich. Die erste sorgt für die funktionale Sicherheit von Maschinen (einschließlich der minimalen Cyber-Anforderungen, damit die Maschine sicher ist), die zweite adressiert die weiter gefasste Cybersicherheit des Produkts über den gesamten Lebenszyklus. Für Manager bedeutet das die Notwendigkeit einer mehrdimensionalen Konformität: Ein smartes Produkt muss sowohl konstruktiv sicher als auch cybersicher sein. Entsprechend müssen die Anforderungen beider Regelwerke im Blick behalten werden. Zum Glück liegen die Zeitpunkte ihres Geltungsbeginns nah beieinander – die Maschinenverordnung wird ebenfalls ab Januar 2027 in der Praxis angewendet (und ersetzt die Richtlinie), und die CRA ab Ende 2027. Damit lassen sich die Vorbereitungen für beide in einem stimmigen Compliance-Programm bündeln. Beispielsweise kann man bei der Entwicklung einer neuen Maschine von Anfang an sowohl die Anforderungen der Maschinensicherheit als auch IT-Schutzmaßnahmen berücksichtigen; bei der Erprobung des Prototyps nicht nur die Konformität mit Normen wie ISO 13849 (Safety) prüfen, sondern z. B. auch Penetrationstests des Steuerungssystems durchführen. Mit einem solchen Ansatz stellt das Unternehmen eine umfassende Konformität sicher und vermeidet die Situation, ein Gesetz zu erfüllen, während das andere ignoriert wird.

Die Verordnung (EU) 2024/2847 ist zweifellos eine Herausforderung für Hersteller und Lieferanten, zugleich aber eine notwendige Antwort auf die heutigen Gegebenheiten. Maschinen und Geräte werden immer intelligenter und stärker vernetzt – die Vorschriften müssen damit Schritt halten. Managerinnen und Manager, die bereits jetzt vorbereitende Maßnahmen ergreifen, verschaffen sich einen Vorteil: Ihre Unternehmen werden nicht nur reibungslos in den neuen Rechtsrahmen übergehen, sondern auch die Wettbewerbsfähigkeit und Glaubwürdigkeit ihrer Produkte in den Augen von Kunden steigern, für die digitale Sicherheit ebenso wichtig wird wie Preis oder Funktionalität. Mit der passenden Unterstützung durch Expertinnen und Experten für Maschinensicherheit und IT lässt sich die Umsetzung der CRA-Anforderungen als Bestandteil kontinuierlicher Verbesserung verstehen – und nicht nur als regulatorische Pflicht. Davon profitieren am Ende das Unternehmen, die Endnutzerinnen und Endnutzer sowie das gesamte digitale Ökosystem. Sicherere Produkte bedeuten ein geringeres Risiko von Stillständen, Angriffen und Verlusten – und genau dieses Ziel verfolgt sowohl der Gesetzgeber als auch verantwortungsbewusste Marktteilnehmer.