Cyber Resilience Act: Cybersicherheit wird zur Herstellerpflicht
Stand: Juni 2026
Der Cyber Resilience Act (CRA) ist die erste umfassende EU-Verordnung, die Cybersicherheitsanforderungen direkt an Produkte mit digitalen Elementen knüpft. Ab dem 11. Dezember 2027 ist die Einhaltung verpflichtend – und die Strafen sind erheblich. Wer jetzt nicht handelt, riskiert Bußgelder bis zu 15 Millionen Euro.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (EU) 2024/2847 verpflichtet Hersteller, Produkte mit digitalen Elementen sicher zu entwickeln, zu testen und bereitzustellen. Das gilt für Steuerungen, Maschinen, Anlagen, SPS-Systeme und Industriesoftware – kurz: für alles mit Netzwerkanbindung.
| Merkmal | Details |
| Stichtag Herstellerpflichten | 11. Dezember 2027 |
| Stichtag Meldepflichten | 11. September 2026 |
| Gilt für | Alle Produkte mit digitalen Elementen (PDEs) |
| Strafen | Bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes |
| Referenznorm | IEC 62443 |
Wer fällt unter den CRA?
Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden und eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk aufweisen. Konkret betroffen sind:
- Steuerungen (SPS / PLC) mit Netzwerkanbindung
- Maschinen und Anlagen mit eingebetteter Software oder Fernzugriff
- Firmware und Embedded Systems
- Industriesoftware (SCADA, MES, HMI-Software)
- Switches, Firewalls, Router im Industrieumfeld
Kurz gesagt: Wenn Ihr Produkt eine Netzwerkverbindung hat oder haben kann – direkt oder indirekt – fällt es unter den CRA.
Was müssen Hersteller konkret tun?
Grundlegende Cybersicherheitsanforderungen (ab Dezember 2027)
- Auslieferung ohne bekannte ausnutzbare Schwachstellen
- Sichere Standardkonfiguration (Security by Default)
- Schutz der Vertraulichkeit und Integrität von Daten
- Minimierung der Angriffsfläche
- Automatische Sicherheitsaktualisierungen
Schwachstellenmanagement
- Schwachstellen und Komponenten dokumentieren (inkl. Software Bill of Materials / SBOM)
- Schwachstellen unverzüglich beheben und kostenlose Sicherheitsupdates bereitstellen
- Regelmäßige Sicherheitstests durchführen
Cybersecurity Product Lifecycle Management System (CPLMS)
Die Umsetzung der CRA-Anforderungen erfordert klare Verantwortlichkeiten und dauerhaft etablierte Prozesse über den gesamten Produktlebenszyklus hinweg. Ein CPLMS definiert insbesondere:
- Rollen und Verantwortlichkeiten
- Governance- und Freigabeprozesse
- Die Zusammenarbeit zwischen Entwicklung, Qualitätsmanagement, Service und IT-Sicherheit
- Vorgaben für die Pflege der technischen Dokumentation
- Die kontinuierliche Überwachung und Verbesserung der Cybersicherheitsprozesse
Hinweis: Der CRA schreibt ein CPLMS nicht ausdrücklich vor. Die geforderten Prozesse lassen sich jedoch ohne ein entsprechendes Managementsystem nur schwer nachhaltig umsetzen.
Meldepflichten – bereits ab 11. September 2026!
Bereits mehr als ein Jahr vor den übrigen CRA-Anforderungen treten die Meldepflichten in Kraft. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden:
- 24 Stunden nach Kenntnis: erste Frühwarnung
- 72 Stunden: vollständige Meldung des Vorfalls
- 14 Tage: abschließender Bericht
Wer hierfür noch keine Prozesse hat, muss jetzt handeln.
Strafen bei Nichteinhaltung
Der CRA ist kein zahnloser Tiger. Erhebliche Sanktionen drohen:
- Nichteinhaltung der wesentlichen CRA-Anforderungen: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes
- Falsche Informationen gegenüber Behörden: bis zu 5 Millionen Euro oder 1 % des Jahresumsatzes
- Produkte ohne CRA-Konformität: Marktzugang wird eingeschränkt oder verboten
Was Sie jetzt tun sollten
- Betroffenheitsanalyse: Welche Ihrer Produkte fallen unter den CRA?
- Gap-Analyse: Wo weichen Ihre aktuellen Prozesse von den neuen Anforderungen ab?
- Meldepflichten: Haben Sie Prozesse für die Meldung von Sicherheitsvorfällen? (Pflicht ab 11.09.2026)
- Security-Risikobeurteilung: Haben Sie ein Industrial-Security-Konzept für Ihre Produkte?
- Normen prüfen: Arbeiten Sie bereits nach IEC 62443?
Wir unterstützen Sie bei der CRA-Compliance
Die ROTH Steuerungstechnik GmbH begleitet Sie auf dem Weg zur Compliance:
- Betroffenheitsanalyse und Gap-Analyse
- Cybersicherheits-Risikobeurteilung (TARA) nach IEC 62443
- Aufbau eines Secure Development Lifecycle
- Erstellung technischer Dokumentation und EU-Konformitätserklärung
Sprechen Sie uns an – für eine erste Einschätzung, ob und wie der CRA Ihr Unternehmen betrifft.
Hinweis: Wer Maschinen mit digitalen Schnittstellen herstellt, fällt auch unter die neue Maschinenverordnung (MVO) 2027. Lesen Sie unseren Artikel zur MVO, um beide Anforderungen optimal zu kombinieren.
Stand: Juni 2026. Alle Angaben basieren auf dem Cyber Resilience Act (EU 2024/2847).