Verordnung (EU) 2024/2847 – Cyberresilienzgesetz (CRA)

Die Verordnung (EU) 2024/2847 – der Cyber Resilience Act (CRA) – ist eine neue EU-Verordnung, die horizontale Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ einführt. Sie wurde im Oktober 2024 angenommen und wird nach Übergangsfristen ab Ende 2027 in allen EU-Mitgliedstaaten unmittelbar gelten. Für Führungskräfte in der Industrie – ob verantwortlich für Instandhaltung, Einkauf oder Compliance – ist es sinnvoll, schon jetzt zu verstehen, welche Produkte unter diese Verordnung fallen, welche neuen Pflichten sie Herstellern, Importeuren und Händlern auferlegt und wie sich das Unternehmen auf die kommenden Änderungen vorbereitet. Nachfolgend stellen wir die wichtigsten Informationen praxisnah dar – ohne Juristendeutsch, aber mit technischer Präzision –, damit sich die erforderlichen vorbereitenden Maßnahmen leichter ableiten lassen.

Geltungsbereich: Welche Produkte erfasst der Cyber Resilience Act?

Die Verordnung (EU) 2024/2847 gilt für alle „Produkte mit digitalen Elementen“, die auf dem EU-Markt bereitgestellt werden und deren bestimmungsgemäße Verwendung eine Verbindung mit einem anderen Gerät oder einem Netzwerk umfasst (direkt oder indirekt, physisch oder logisch). Anders gesagt: Die meisten Geräte oder Software, die mit anderen Systemen kommunizieren können, unterliegen den neuen Anforderungen. In der Praxis betrifft das u. a. IoT-Geräte und Unterhaltungselektronik (z. B. Smartwatches, Mobiltelefone, smarte Haushaltsgeräte/Unterhaltungselektronik, Babyphones), Wearables (z. B. Fitnessarmbänder), Industrieausrüstung mit Netzwerkfunktionen (Sensoren und Industriemaschinen mit Netzwerkanbindung) sowie verschiedenste Software (Betriebssysteme, mobile und Desktop-Anwendungen, Business-Software usw.). Wichtig ist: Software, die separat verkauft wird (als Produkt), fällt ebenfalls unter den CRA – ebenso wie Remote-Datenverarbeitungsdienste, die integraler Bestandteil eines Produkts sind. So wird etwa ein Cloud-Dienst, der ein Smart-Home-Gerät steuert, als Teil des Produkts behandelt und muss die Sicherheitsanforderungen erfüllen.

Die Verordnung hat einen sehr weiten Anwendungsbereich, sieht jedoch auch Ausnahmen für bestimmte Produktkategorien vor, die bereits durch eigene sektorspezifische Vorschriften geregelt sind. Der CRA gilt nicht u. a. für: Medizinprodukte (geregelt durch die Verordnungen MDR 2017/745 und 2017/746), Fahrzeuge und deren Ausrüstung (u. a. erfasst durch die Verordnung 2019/2144 im Bereich der Fahrzeugtypgenehmigung), Luftfahrzeuge (Verordnung 2018/1139 zur Luftfahrt) sowie Schiffsausrüstung (Richtlinie 2014/90/EU). Für diese Produkte gelten separate Regelwerke, die häufig bereits branchenspezifisch zugeschnittene Anforderungen enthalten; daher wurden sie vom CRA ausgenommen. Zudem betreffen die neuen Vorschriften keine Hardware und Software, die ausschließlich militärisch genutzt wird oder der nationalen Sicherheit dient (sowie der Verarbeitung von Verschlusssachen). Ausgenommen sind außerdem Ersatzteile, die als Austausch identischer Komponenten geliefert werden – wurde das Originalprodukt rechtmäßig in Verkehr gebracht, muss das identische Teil den CRA nicht separat erfüllen.

Erwähnenswert ist, dass sogenannte freie und Open-Source-Software nicht unter den CRA fällt, sofern sie nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Wird Software also unentgeltlich entwickelt und veröffentlicht, außerhalb des Marktverkehrs, gelten ihre Urheber (z. B. eine Open-Source-Community) nicht als „Hersteller“ im Sinne der Verordnung, und die nachfolgend beschriebenen Pflichten treffen sie nicht. Nutzt ein Unternehmen jedoch eine Open-Source-Komponente in einem kommerziellen Produkt, dann liegt die Verantwortung für die Erfüllung der Sicherheitsanforderungen beim Hersteller des Endprodukts. Zusammengefasst richtet sich der CRA vor allem an professionell entwickelte und vertriebene digitale Produkte, die Endnutzer im EU-Binnenmarkt erreichen.

Warum wurde der CRA eingeführt? Neue Bedrohungen, Regulierungslücke und Lieferkette

Die Europäische Union hat einen dringenden Bedarf erkannt, die Cyberresilienz digitaler Produkte angesichts wachsender Bedrohungen zu stärken. In den letzten Jahren ist die Zahl und Vielfalt internetfähiger Geräte explosionsartig gestiegen – von industriellen IoT-Systemen in Fabriken bis hin zu smarten Geräten im Haushalt. Leider ist das Cybersicherheitsniveau dieser Produkte häufig niedrig; das zeigt sich in weit verbreiteten Schwachstellen sowie in einer unzureichenden und uneinheitlichen Bereitstellung von Sicherheitsupdates. Viele Hersteller haben Sicherheit bislang nicht über den gesamten Produktlebenszyklus hinweg priorisiert, und Anwender haben oft weder das Bewusstsein noch die Informationen dazu, welche Geräte sicher sind, wie lange sie mit Updates unterstützt werden und wie sie sicher zu nutzen sind. Diese Kombination von Faktoren führt zu einem erhöhten Risiko von Cyberangriffen.

Der Cyber Resilience Act soll eine Regulierungslücke schließen – bislang fehlten auf EU-Ebene einheitliche, verbindliche Anforderungen an die digitale Sicherheit von Produkten. Zwar gab es Initiativen wie ICT-Sicherheitszertifizierungen (auf Grundlage des Cybersecurity Act 2019/881) oder die Anforderungen der NIS2-Richtlinie für kritische Sektoren, doch keine Rechtsvorschrift begründete unmittelbar eine Pflicht zu „Cybersecurity by Design” für alle Geräte und Software, die in Verkehr gebracht werden. Der CRA schafft genau diesen universellen Rahmen – er stellt sicher, dass Hardware und Software über den gesamten Lebenszyklus hinweg mit wirksamen Schutzmaßnahmen konzipiert, hergestellt und betrieben werden. Ziel ist, dass Produkte mit weniger Schwachstellen auf den Markt kommen und Hersteller neue Bedrohungen zügig beseitigen (z. B. durch Sicherheits-Patches), statt Nutzer mit unsicheren, „löchrigen” Geräten zurückzulassen.

Cyberresilienz hat zudem eine Lieferketten- und grenzüberschreitende Dimension. In Zeiten, in denen nahezu alles mit allem vernetzt ist, kann ein Vorfall in einem einzelnen, scheinbar unbedeutenden Gerät zum Angriffsvektor auf eine gesamte Organisation oder auf Geschäftspartner werden. Ein infizierter IoT-Sensor in der Produktionshalle kann den Zugang zum Werksnetz öffnen; eine Schwachstelle in einer weit verbreiteten Anwendung kann innerhalb von Minuten weltweit ausgenutzt werden. Wie in der Begründung der Verordnung hervorgehoben wird, kann sich ein Cybervorfall in einem Produkt innerhalb weniger Minuten entlang der Lieferkette über die Grenzen eines Landes hinaus ausbreiten. Die Kosten solcher Angriffe tragen nicht nur Hersteller und Anwender, sondern die Gesellschaft insgesamt – Störungen kritischer Infrastrukturen, finanzielle Verluste, Beeinträchtigungen der öffentlichen Sicherheit. Gemeinsame, verbindliche Regeln in der gesamten EU sollen das allgemeine Schutzniveau anheben und verhindern, dass das schwächste Glied (ein nicht resilientes Produkt) alle gefährdet.

Ein weiterer Beweggrund ist mehr Vertrauen in digitale Produkte und ein fairerer Wettbewerb. Derzeit verlieren Hersteller, die in Security by Design investieren, preislich nicht selten gegen diejenigen, die diese Themen ignorieren. Der CRA soll bewirken, dass Cybersicherheit zum Qualitätsstandard wird – alle müssen Mindestanforderungen erfüllen, was die Wettbewerbsbedingungen angleicht und die gesellschaftlichen Kosten von Angriffen senkt (die heute auf die Opfer abgewälzt werden). Dadurch soll die Resilienz des gesamten EU-Marktes sowie das Vertrauen der Kunden in moderne Geräte mit digitalen Komponenten steigen. Der Rechtsakt fügt sich zudem in eine breitere EU-Strategie ein (zusammen mit RODO, NIS2, DORA usw.), die darauf abzielt, die Cybersicherheit von Diensten und Produkten als Fundament der digitalen Wirtschaft zu stärken.

Verordnung (EU) 2024/2847: Zentrale Pflichten für Hersteller, Importeure und Händler

Die neue Verordnung führt eine Reihe konkreter Pflichten für Wirtschaftsakteure ein, die an der Lieferkette von Produkten mit digitalen Elementen beteiligt sind. Der Verantwortungsumfang hängt von der jeweiligen Rolle ab – die meisten Anforderungen gelten für Hersteller, doch auch Importeure und Händler haben wesentliche Aufgaben. Im Folgenden fassen wir die zentralen Pflichten aus Sicht eines Managers zusammen, der für die Rechtskonformität der Produkte des Unternehmens verantwortlich ist.

Pflichten der Hersteller

Der Hersteller (sowie auch ein Akteur, der ein Produkt unter eigener Marke in Verkehr bringt oder es verändert – auch er gilt als Hersteller) trägt die Hauptverantwortung für die Erfüllung der CRA-Anforderungen. Zu seinen wichtigsten Aufgaben gehören:

• Sicherstellung der Konformität des Produkts mit den in Anhang I der Verordnung festgelegten grundlegenden Anforderungen an die Cybersicherheit. In der Praxis bedeutet das, dass das Produkt bereits in der Entwurfs- und Konstruktionsphase Eigenschaften aufweisen muss, die ein angemessenes Niveau der digitalen Sicherheit gewährleisten – risikogerecht in Bezug auf das mit dem jeweiligen Produkt verbundene Risiko. Die Verordnung nennt eine Reihe konkreter technischer Anforderungen – u. a. keine bekannten Schwachstellen zum Zeitpunkt des Inverkehrbringens, Verwendung sicherer Standardkonfigurationen (z. B. Vermeidung von Standardpasswörtern), Verschlüsselung, wo angemessen, Schutz vor unbefugtem Zugriff, Schutz personenbezogener Daten des Nutzers, Widerstandsfähigkeit gegen Angriffe, die Funktionen stören (z. B. DoS-Angriffe), sowie die Möglichkeit eines Zurücksetzens auf Werkseinstellungen. Das Produkt sollte so ausgelegt sein, dass seine „Angriffsfläche“ maximal reduziert wird – z. B. keine unnötig offenen Ports oder Dienste bereitzustellen, die die Exponierung gegenüber Cyberbedrohungen erhöhen. Diese grundlegenden Anforderungen (Teil I Anhang I CRA) bilden eine Checkliste von Sicherheitsmerkmalen, die jedes digitale Produkt erfüllen muss.
• Etablierung eines Prozesses für Schwachstellen- und Incident-Handling – der Hersteller muss aktiv für die Sicherheit des Produkts nach dem Verkauf sorgen, über den gesamten erklärten Supportzeitraum hinweg. In Teil II von Anhang I sind Anforderungen an den Prozess zur Behandlung von Schwachstellen (vulnerability handling) festgelegt: regelmäßige Tests und Monitoring im Hinblick auf neue Lücken, Entgegennahme von Meldungen zu Schwachstellen (z. B. von Forschern oder Nutzern) sowie schnelle Behebung/Patching erkannter Schwachstellen durch Bereitstellung von Sicherheitsupdates. Der Hersteller muss eine Policy zur koordinierten Offenlegung von Schwachstellen (coordinated disclosure) betreiben – d. h. eine benannte Kontaktstelle vorhalten, an die Probleme gemeldet werden können, sowie Verfahren, wie auf solche Meldungen zu reagieren ist. Wichtig ist, dass Updates Schwachstellen unverzüglich beheben und auf sichere Weise verteilt werden (z. B. digital signiert). Entscheidend ist außerdem: Der Hersteller ist verpflichtet, Support und Sicherheitsupdates für einen Zeitraum bereitzustellen, der dem erwarteten Lebenszyklus des Produkts entspricht, mindestens 5 Jahre (es sei denn, die Art des Produkts rechtfertigt einen kürzeren Zeitraum). Anders gesagt: Wenn unsere Hardware typischerweise ~5+ Jahre beim Kunden im Einsatz ist, können wir nicht nach ein oder zwei Jahren aufhören, Patches zu veröffentlichen – erforderlich ist ein mehrjähriger Post-Market-Support, damit der Nutzer nicht mit einem „löchrigen“ Gerät zurückbleibt.
• Durchführung einer Cybersicherheits-Risikobewertung – bevor ein Produkt mit digitalen Elementen in Verkehr gebracht wird, muss der Hersteller eine systematische Risikoanalyse im Zusammenhang mit Cyberbedrohungen für dieses Produkt durchführen. Die Risikobewertung sollte Teil des Entwicklungsprozesses (security by design) sein und u. a. den vorgesehenen Verwendungszweck des Produkts, mögliche Fehlanwendungen sowie die Nutzungsbedingungen (IT-Umgebung, Netzwerk, Art der Daten, die das Gerät verarbeitet) berücksichtigen. Auf Basis dieser Analyse sind geeignete Schutzmaßnahmen zu planen und in der Konstruktion zu berücksichtigen. Die Dokumentation der Cyber-Risikobewertung wird Bestandteil der technischen Dokumentation des Produkts und muss aktualisiert werden, wenn neue Bedrohungen auftreten. Der Hersteller ist verpflichtet, die Dokumentation mindestens 10 Jahre ab dem Inverkehrbringen aufzubewahren (und wenn der erklärte Supportzeitraum länger als 10 Jahre ist – entsprechend länger). Die Risikobewertung ist keine einmalige Aufgabe – sie sollte überprüft und bei Bedarf aktualisiert werden, insbesondere wenn neue Schwachstellen entdeckt werden oder sich der Nutzungskontext des Produkts ändert.
• Überwachung externer Komponenten – der Hersteller muss bei der Nutzung von Komponenten Dritter, einschließlich Open-Source-Bibliotheken, die gebotene Sorgfalt walten lassen. Es ist sicherzustellen, dass externe Komponenten (Software und Hardware) die Cybersicherheit des Gesamtprodukts nicht kompromittieren. In der Praxis bedeutet das, die Versionen und Updates der verwendeten Bibliotheken zu kontrollieren, bekannte Schwachstellen (z. B. in CVE veröffentlicht) in diesen Komponenten zu überwachen sowie sie zu aktualisieren/zu ersetzen, sobald Lücken auftreten. Wenn im Produkt Open-Source-Software eingesetzt wurde und darin eine Schwachstelle entdeckt wird, ist der Hersteller verpflichtet, die für die Pflege dieser Open Source verantwortliche Stelle (z. B. das Open-Source-Projekt) über das Problem zu informieren, und wenn er die Schwachstelle eigenständig im eigenen Verantwortungsbereich behebt – der Community Informationen über den eingespielten Fix bereitzustellen. Ziel ist es, Hersteller in das Ökosystem des koordinierten Patchens von Schwachstellen auch in Open-Source-Komponenten einzubinden.
• Formale Konformitätsbewertung und Dokumente – bevor das Produkt auf den Markt kommt, muss der Hersteller das Verfahren zur Konformitätsbewertung nach den CRA-Anforderungen durchführen und Unterlagen erstellen, die die Erfüllung der Anforderungen belegen. Für die meisten „gewöhnlichen“ Produkte (die nicht in die Kategorie mit erhöhtem Risiko fallen) reicht eine interne Prüfung (interne Bewertung) sowie die Erstellung einer technischen Dokumentation, die u. a. eine Produktbeschreibung, Ergebnisse der Risikoanalyse, eine Liste der eingesetzten Sicherheitsmaßnahmen, Test- und Updateverfahren usw. enthält. Anschließend stellt der Hersteller eine EU-Konformitätserklärung aus, in der er erklärt, dass das Produkt alle anwendbaren CRA-Anforderungen erfüllt, und bringt am Produkt die CE-Kennzeichnung an. Hinweis: Wenn ein Produkt im Hinblick auf die Cybersicherheit als „wichtig“ oder „kritisch“ eingestuft wurde (Annex III und IV CRA), können strengere Verfahren der Konformitätsbewertung gelten. Für wichtige Produkte der Klasse II sowie für kritische Produkte ist eine Zertifizierung durch eine dritte Stelle erforderlich, d. h. eine Prüfung und ein Zertifikat, ausgestellt durch eine notifizierte Stelle (z. B. ein akkreditiertes Labor). Für wichtige Produkte der Klasse I ist eine Selbstzertifizierung nur zulässig, wenn geeignete harmonisierte Normen existieren, die der Hersteller anwendet – andernfalls ist ebenfalls die Beteiligung einer dritten Stelle erforderlich. Der Manager sollte daher klären, zu welcher Kategorie das Produkt des Unternehmens gehört und ob eine externe Zertifizierung einzuplanen ist (was den Zeitplan für das Inverkehrbringen beeinflussen kann).
• Sicherheitsmonitoring nach dem Inverkehrbringen und Meldungen – eine durch CRA eingeführte Neuerung ist die Pflicht zur Meldung schwerwiegender Sicherheitsprobleme an die zuständigen Stellen. Der Hersteller muss jede aktiv ausgenutzte Schwachstelle seines Produkts sowie jeden schwerwiegenden Sicherheitsvorfall, der die Produktsicherheit beeinträchtigt, an das nationale CSIRT (Reaktionsteam), das als Koordinator benannt ist, sowie an die ENISA melden. Die Meldefrist ist sehr kurz – sie beträgt 24 Stunden ab Feststellung der Schwachstelle/des Ereignisses (vergleichbar mit den Vorgaben der DSGVO oder NIS2). Die Meldungen erfolgen über eine einheitliche europäische Plattform, die von ENISA betrieben wird. Die Meldepflicht tritt früher in Kraft als die übrigen Anforderungen (September 2026 – siehe Termine unten) und gilt ab diesem Zeitpunkt für alle Produkte auf dem Markt. Daher muss der Hersteller interne Verfahren vorhalten, die einen Incident/eine Schwachstelle erkennen und innerhalb eines Tages die nach der Verordnung erforderlichen Informationen übermitteln können. Ziel ist es, den Aufsichtsbehörden einen Überblick über auftretende Bedrohungen zu geben und die Reaktion zu koordinieren (z. B. andere Nutzer zu warnen, wenn ein Produkt eine kritische Schwachstelle aufweist).

Diese Pflichten erzwingen häufig erhebliche organisatorische Veränderungen – von der Einführung eines Secure SDLC in der F&E-Abteilung über neue Richtlinien für Wartung und Produktsupport bis hin zu zusätzlicher Dokumentation und Schulungen für das Personal. Im Gegenzug gewinnt das Unternehmen mehr Sicherheit, dass sein Produkt nicht zur Ursache eines gefährlichen Cybervorfalls wird, sowie die Konformität mit dem kommenden Recht, was den weiteren Vertrieb auf dem EU-Markt ermöglicht.

Verordnung (EU) 2024/2847: Pflichten von Importeuren und Händlern

Akteure, die Produkte mit digitalen Elementen aus Nicht-EU-Staaten in die EU einführen (Importeure) oder sie anschließend auf dem Unionsmarkt weiterverkaufen (Händler), müssen ebenfalls dafür sorgen, dass diese Produkte mit dem CRA konform sind. Ihre Rolle besteht vor allem in der Überprüfung sowie dem Reagieren auf mögliche Nichtkonformitäten.

Der Importeur muss vor dem Inverkehrbringen eines Produkts auf dem EU-Markt prüfen, ob der Hersteller seinen Pflichten nachgekommen ist – mit anderen Worten: ob das Produkt die erforderliche CE-Kennzeichnung und eine EU-Konformitätserklärung besitzt, ob Anleitungen und Sicherheitsinformationen beigefügt sind und ob der Hersteller die erforderliche technische Dokumentation erstellt hat. Der Importeur muss die Cybersicherheit des Produkts nicht selbst testen; hat er jedoch begründete Zweifel an der Konformität des Produkts mit den Anforderungen (z. B. fehlende CE-Kennzeichnung, keine Angaben zum Supportzeitraum usw.), sollte er ein solches Produkt nicht auf dem Markt bereitstellen, bis er sich vergewissert hat, dass die Nichtkonformität behoben wurde. Stellt sich heraus, dass das Produkt die CRA-Anforderungen nicht erfüllt, ist der Importeur verpflichtet, die Marktüberwachungsbehörden zu informieren und Korrekturmaßnahmen zu ergreifen – also die Konformität des Produkts herzustellen oder, falls dies nicht möglich ist, es aus dem Verkehr zu ziehen oder vom Markt zu nehmen. Importeure müssen – wie Hersteller – eine Kopie der Konformitätserklärung aufbewahren und sicherstellen, dass die technische Dokumentation den Behörden auf Verlangen zur Verfügung steht. Außerdem sollten sie auf dem Produkt (oder der Verpackung) ihre Kontaktdaten anbringen und sicherstellen, dass das Produkt ordnungsgemäß gekennzeichnet ist. In der Praxis läuft die Rolle des Importeurs auf ein Sicherheits-Gate hinaus: Er soll verhindern, dass in der EU Produkte vertrieben werden, denen die „Papiere“ für die Erfüllung des CRA fehlen.

Händler (inländische Großhändler, Einzelhändler usw.) befinden sich in einer ähnlichen Situation wie Importeure, mit dem Unterschied, dass sie die Erfüllung der Anforderungen sowohl durch den Hersteller als auch – falls das Produkt aus Nicht-EU-Staaten stammt – durch einen etwaigen Importeur prüfen. Der Händler sollte daher vor dem Weiterverkauf kontrollieren, ob die Ware mit dem CE-Zeichen versehen ist, ob die gesetzlich erforderliche Erklärung oder Anleitungen beigefügt sind und ob nicht bereits öffentlich bekannt gemacht wurde, dass das betreffende Modell die Sicherheitsanforderungen nicht erfüllt. Bei Zweifeln ist er ebenfalls verpflichtet, den Verkauf bis zur Klärung auszusetzen. Wenn er feststellt (oder darüber informiert wird), dass das Produkt eine erhebliche Gefahr darstellt oder die CRA-Anforderungen nicht erfüllt, sollte er den Hersteller oder Importeur sowie die Marktüberwachungsbehörden darüber informieren und bei Korrekturmaßnahmen mitwirken (z. B. bei Rückrufaktionen).

Aus Sicht eines Einkaufsleiters bedeuten diese Regelungen die Notwendigkeit größerer Wachsamkeit bei der Auswahl von Lieferanten für Hardware/Software. Es ist sicherzustellen, dass Vertragspartner außerhalb der EU bereits CRA-konforme Produkte liefern – andernfalls trägt unser Unternehmen (als Importeur) die Verantwortung für die Defizite. Für den Händler (z. B. ein Unternehmen, das Automatisierungstechnik vertreibt) kommt die Pflicht hinzu, zu überwachen, ob die Produkte verschiedener Marken im Sortiment über aktuelle Konformitätserklärungen verfügen und die Anforderungen erfüllen – in der Praxis erfordert das eine enge Zusammenarbeit mit den Herstellern und eine schnelle Reaktion auf sämtliche Sicherheitswarnungen zu den verkauften Geräten.

Wichtig ist: Bringt ein Importeur oder Händler ein Produkt unter eigenem Logo/eigener Marke in Verkehr oder modifiziert das Produkt (z. B. indem er dessen Funktionalität, Software oder Konfiguration in einer für die Cybersicherheit wesentlichen Weise verändert), wird er nach der Verordnung selbst zum Hersteller dieses Produkts. Dann muss er alle Herstellerpflichten übernehmen (Konformitätsbewertung durchführen, eigene Erklärung ausstellen usw.). Das betrifft z. B. Systemintegratoren, die OEM-Geräte unter ihrer eigenen Marke verkaufen – sie müssen sehr vorsichtig sein, weil sie formal für die Konformität genauso verantwortlich sind wie der ursprüngliche Hersteller.

Inkrafttreten und Übergangsfristen

Die Verordnung (EU) 2024/2847 wurde am 20. November 2024 im Amtsblatt veröffentlicht. Sie trat am 10. Dezember 2024 in Kraft (20 Tage nach der Veröffentlichung), jedoch gelten die wesentlichen Pflichten erst nach 36 Monaten ab diesem Datum. Der Gesetzgeber hat eine lange Übergangsfrist vorgesehen, um der Branche Zeit für die Anpassung zu geben. Hier die wichtigsten Termine:

• 11. September 2026 – ab diesem Datum gelten die Meldepflichten für Schwachstellen und Sicherheitsvorfälle. Der Hersteller jedes Produkts mit digitalen Elementen, das auf dem EU-Markt verfügbar ist, muss den zuständigen Behörden alle aktiv ausgenutzten Schwachstellen sowie schwerwiegende Sicherheitsvorfälle im Zusammenhang mit seinem Produkt melden. Dieses Datum liegt 21 Monate nach Inkrafttreten des CRA und bedeutet, dass Unternehmen bereits 2026 über Verfahren zur Sicherheitsüberwachung und zur Meldung von Problemen verfügen müssen. Das ist unabhängig davon, wann das Produkt in Verkehr gebracht wurde – es betrifft auch Produkte, die vor 2026 verkauft wurden und weiterhin genutzt werden. Anders gesagt: Selbst wenn ein Gerät z. B. 2025 (also vor Geltung der Verordnung) in Verkehr gebracht wurde und im September 2026 eine kritische Schwachstelle bekannt wird, ist der Hersteller verpflichtet, diese zu melden und zu beheben.
• 11. Juni 2026 – ab diesem Datum sollen die Vorschriften zu notifizierten Stellen und Konformitätsbewertungsstellen gelten. Die Mitgliedstaaten werden bis Mitte 2026 ein System zur Benennung und Notifizierung von Stellen aufbauen, die berechtigt sind, Produkte (wichtige und kritische) im Hinblick auf die Erfüllung der CRA-Anforderungen zu zertifizieren. Für Hersteller ist entscheidend, dass in der zweiten Jahreshälfte 2026 bereits die Infrastruktur für die Durchführung der erforderlichen Prüfungen und Zertifizierungen verfügbar ist.
• 11. Dezember 2027 – vollständige Anwendung der CRA-Verordnung. Ab diesem Datum darf kein Produkt mit digitalen Elementen, das die CRA-Anforderungen nicht erfüllt, in der EU rechtmäßig in Verkehr gebracht werden. Dieser Termin (3 Jahre nach Inkrafttreten) ist die Frist, bis zu der Produkte und Prozesse angepasst sein müssen. Nach dem 11.12.2027 müssen alle neuen Geräte und Software, die in der EU verkauft werden, gemäß CRA entworfen, hergestellt und über ihren Lebenszyklus hinweg gepflegt werden – andernfalls setzt sich das Unternehmen erheblichen Sanktionen aus. Hervorzuheben ist, dass die Vorschriften eine gewisse Erleichterung für Produkte vorsehen, die sich bereits auf dem Markt befinden: Wurde ein bestimmtes Produkt (konkretes Exemplar) bereits vor dem 11. Dezember 2027 auf dem Markt bereitgestellt, kann es weiterhin im Verkehr bleiben, ohne die CRA-Anforderungen erfüllen zu müssen. Das gilt jedoch nur für einzelne Exemplare – der Produkttyp, der vor CRA entwickelt wurde, erhält nicht automatisch eine Ausnahme. Jede neue Charge, jedes neue Exemplar, das nach diesem Datum in den Verkauf gebracht wird, muss CRA-konform sein, es sei denn, es befand sich physisch bereits zuvor im Verkehr (was in der Praxis z. B. ein Lagerbestand beim Händler bedeutet, der die Ware vor dem Stichtag bereits gekauft hat). Die Vorschriften lassen sich daher nicht umgehen, indem „auf Vorrat“ produziert und erst nach 2027 verkauft wird – jedes Produkt unterliegt zum Zeitpunkt des Inverkehrbringens den jeweils geltenden Anforderungen. Eine Ausnahme bilden noch gültige EU-Baumusterprüfbescheinigungen, die vor diesem Datum auf Grundlage anderer Regelungen ausgestellt wurden – sie bleiben bis Juni 2028 gültig, sofern keine kürzere Frist festgelegt wurde.

Für Unternehmen lautet die praktische Schlussfolgerung: die tatsächliche Deadline ist Ende 2027. Ab 2028 werden wir in der EU keine Geräte mehr verkaufen, die die CRA-Anforderungen nicht erfüllen. Gleichzeitig muss man bereits 2026 auf die neuen Pflichten zur Meldung von Vorfällen vorbereitet sein. Die verbleibende Zeit sollte für die Analyse und Anpassung der Produkte genutzt werden. Auch wenn 3 Jahre auf den ersten Blick viel erscheinen, können sich die Änderungen als tiefgreifend erweisen – daher ist es besser, frühzeitig mit den Arbeiten zu beginnen. Nachfolgend stellen wir eine Checkliste mit Maßnahmen vor, die ein Manager bei der Vorbereitung seiner Organisation auf die Anforderungen des Cyberresilienzgesetzes in Betracht ziehen sollte.

Verordnung (EU) 2024/2847: Wie bereitet man sich auf 2026/2027 vor – Checkliste für Manager

• Identifiziere CRA-relevante Produkte – Erstelle eine Liste der Unternehmensprodukte, die als „Produkte mit digitalen Elementen“ gelten (Hardware oder Software, die sich mit dem Netz/anderen Geräten verbindet). Lege für jedes Produkt fest, ob es im Sinne der Verordnung (Annex III/IV) als wichtig oder kritisch eingestuft werden kann – z. B. ob es wesentliche Sicherheitsfunktionen erfüllt oder ob eine Kompromittierung großflächige Schäden verursachen könnte. Von dieser Klassifizierung hängt u. a. das erforderliche Konformitätsbewertungsverfahren ab (z. B. ob eine Drittstelle eingebunden werden muss).
• Mach dich mit Anforderungen und Normen vertraut – Analysiere die grundlegenden Cybersicherheitsanforderungen aus Anhang I der CRA und übertrage sie auf deine Produkte. Prüfe, ob bereits passende harmonisierte Normen oder Branchenstandards existieren, die die Erfüllung der Anforderungen erleichtern (z. B. können Normen aus der Familie IEC 62443 für die Absicherung von Systemen der Industrieautomation bei der Auslegung von Maschinenschutzmaßnahmen hilfreich sein). Bleib bei der Normungsarbeit auf dem Laufenden – möglicherweise erscheinen Leitlinien, die die Umsetzung der CRA-Anforderungen in deinem Bereich erleichtern.
• Führe eine Gap-Analyse durch – Vergleiche den aktuellen Stand deiner Produkte und Prozesse mit den neuen Anforderungen. Bewerte, inwieweit das bestehende Sicherheitsniveau die Vorgaben erfüllt (z. B. ob Geräte über Authentifizierungsmechanismen, Verschlüsselung, sichere Updates usw. verfügen). Analysiere den Softwareentwicklungsprozess im Unternehmen – werden Secure-Coding-Prinzipien angewendet, werden Penetrationstests durchgeführt, wie schnell reagiert ihr auf gemeldete Schwachstellen. Identifiziere Lücken und Verbesserungsbereiche sowohl in der Organisation (Prozesse) als auch in der Technologie (Sicherheitsfunktionen).
• Passe Produktdesign und -entwicklung an – Wenn die Gap-Analyse Defizite aufzeigt, plane die Einführung fehlender Mechanismen und Praktiken. Das kann Änderungen an der Produktarchitektur umfassen (z. B. Ergänzung eines Verschlüsselungsmoduls, Absicherung von Kommunikationsschnittstellen), die Weiterentwicklung des SDLC (Software Development Life Cycle) um Elemente wie Threat Modeling, sicherheitsorientierte Code Reviews, Fuzzing-Tests usw. sowie die Einführung neuer Produktsicherheitsrichtlinien. Stelle sicher, dass das R&D-Team Cybersicherheit als gleichrangige Designanforderung neben der Funktionalität behandelt – die Verordnung erzwingt den Ansatz „security by design/default“.
• Plane ein Update- und Supportsystem – Prüfe, ob dein Unternehmen darauf vorbereitet ist, Produkte über einen angemessenen Zeitraum zu unterstützen. Möglicherweise müssen Zeitplan und Ressourcen für die Bereitstellung regelmäßiger Updates von Software/Firmware über mehrere Jahre nach dem Verkauf aufgebaut werden. Prüfe, ob die Produkte technisch updatefähig sind (remote oder lokal) – falls nicht, ist das ein gravierendes Problem, da die CRA die Möglichkeit verlangt, Schwachstellen auch nach dem Verkauf zu beseitigen. Lege einen realistischen Supportzeitraum (mindestens 5 Jahre) fest und kommuniziere ihn an die Nutzer. Erarbeite außerdem einen Plan für die technische Bearbeitung von Sicherheitsmeldungen durch Kunden.
• Erstelle die erforderliche Dokumentation – Stelle sicher, dass für jedes Produkt eine vollständige technische Dokumentation mit Blick auf Cybersicherheit erstellt wird. Sie sollte u. a. einen Bericht zur Risikobewertung, eine Beschreibung der Sicherheitsarchitektur, eine Liste der eingesetzten Maßnahmen (z. B. Verschlüsselung, Autorisierung), Ergebnisse von Sicherheitstests, Update-Prozeduren, eine Richtlinie zur Offenlegung von Schwachstellen usw. enthalten. Diese Dokumentation ist die Grundlage, um die Konformität im Fall einer Kontrolle nachzuweisen (und ggf. auch zur Vorlage bei einer Zertifizierungsstelle). Organisiere zudem die Archivierung für den geforderten Zeitraum (10 Jahre oder länger). Zusätzlich: Erstelle Vorlagen für die EU-Konformitätserklärung deiner Produkte – mit dem Hinweis, dass darin eine neue Formulierung enthalten sein muss, die die Erfüllung aller Anforderungen der Verordnung bestätigt.
• Kümmere dich um die Lieferkette – Nimm Kontakt zu Lieferanten von Komponenten (insbesondere Software, IoT-Module usw.) auf, um Fragen der CRA-Konformität zu klären. Aktualisiere Lieferantenverträge und ergänze Klauseln zum erforderlichen Cybersicherheitsniveau der Komponenten sowie zur Pflicht, über entdeckte Schwachstellen zu informieren. Stelle sicher, dass du Zugriff auf Informationen zu Herkunft und Versionen der Komponenten hast (führe für Produkte eine SBOM – Software Bill of Materials, was das Nachverfolgen von Schwachstellen in abhängigen Bibliotheken erleichtert). Wenn du externe Cloud-Services nutzt, die mit dem Produkt verbunden sind, prüfe deren Sicherheitsniveau und die Konformität mit NIS2 (da SaaS unter NIS2 statt unter CRA fallen kann). Cybersicherheit des Produkts bedeutet auch die Sicherheit aller Bausteine, aus denen es besteht – die Lieferanten müssen am selben Strang ziehen.
• Schule Mitarbeitende und sensibilisiere Kunden – Die neuen Pflichten bedeuten, dass verschiedene Unternehmensbereiche Grundwissen zur CRA benötigen. Führe Schulungen für Entwicklung, Qualität, IT und Service zu den Anforderungen der Verordnung und zu internen Abläufen durch (z. B. wie auf eine Schwachstellenmeldung zu reagieren ist, wie Änderungen konformitätsrelevant dokumentiert werden). Informiere auch Einkauf und Vertrieb, damit sie sich der neuen Kennzeichnungen und Erklärungen bewusst sind (z. B. der Notwendigkeit zu prüfen, ob ein Lieferant außerhalb der EU eine Konformitätserklärung bereitgestellt hat). Erwäge, Kunden Informationen zur Sicherheitsrichtlinie eurer Produkte bereitzustellen – Transparenz kann hier zu einem Verkaufsargument werden (Nutzer werden zunehmend darauf achten, ob ein Produkt die Cyber-Anforderungen erfüllt und Updates zugesichert sind).
• Verfolge Leitlinien und Fristen – Beobachte Mitteilungen der Europäischen Kommission und nationaler Behörden zur CRA. Es können delegierte Rechtsakte oder Durchführungsrechtsakte erscheinen, die bestimmte Punkte präzisieren (z. B. sektorale Ausnahmen – die Kommission kann entscheiden, Produkte von der CRA auszunehmen, wenn sie gleichwertigen sektoralen Anforderungen unterliegen). Verfolge außerdem die Veröffentlichung harmonisierter Normen – die Anwendung einer Norm ist der einfachste Weg zur Konformitätsvermutung. Achte darauf, die genannten Termine einzuhalten: September 2026 (Bereitschaft zur Meldung von Vorfällen) und Dezember 2027 (vollständige Konformität aller neuen Produkte). Lege am besten deutlich früher interne Meilensteine fest – z. B. Abschluss der ersten Risikobewertung bis Mitte 2025, Anpassung des Entwicklungsprozesses bis Ende 2025, Konformitätstests und Vorzertifizierungen 2026 usw., um mit nahezu erfüllten Anforderungen in das Jahr 2027 zu starten. Eine Überraschung in letzter Minute kann zu einem Verkaufsstopp führen – ein proaktives Vorgehen ist daher entscheidend.

Diese „Hausaufgaben“ rechtzeitig zu erledigen, hilft, hektischen Zeitdruck im Jahr 2027 und die damit verbundenen Risiken zu vermeiden. Statt CRA nur als Pflicht zu sehen, lohnt es sich, die Verordnung als Chance zu begreifen, das allgemeine Sicherheitsniveau von Produkten zu erhöhen – und damit sowohl das Unternehmen als auch die Kunden vor kostspieligen Vorfällen zu schützen.

CRA und die Maschinenverordnung (EU) 2023/1230 – was fällt unter welche Regelung?

Viele Führungskräfte aus der Industrie fragen sich, wie sich die neuen Vorschriften zur Cyberresilienz zur bereits bekannten Maschinenverordnung (EU) 2023/1230 verhalten (die die Maschinenrichtlinie ersetzen wird). Kommt es zu einer Doppelung von Anforderungen, oder ergänzen sich die Regelwerke? Entscheidend ist zu verstehen, welche Produktaspekte durch die jeweiligen Rechtsakte geregelt werden.

Die Maschinenverordnung 2023/1230 betrifft die Maschinensicherheit im klassischen Sinn – sie fokussiert auf den Schutz von Gesundheit und Sicherheit der Maschinenanwender. Sie definiert die sogenannten grundlegenden Sicherheits- und Gesundheitsschutzanforderungen (EHSR), die u. a. mechanische und elektrische Aspekte, Ergonomie, Lärm, EMV usw. abdecken. Die neue Maschinenverordnung hat zwar auch die Anforderung eingeführt, Gefährdungen im Zusammenhang mit Internetzugang und Cyberangriffen als potenzielle Gefahr für die Sicherheit zu berücksichtigen. Das bedeutet, dass der Maschinenhersteller im Rahmen der Risikobeurteilung Szenarien betrachten muss, in denen z. B. ein Fernzugriff auf das Steuerungssystem der Maschine einen Unfall auslösen könnte. Er muss daher Maßnahmen vorsehen, die solche Situationen verhindern (z. B. Netzwerkschutzmaßnahmen, die eine unbefugte Übernahme der Maschinensteuerung ausschließen). Allerdings regelt die Maschinenverordnung Cybersicherheit nur insoweit, wie sie die physische Sicherheit der Menschen beeinflusst, die Maschinen bedienen. Das ist ein Bestandteil der Konformitätsbewertung der Maschine; in detaillierte IT-Anforderungen steigt sie jedoch nicht ein – es gibt dort weder eine Liste kryptografischer Mechanismen noch eine Pflicht, die Software der Maschine nach dem Verkauf zu aktualisieren. Vereinfacht gesagt: Die Maschinenverordnung stellt sicher, dass die Maschine keine Gefahr für Leben/Gesundheit darstellt (auch nicht infolge eines Cybervorfalls), während CRA für die allgemeine Cybersicherheit des Produkts sorgt (einschließlich Datenvertraulichkeit, Dienstresilienz und des gesamten Lebenszyklus).

Der Cyber Resilience Act deckt einen deutlich größeren Umfang an IT-Themen ab als die Maschinenverordnung. Selbst bei Industriemaschinen macht CRA z. B. Vorgaben zur Meldung von Schwachstellen, zur Bereitstellung von Updates über X Jahre oder zum Schutz vor Datenverlust – also Themen, die nicht unmittelbar mit der Sicherheit des Maschinenanwenders zusammenhängen, sondern mit Cybersicherheit an sich. In der Praxis bedeutet das, dass eine Maschine als Produkt mit digitalen Elementen gleichzeitig unter beide Verordnungen fällt. Der Hersteller einer solchen Maschine muss die Anforderungen beider Rechtsakte erfüllen – sowohl diejenigen zur sicheren Konstruktion etwa in mechanischer Hinsicht (Maschinenverordnung) als auch diejenigen zur Absicherung von Software, Netzwerken und Daten (CRA). Die Erfüllung der Anforderungen der einen Verordnung bedeutet nicht automatisch die Konformität mit der anderen, da die Bewertungskriterien unterschiedlich sind.

Aus Sicht des Konformitätsbewertungsverfahrens gilt: Ein Produkt, das unter mehr als eine EU-Verordnung fällt, muss vor der CE-Kennzeichnung alle anwendbaren Vorschriften erfüllen. Beispiel: Ein Hersteller, der einen kollaborativen Industrieroboter mit Remote-Monitoring-Funktion in Verkehr bringt, muss sicherstellen, dass der Roboter die grundlegenden Anforderungen an die Maschinensicherheit (Verordnung 2023/1230) und die grundlegenden Cybersicherheitsanforderungen (Verordnung (EU) 2024/2847) erfüllt. In der EU-Konformitätserklärung dieser Maschine sollten beide Rechtsakte genannt sein. Umgekehrt muss der Leiter der Instandhaltung, der ein solches Gerät beschafft, sowohl die Konformität mit dem „Maschinen-CE“ als auch mit dem „Cyber-CE“ prüfen. In der Praxis gibt es nur eine CE-Kennzeichnung – die Dokumentation muss jedoch die Konformität mit allen Vorschriften des neuen Konzepts belegen, die für das jeweilige Produkt gelten.

Es lohnt sich, einige Beispiele zu nennen, was unter welche Verordnung fällt:

• Rein elektronische IT-Geräte (ohne Maschinenfunktionen) – z. B. Router, Smartphones, IP-Kameras – fallen nicht unter die Maschinenverordnung (weil sie keine Maschinen sind), wohl aber unter den CRA, sofern sie digitale Elemente enthalten und über ein Netzwerk kommunizieren. In diesem Fall steht vor allem die Cybersicherheit im Vordergrund; Fragen der physischen Sicherheit der Nutzer spielen keine Rolle (abgesehen von allgemeinen Arbeitsschutz-/EMV-Vorschriften).
• Klassische Maschinen ohne digitale Anbindung – z. B. eine Hydraulikpresse mit rein analoger Steuerung – unterliegen der Maschinenverordnung (es sind Anforderungen an Konstruktion, Schutzeinrichtungen, Sicherheitskreise usw. zu erfüllen), fallen jedoch nicht unmittelbar unter den CRA, da sie keine digitalen Elemente enthalten, die nach außen kommunizieren. Natürlich kann eine in der Maschine verbaute Steuerelektronik für sich genommen als digitale Hardware gelten – solange jedoch keine Konnektivität besteht (z. B. keine Netzwerkports, kein Fernzugriff), erfüllt sie nicht die Definition eines „Produkts mit digitalen Elementen“ im Sinne des CRA.
• Moderne Maschinen mit digitalen Funktionen – z. B. Roboter, IoT-fähige Produktionslinien, AGV-Fahrzeuge, die mit einem Managementsystem kommunizieren – fallen unter beide Rechtsakte. Hier verlangt die Maschinenverordnung u. a. eine klassische Risikobeurteilung (damit die Maschine keine mechanischen/elektrischen Gefährdungen verursacht) sowie die Anforderung, dass z. B. ein Fernzugriff auf den Roboter keine gefährliche Situation auslösen darf (also die Berücksichtigung von Cyberbedrohungen für die Sicherheit). Der CRA verpflichtet zusätzlich dazu, dass der Roboter insgesamt über abgesicherte Software verfügt (z. B. verschlüsselte Datenübertragungen, eindeutige Passwörter), vom Hersteller aktualisiert wird und dass im Fall entdeckter Schwachstellen diese behoben und den Behörden gemeldet werden. Der Hersteller solcher Produkte muss daher eine Widerstandsfähigkeit gegen Cyberangriffe sowohl im Kontext der Sicherheit von Menschen als auch der Betriebskontinuität, der Vertraulichkeit von Daten usw. sicherstellen.

Zusammengefasst gilt: Maschinenverordnung und CRA stehen nicht in Konkurrenz, sondern ergänzen sich. Die erste sorgt für die funktionale Sicherheit von Maschinen (einschließlich Mindestanforderungen an Cyber-Aspekte, damit die Maschine sicher ist), die zweite für eine weiter gefasste Cybersicherheit des Produkts über den gesamten Lebenszyklus. Für Manager bedeutet das die Notwendigkeit einer mehrdimensionalen Compliance: Ein intelligentes Produkt muss sowohl konstruktiv sicher als auch cybersicher sein. Entsprechend sind die Anforderungen beider Regelwerke im Blick zu behalten. Zum Glück liegen die Zeitpunkte ihres Wirksamwerdens nahe beieinander – die Maschinenverordnung wird ebenfalls ab Januar 2027 in der Praxis angewendet (und ersetzt die Richtlinie), der CRA ab Ende 2027. Damit lassen sich die Vorbereitungen für beide in einem konsistenten Compliance-Programm bündeln. Beispielsweise kann man bei der Entwicklung einer neuen Maschine von Anfang an sowohl die Anforderungen der Maschinensicherheit als auch IT-Schutzmaßnahmen berücksichtigen; bei Prototypentests nicht nur die Konformität mit Normen wie ISO 13849 (Safety) prüfen, sondern z. B. auch Penetrationstests des Steuerungssystems durchführen. Mit diesem Ansatz stellt das Unternehmen eine umfassende Konformität sicher und vermeidet die Situation, ein Gesetz zu erfüllen und dabei das andere zu ignorieren.

Die Verordnung (EU) 2024/2847 ist zweifellos eine Herausforderung für Hersteller und Lieferanten, zugleich aber eine notwendige Antwort auf die heutigen Rahmenbedingungen. Maschinen und Geräte werden immer intelligenter und stärker vernetzt – die Vorschriften müssen damit Schritt halten. Manager, die schon jetzt vorbereitende Maßnahmen ergreifen, verschaffen sich einen Vorteil: Ihre Unternehmen werden nicht nur reibungslos in den neuen Rechtsrahmen wechseln, sondern auch die Wettbewerbsfähigkeit und Glaubwürdigkeit ihrer Produkte in den Augen der Kunden erhöhen, für die digitale Sicherheit ebenso wichtig wird wie Preis oder Funktionalität. Mit der passenden Unterstützung durch Experten für Maschinensicherheit und IT lässt sich die Umsetzung der CRA-Anforderungen als Bestandteil kontinuierlicher Verbesserung verstehen – und nicht nur als regulatorische Pflicht. Davon profitieren am Ende das Unternehmen, die Endnutzer und das gesamte digitale Ökosystem. Sicherere Produkte bedeuten ein geringeres Risiko von Stillständen, Angriffen und Verlusten – und genau dieses Ziel verfolgen sowohl der Gesetzgeber als auch verantwortungsbewusste Marktteilnehmer.