Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) trat im Oktober 2024 in Kraft. Für die meisten Anforderungen gilt eine 36-monatige Übergangsfrist – das bedeutet Verpflichtungen ab Oktober 2027. Für Schwachstellenmeldepflichten gilt bereits ab Oktober 2026 eine verkürzte 21-Monats-Frist.
Geltungsbereich: Was fällt unter den CRA?
Der CRA gilt für alle Produkte mit digitalen Elementen (PDE), die auf dem EU-Markt bereitgestellt werden. Ein PDE ist jedes Hardware- oder Softwareprodukt, das eine direkte oder indirekte logische oder physische Datenverbindung zu einem anderen Gerät oder Netzwerk hat. Das betrifft im Maschinenbau:
- Vernetzte Maschinen mit SPS-Steuerung und Ethernet/WLAN-Anbindung
- Edge-Gateways und industrielle Kommunikationsgeräte
- Embedded Software in Maschinensteuerungen
- HMI-Panels mit Netzwerkverbindung
- Industrielle Sensoren und Aktoren mit IO-Link oder Funkschnittstelle
Ausgenommen sind (u.a.) Produkte, die bereits unter spezifische Sektorgesetze fallen (Medizinprodukte MDR, Luftfahrt EASA), sowie Open-Source-Software in nicht-kommerziellen Projekten.
Vier Kernpflichten für Hersteller
1. Security-by-Design (Anhang I, Teil 1)
Sicherheitsprinzipien müssen bereits in der Entwicklungsphase integriert werden: kein Standardpasswort, minimale Angriffsfläche, Prinzip der minimalen Rechte, verschlüsselte Datenspeicherung/-übertragung, keine bekannten ausnutzbaren Schwachstellen zum Zeitpunkt der Markteinführung.
2. Sicherheitsupdates über den Lebenszyklus (Art. 13)
Hersteller müssen Sicherheitsupdates für die erwartete Nutzungsdauer des Produkts bereitstellen – mindestens aber 5 Jahre. Bei einer CNC-Maschine mit 15-jähriger Nutzungsdauer impliziert das 15 Jahre Patch-Support-Verpflichtung. Diese Anforderung verändert die Produkt-Lifecycle-Kalkulation von Maschinenherstellern fundamental.
3. Schwachstellenmeldung (Art. 14)
Entdeckte aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an ENISA (EU-Agentur für Cybersicherheit) und die nationale CSIRT gemeldet werden. Ein vorläufiger Bericht folgt innerhalb von 72 Stunden. Diese Anforderung erfordert dedizierte PSIRT-Prozesse (Product Security Incident Response Team) bei Maschinenherstellern.
4. CE-Konformitätsbewertung und Marktüberwachung
Für die meisten Produkte (Standardkategorie) kann eine Konformitätserklärung selbst durchgeführt werden. Für Klasse 1 (z. B. industrielle Kontrollsysteme mit kritischer Infrastrukturbedeutung) ist eine Drittprüfung erforderlich. Nationale Marktüberwachungsbehörden kontrollieren die Einhaltung.
Sanktionen und Marktauswirkungen
Sanktionen bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. Für Maschinenbauer mit globalem Geschäft ist die Umsatzprozent-Regelung die bindende Grenze. Entscheidend ist aber der faktische Marktausschluss: Nicht-CRA-konforme Produkte dürfen nach Ablauf der Übergangsfristen nicht mehr in der EU verkauft werden.