Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
X

Newsletter

Melden Sie sich zu unserem Newsletter an, um auf dem Laufenden zu bleiben.

Wir verwenden Brevo als unsere Marketing-Plattform. Indem du das Formular absendest, erklärst du dich einverstanden, dass die von dir angegebenen persönlichen Informationen an Brevo zur Bearbeitung übertragen werden gemäß den Datenschutzrichtlinien von Brevo.

Cyber Resilience Act (CRA)

Cybersicherheit wird zur Herstellerpflicht

Cyber Resilience Act: Cybersicherheit wird zur Herstellerpflicht

Stand: Juni 2026

Der Cyber Resilience Act (CRA) ist die erste umfassende EU-Verordnung, die Cybersicherheitsanforderungen direkt an Produkte mit digitalen Elementen knüpft. Ab dem 11. Dezember 2027 ist die Einhaltung verpflichtend – und die Strafen sind erheblich. Wer jetzt nicht handelt, riskiert Bußgelder bis zu 15 Millionen Euro.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (EU) 2024/2847 verpflichtet Hersteller, Produkte mit digitalen Elementen sicher zu entwickeln, zu testen und bereitzustellen. Das gilt für Steuerungen, Maschinen, Anlagen, SPS-Systeme und Industriesoftware – kurz: für alles mit Netzwerkanbindung.

MerkmalDetails
Stichtag Herstellerpflichten11. Dezember 2027
Stichtag Meldepflichten11. September 2026
Gilt fürAlle Produkte mit digitalen Elementen (PDEs)
StrafenBis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes
ReferenznormIEC 62443

Wer fällt unter den CRA?

Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden und eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk aufweisen. Konkret betroffen sind:

  • Steuerungen (SPS / PLC) mit Netzwerkanbindung
  • Maschinen und Anlagen mit eingebetteter Software oder Fernzugriff
  • Firmware und Embedded Systems
  • Industriesoftware (SCADA, MES, HMI-Software)
  • Switches, Firewalls, Router im Industrieumfeld

Kurz gesagt: Wenn Ihr Produkt eine Netzwerkverbindung hat oder haben kann – direkt oder indirekt – fällt es unter den CRA.

Was müssen Hersteller konkret tun?

Grundlegende Cybersicherheitsanforderungen (ab Dezember 2027)

  • Auslieferung ohne bekannte ausnutzbare Schwachstellen
  • Sichere Standardkonfiguration (Security by Default)
  • Schutz der Vertraulichkeit und Integrität von Daten
  • Minimierung der Angriffsfläche
  • Automatische Sicherheitsaktualisierungen

Schwachstellenmanagement

  • Schwachstellen und Komponenten dokumentieren (inkl. Software Bill of Materials / SBOM)
  • Schwachstellen unverzüglich beheben und kostenlose Sicherheitsupdates bereitstellen
  • Regelmäßige Sicherheitstests durchführen

Cybersecurity Product Lifecycle Management System (CPLMS)

Die Umsetzung der CRA-Anforderungen erfordert klare Verantwortlichkeiten und dauerhaft etablierte Prozesse über den gesamten Produktlebenszyklus hinweg. Ein CPLMS definiert insbesondere:

  • Rollen und Verantwortlichkeiten
  • Governance- und Freigabeprozesse
  • Die Zusammenarbeit zwischen Entwicklung, Qualitätsmanagement, Service und IT-Sicherheit
  • Vorgaben für die Pflege der technischen Dokumentation
  • Die kontinuierliche Überwachung und Verbesserung der Cybersicherheitsprozesse

Hinweis: Der CRA schreibt ein CPLMS nicht ausdrücklich vor. Die geforderten Prozesse lassen sich jedoch ohne ein entsprechendes Managementsystem nur schwer nachhaltig umsetzen.

Meldepflichten – bereits ab 11. September 2026!

Bereits mehr als ein Jahr vor den übrigen CRA-Anforderungen treten die Meldepflichten in Kraft. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden:

  • 24 Stunden nach Kenntnis: erste Frühwarnung
  • 72 Stunden: vollständige Meldung des Vorfalls
  • 14 Tage: abschließender Bericht

Wer hierfür noch keine Prozesse hat, muss jetzt handeln.

Strafen bei Nichteinhaltung

Der CRA ist kein zahnloser Tiger. Erhebliche Sanktionen drohen:

  • Nichteinhaltung der wesentlichen CRA-Anforderungen: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes
  • Falsche Informationen gegenüber Behörden: bis zu 5 Millionen Euro oder 1 % des Jahresumsatzes
  • Produkte ohne CRA-Konformität: Marktzugang wird eingeschränkt oder verboten

Was Sie jetzt tun sollten

  • Betroffenheitsanalyse: Welche Ihrer Produkte fallen unter den CRA?
  • Gap-Analyse: Wo weichen Ihre aktuellen Prozesse von den neuen Anforderungen ab?
  • Meldepflichten: Haben Sie Prozesse für die Meldung von Sicherheitsvorfällen? (Pflicht ab 11.09.2026)
  • Security-Risikobeurteilung: Haben Sie ein Industrial-Security-Konzept für Ihre Produkte?
  • Normen prüfen: Arbeiten Sie bereits nach IEC 62443?

Wir unterstützen Sie bei der CRA-Compliance

Die ROTH Steuerungstechnik GmbH begleitet Sie auf dem Weg zur Compliance:

  • Betroffenheitsanalyse und Gap-Analyse
  • Cybersicherheits-Risikobeurteilung (TARA) nach IEC 62443
  • Aufbau eines Secure Development Lifecycle
  • Erstellung technischer Dokumentation und EU-Konformitätserklärung

Sprechen Sie uns an – für eine erste Einschätzung, ob und wie der CRA Ihr Unternehmen betrifft.

Hinweis: Wer Maschinen mit digitalen Schnittstellen herstellt, fällt auch unter die neue Maschinenverordnung (MVO) 2027. Lesen Sie unseren Artikel zur MVO, um beide Anforderungen optimal zu kombinieren.

Stand: Juni 2026. Alle Angaben basieren auf dem Cyber Resilience Act (EU 2024/2847).

Weitere Themen im Fokus

ALLE ANZEIGEN

Bearbeitung von Getriebe- und Kupplungsgehäusen

Intelligente Schaltschranklösungen – out of the box gedacht

Maschinensicherheit

Ihre Ansprechperson

Flakron Gashi

Support

+49 6265 9211-585

Roth Stichwortverzeichnis

Sie suchen eine bestimmte Expertise?