Cyber Resilience Act: Was bedeutet das konkret für Maschinenbauer?
Wie Maschinenbauer Security, Architektur und Compliance frühzeitig zusammenbringen
Puchheim, 05.05.2026 (PresseBox) - Cybersicherheit entwickelt sich von einem technischen Detail zu einer zentralen Voraussetzung für industrielle Produkte. Mit dem Cyber Resilience Act (CRA) ¹ hat die EU erstmals verbindliche Anforderungen für Produkte mit digitalen Funktionen geschaffen. Dazu zählen auch Maschinen, Steuerungen und Embedded Systeme.
Für Maschinenbauer verändert sich damit die Ausgangslage grundlegend. Sicherheit ist kein nachgelagerter Aspekt mehr, sondern wird integraler Bestandteil der Produktarchitektur von der ersten Konzeptphase an.
Warum betrifft der CRA auch klassische Maschinen und Embedded Systeme?
Industrielle Systeme waren lange Zeit weitgehend isoliert. Heute sind sie vernetzt, tauschen Daten aus und sind Teil übergeordneter Plattformen. Gleichzeitig ist die direkte Internetanbindung nicht das einzige Kriterium. Auch Produkte mit digitalen Schnittstellen oder Kommunikationsfunktionen können je nach Ausgestaltung unter die Anforderungen des CRA fallen, selbst wenn sie nicht dauerhaft online betrieben werden.
Damit verändern sich auch die Risiken. Sicherheitslücken betreffen nicht nur Daten, sondern können direkt den Betrieb, die Verfügbarkeit und Wartbarkeit von Anlagen beeinflussen.
Für Hersteller gewinnt das Thema zusätzlich an Bedeutung, weil Anforderungen an die Cybersicherheit künftig Teil regulatorischer Vorgaben beim Inverkehrbringen betroffener Produkte werden. In vielen Produktbereichen erfolgt der Marktzugang über die CE-Kennzeichnung auf Basis einer Herstellererklärung. Bisher standen dabei vor allem elektrische Sicherheit, elektromagnetische Verträglichkeit und funktionale Produktsicherheit im Vordergrund. Mit dem CRA rückt nun auch die digitale Sicherheit stärker in den Fokus der Konformitätsbewertung. ²
Die wirtschaftliche Relevanz ist erheblich. Cyberangriffe können Produktionsausfälle, Lieferverzögerungen, Wiederanlaufkosten und Reputationsschäden verursachen. Gleichzeitig können unzureichend berücksichtigte Anforderungen zu regulatorischen Risiken, Marktaufsichtsmaßnahmen oder Haftungsfragen führen. Für industrielle Unternehmen wird Cybersicherheit damit zu einem wirtschaftlichen Faktor, nicht nur zu einem IT-Thema.
Welche Fristen gelten im Cyber Resilience Act?
Für viele Hersteller entscheidend ist der Zeitpunkt der verpflichtenden Anwendung. Wesentliche Anforderungen gelten ab 11. Dezember 2027.
Das betrifft nicht nur Neuentwicklungen. Auch bestehende Produkte, die nach diesem Zeitpunkt weiterhin neu in Verkehr gebracht werden, sollten frühzeitig auf ihre CRA-Relevanz geprüft werden.
Auf den ersten Blick scheint bis 2027 noch ausreichend Zeit zu sein. In der Praxis ist der Handlungsspielraum jedoch begrenzt. Entwicklungszyklen industrieller Produkte dauern oft mehrere Jahre. Hinzu kommen Validierung, Integration, Dokumentation und interne Freigabeprozesse.
Entscheidend ist daher nicht nur das regulatorische Datum, sondern der aktuelle Projektstart.
Warum ist die Umsetzung für viele Unternehmen schwierig?
Viele Maschinenbauer stehen vor ähnlichen Herausforderungen. Die Anforderungen sind neu und betreffen mehrere Ebenen gleichzeitig.
Ein typisches Beispiel sind Hersteller von CNC-Maschinen, die ihre Systeme im europäischen Markt anbieten. Die Maschinen sind technisch ausgereift, doch der CRA bringt zusätzliche Anforderungen an Produkte mit digitalen Elementen mit sich. Dazu zählen je nach Produkt und Systemarchitektur unter anderem sichere Kommunikationsschnittstellen, Updatefähigkeit, Schwachstellenmanagement und technische Dokumentation. Gleichzeitig bleiben performancekritische Anforderungen bestehen, zum Beispiel bei der Steuerung mehrerer Achsen oder datenintensiven Echtzeitanwendungen.
Ein zentraler Engpass ist die in vielen Unternehmen noch fehlende Erfahrung mit Normen wie IEC 62443. Diese betreffen nicht einzelne Komponenten, sondern das Gesamtsystem. Sicherheit muss konsistent von der Hardware über Firmware bis zur Applikationssoftware umgesetzt werden.
Dadurch entsteht ein Spannungsfeld zwischen Performance, Integration und regulatorischer Konformität.
Welche typischen Fehler verzögern CRA-Projekte?
In der Praxis zeigen sich wiederkehrende Muster, die zu Verzögerungen, Mehrkosten und unnötigem Mehraufwand führen.
Security als Nachrüstung: Sicherheitsanforderungen werden erst spät im Projekt adressiert. Das erzwingt nachträgliche Änderungen an Architektur, Software oder Hardware.
Ungeeignete Hardwarebasis: Fehlen Funktionen wie Secure Boot, TPM oder saubere Update-Mechanismen, wird die spätere Umsetzung deutlich schwieriger.
Fehlender Systemblick: Selbst wenn einzelne Komponenten sicher konfiguriert sind, erfüllt das Gesamtsystem nicht automatisch die Anforderungen. Security muss systemübergreifend gedacht werden.
Unterschätzte Prozesse: CRA betrifft nicht nur Technik. Verantwortlichkeiten müssen klar geregelt und Prozesse zur Behandlung sicherheitsrelevanter Vorfälle von Beginn an definiert sein.
Welche technischen und organisatorischen Anforderungen ergeben sich konkret?
Sicherheit muss als fester Bestandteil des Systems geplant sein. Dazu gehören unter anderem:
- hardwarebasierte Sicherheitsfunktionen wie TPM, Secure Boot oder vergleichbare Mechanismen
- klare Update- und Lifecycle-Strategien
- Segmentierung kritischer Systembereiche
- zentrales Monitoring und Logging
- Schwachstellenmanagement für Eigen- und Drittkomponenten
- definierte Prozesse zur Behandlung und Meldung sicherheitsrelevanter Vorfälle
Wie lässt sich der Aufwand in der Praxis reduzieren?
Ein zentraler Hebel ist die Wahl der richtigen Plattform. Plattformen, die Sicherheitsmechanismen bereits auf Hardwareebene integrieren und eine IEC 62443-Vorzertifizierung mitbringen, reduzieren den Aufwand für Integration und Validierung erheblich. Die Advantech ARK-Serie setzt diesen Ansatz in der Praxis um. Eine Fallstudie zur ARK-3534 (ARK-3534B u. ARK-3534D) im CNC-Umfeld zeigt, dass sich so Einsparungen von bis zu 60 % bei der Entwicklungszeit und 50 % bei den Kosten erreichen lassen. ³
Warum ist der CRA kein Feature, sondern ein Architekturthema?
Die Anforderungen des CRA lassen sich nicht auf einzelne Funktionen reduzieren. Es geht um die Struktur des gesamten Systems.
Moderne industrielle Architekturen bestehen aus mehreren Ebenen. Systeme erfassen Daten an der Maschine, Steuerungseinheiten bündeln diese Informationen, während leistungsstärkere Systeme für Analyse und Verarbeitung eingesetzt werden.
Nur wenn Sicherheitsaspekte auf allen Ebenen berücksichtigt werden, entsteht eine langfristig stabile und konforme Lösung.
Fazit: Was sollten Maschinenbauer jetzt konkret tun?
Der Cyber Resilience Act verändert die Entwicklung industrieller Systeme grundlegend.
Wichtige Punkte im Überblick:
- Verbindlich ab 2027 für nahezu alle Produkte mit digitalen Funktionen
- Sicherheit muss über den gesamten Produktlebenszyklus gewährleistet sein
- Anforderungen betreffen Hardware, Software, Prozesse und Dokumentation
- Frühzeitiges Handeln reduziert Aufwand und vermeidet kostspielige Nacharbeiten
Hier unterstützt Aaronn als Systemintegrator bei der Auswahl geeigneter Plattformen, der Definition sicherer Architekturen sowie der Integration in bestehende IT- und OT-Umgebungen.
Wenn Sie prüfen möchten, welche Auswirkungen der CRA konkret auf Ihre Systeme hat oder wie sich bestehende Lösungen anpassen lassen, begleiten wir Sie gerne bei der Bewertung und Umsetzung.
Quelle:
¹ Europäische Kommission: Cyber Resilience Act, Digital Strategy. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
² Europäisches Parlament und Rat der EU: Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (CyberResilience Act), EUR-Lex, November 2024. https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
³ Advantech: ARK & IEC-62443 – Securing CNC Machines for the EU Cyber Resilience Act, https://www.advantech.com/en-us/resources/case-study/ark--iec-62443-%E2%80%93-securing-cnc-machines-for-the-eu-cyber-resilience-act
