Die wichtigsten Infos zum Cyber Resilience Act für Hersteller
- Digitalisierung
- Service
- News
- 30.7.2025
- Lesezeit: {{readingTime}} min
Inhalt
Die EU-Kommission beschreibt den CRA als “game-changer“ für den Binnenmarkt, der Mindestanforderungen für Cybersicherheit und Verpflichtungen für das Schwachstellenmanagement einführt. Ziel ist es, das Vertrauen der Nutzer:innen zu stärken und das wirtschaftliche Risiko von Cyberangriffen zu senken.
In diesem Artikel geben wir Antwort auf die meistgestellten Fragen rund um den Cyber-Resilience Act:
Ab wann gilt der CRA und welche Bereiche sind davon betroffen?
Der Cyber Resilience Act gilt seit dem 10. Dezember 2024 und tritt mit einer dreijährigen Übergangsfrist in Kraft. Er legt Mindestanforderungen an die Cybersicherheit von Produkten fest, die auf dem europäischen Binnenmarkt vertrieben werden. Das bedeutet unter anderem:
- Cybersecurity muss bereits im Produktdesign berücksichtigt werden
- Sicherheitsmerkmale des Produkts müssen dokumentiert sein
- Schwachstellen-Monitoring und -Management ist verpflichtend
- Sicherheitsupdates müssen kostenlos bereitgestellt werden
Außerdem wird Cybersicherheit künftig Teil der CE-Kennzeichnung – das betrifft alle Produkte, die in der EU in Umlauf gebracht werden.
Nur durch einen sicheren Gesamtprozess können Produkte dauerhaft Cyberangriffen widerstehen.
Der Cyber Resilience Act ist verpflichtend – also rechtlich bindend. Bedeutet das, dass Produkte, die den Anforderungen nicht entsprechen, gar nicht mehr in Verkehr gebracht werden dürfen?
Bis zum Ende der Übergangsfrist dürfen nicht-konforme Produkte zwar weiterhin auf den Markt gebracht werden – der Fokus liegt aber klar auf dem “Security by default“-Prinzip. Die Verpflichtung zur CE-Kennzeichnung mit Cyber-Security-Bezug gilt ab Ende der Übergangsfrist (10. Dezember 2027). Die Europäische Kommission betont, dass Hersteller sich aber bereits jetzt auf Auditfähigkeit und Transparenz vorbereiten sollten.
Wichtig: Es handelt sich dabei um keine freiwillige Norm, sondern um einen verbindlichen Rechtsakt der EU. Er definiert Qualitätsanforderungen, die alle Produkte mit digitalen Elementen erfüllen müssen, wenn sie auf den europäischen Markt kommen sollen.
Was wird sich durch den Cyber Resilience Act nicht ändern – also welche Produkte sind davon nicht betroffen?
Nicht betroffen sind vor allem Produkte, die keine Daten verarbeiten oder übertragen. Im Fall von KEBA betrifft das zum Beispiel:
- Zubehörteile wie Halterungen, Stecker usw.
- Ersatzteile, die ein bereits geliefertes Produkt eins zu eins ersetzen – auch, wenn sie aus einem alten Design stammen.
Allerdings: Sobald ein Produkt Daten verarbeitet oder kommuniziert, fällt es unter die Vorgaben. Das heißt, die meisten Kernprodukte von KEBA Industrial Automation sind betroffen.
Wird der Act nach seiner Einführung einfach fix gelten – und dann ist „Ruhe“? Oder wird es weitere Anpassungen geben?
Der Act selbst ist inhaltlich weitgehend final. Was sich aber noch ändern könnte, ist die Klassifizierung von Produkten – und das hat erhebliche praktische Auswirkungen.
Produkte werden eingeteilt in:
- Standard-Produkte
- wichtige Produkte
- kritische Produkte
Der Unterschied liegt darin, wer das Produkt als konform erklärt:
- Bei Standard-Produkten kann der Hersteller die Konformität selbst erklären.
- Bei wichtigen oder kritischen Produkten ist ein Third-Party-Assessment notwendig – z. B. durch den TÜV oder eine andere zertifizierte Prüfstelle. Eine harmonisierte Norm, also eine standardisierte, verbindliche Prüfvorgabe zur Umsetzung, gibt es derzeit noch nicht – sie ist aber in Arbeit.
Diese Einstufung ist aktuell noch nicht final und wird voraussichtlich in den kommenden Monaten konkretisiert.
Welche konkreten technischen Anforderungen müssen Hersteller erfüllen, um die Cybersicherheit ihrer Produkte zu gewährleisten?
Im Kern geht es um vier zentrale Anforderungen:
- Security by Design: Cybersicherheit muss von Anfang an in den Entwicklungsprozess integriert werden.
- Dokumentation: Anwender:innen müssen verstehen, wie ein Produkt sicher zu konfigurieren ist.
- Update-Fähigkeit: Sicherheitsupdates müssen eingeplant, bereitgestellt und sicher integrierbar sein.
- Schwachstellen-Monitoring: Hersteller müssen Prozesse etablieren, um Schwachstellen zu erkennen und zu behandeln.
Alle Maßnahmen müssen dokumentiert und im Prüfungsfall belegbar sein.
Wie können Hersteller sicherstellen, dass ihre Produkte dauerhaft gegen Cyberangriffe widerstandsfähig sind?
Nur durch einen sicheren Gesamtprozess: Entwicklung, Risikoanalysen, Monitoring und Updates. Sobald Schwachstellen bekannt werden, müssen sie behoben werden – zuverlässig und nachvollziehbar.
Welche Rolle spielen bestehende Standards und Zertifizierungen bei der Umsetzung des Cyber Resilience Acts?
Derzeit gibt es keine harmonisierte Norm. Existierende Normen wie IEC 62443-4-1 (Prozesse) und 4-2 (Produkte) sind hilfreich, aber nicht direkt mit dem CRA verknüpft. Weitere sektorspezifische Normen werden folgen.
Wo liegen für die größten Herausforderungen bei Altprodukten – oder vielleicht auch Chancen?
Die Herausforderung liegt in der Nachrüstung von Altprodukten, die vor vielen Jahren ohne Security-Anforderungen entwickelt wurden. Bei neuen Produkten kann man Sicherheit von Anfang an mitdenken – das ist wesentlich effizienter.
Was gilt für Maschinenbauer, wenn sie eine bestehende Maschine modernisieren?
Wesentliche Änderungen wie der Austausch der Steuerung führen dazu, dass ein neues Produkt entsteht – inklusive aller CRA-Anforderungen. Mechanische Komponenten sind in der Regel ausgenommen, Software und Elektronik aber nicht.
Wie können Regierungen, Unternehmen und andere Marktakteure zusammenarbeiten?
Die Umsetzung erfolgt durch Fachverbände, Austauschplattformen und Meldebehörden. Die EU setzt den Rahmen, Hersteller und Prüforganisationen übernehmen die Detailarbeit.
Welche Maßnahmen sind erforderlich, damit der CRA effektiv wird?
Etablierung von Prozessen, Dokumentation, Schulung, Kundentransparenz und Risikoanalysen – das Ganze ist als langfristiger Transformationsprozess zu sehen.
Was kostet die Umsetzung?
Rund 15 % Mehraufwand bei Softwareentwicklung gelten als Faustregel. Die Kosten bleiben beim Hersteller und müssen in die Preisgestaltung einfließen – eine CRA-Konformität „gegen Aufpreis“ wäre nicht zulässig.
Gilt der Act nur für die EU?
Nicht ganz. Er gilt für alle Produkte, die in der EU und dem Europäischen Wirtschaftsraum verkauft werden – auch für Importe. Der Importeur übernimmt dann die Verantwortung für die Einhaltung des CRA.
Wie steht es um Open Source-Komponenten?
Wenn Hersteller Open Source-Komponenten in deren Produkten verwenden, tragen sie Verantwortung dafür die Komponenten auch sicher einzusetzen.
Fazit: Was bedeutet Cyber Resilience langfristig?
Cybersecurity / Cyber Resilience ist keine einmalige Aufgabe, sondern ein Dauerauftrag über den gesamten Produktlebenszyklus hinweg. Sie muss in bestehende Prozesse integriert werden – vergleichbar mit anderen Qualitäts-Zertifizierungen.
Der Cyber Resilience Act ist mehr als eine neue regulatorische Vorgabe – er ist ein strategisches Signal für eine sichere digitale Zukunft. Cybersicherheit muss als dauerhafter Bestandteil von Produktstrategie, Qualitätsmanagement und Unternehmensführung verstanden werden. Wer heute in resiliente Entwicklungsprozesse, transparente Dokumentation und organisatorische Sicherheit investiert, reduziert nicht nur rechtliche Risiken, sondern sichert sich nachhaltige Marktchancen. Der CRA ist kein zusätzlicher Aufwand, sondern ein Katalysator für Zukunftsfähigkeit.
