Mit dem Cyber Resilience Act (CRA) verändert die EU die Spielregeln für Hersteller von Produkten mit digitalen Elementen grundlegend – und das betrifft Maschinenhersteller in besonderem Maße. Denn was bisher oft als „IT-Thema“ behandelt wurde, wird nun zur verbindlichen Herstellerpflicht entlang des gesamten Produktlebenszyklus.

Sicherheitsanforderungen gelten künftig nicht nur für Softwareunternehmen, sondern auch für industrielle Steuerungen, vernetzte Komponenten, Remote-Wartungslösungen und digitale Serviceangebote. Konstruktion, Entwicklung, Dokumentation, Update-Management und Schwachstellenprozesse – alles rückt stärker in den Fokus der Regulierung.

Die entscheidende Frage lautet daher nicht mehr, ob der CRA Ihr Unternehmen betrifft, sondern: Sind Ihre Produkte und Prozesse bereits CRA-konform aufgestellt?

Um den Einstieg in die konkrete Umsetzung zu erleichtern, hat die Europäische Kommission am 3. Dezember 2025 ein umfassendes FAQ-Dokument zum Cyber Resilience Act veröffentlicht. Es beantwortet die drängendsten Fragen aus der Praxis – von der Definition des Anwendungsbereichs über das Zusammenspiel mit anderen EU-Regelwerken bis hin zu den konkreten Pflichten für Hersteller und Entwicklerteams. Lesen Sie hier die aus unserer Sicht 3 wichtigsten Fragen und Antworten aus dem Dokument:

  1. Wann fällt ein Produkt mit digitalen Elementen in den Geltungsbereich des CRA?

Ein Produkt mit digitalen Elementen fällt genau dann in den Anwendungsbereich, wenn alle der drei folgenden Kriterien erfüllt werden:

    1. Entspricht das Produkt der Definition „Produkt mit digitalen Elementen“?
    2. Wird das Produkt auf dem Markt bereitgestellt?
    3. Umfasst die vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Verbindung zu einem Gerät oder Netzwerk?

Die Beantwortung der ersten Frage führt uns direkt zur nächsten Frage:

  1. Was ist ein „Produkt mit digitalen Elementen“?

Der Cyber Resilience Act definiert einen weitreichenden Produktbegriff (vgl. Abschnitt 1.2 der FAQs). Er umfasst nicht nur das physische Endprodukt, sondern die gesamte funktionale Einheit – einschließlich aller digitalen Komponenten entlang der Lieferkette.

Erfasst sind insbesondere:

    1. Hardware-Komponenten – von Sensoren und Chips bis hin zu vernetzten Maschinen und IoT-Geräten
    2. Eingebettete Software und Firmware – z. B. SPS-/PLC-Programme oder Antriebssteuerungen
    3. Separat in Verkehr gebrachte Firmware oder Integrationssoftware
    4. Industrielle Softwarelösungen – etwa FPGA-Tools, Treiber oder Betriebssysteme für Industrie-PCs
    5. Remote- und Fernwartungslösungen, sofern sie die Funktion der Maschine unterstützen

Nicht erfasst sind rein mechanische Komponenten ohne digitale Elemente sowie rein informative Websites. Isolierte Cloud-Dienste (SaaS) sind gesondert zu betrachten.

  1. Wann tritt der CRA in Kraft?
    1. November 2024
      Veröffentlichung im EU-Amtsblatt
    2. Dezember 2024
      Inkrafttreten der Verordnung – Übergangsfristen beginnen
    3. Dezember 2025
      Veröffentlichung der offiziellen CRA-FAQs durch die EU-Kommission
    4. Juni 2026
      Notifizierte Stellen stehen für Konformitätsbewertungen bereit
    5. September 2026
      Beginn der Meldepflichten für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle
    6. Dezember 2027
      Vollständige Anwendung des CRA – nur noch vollständig konforme Produkte dürfen neu in Verkehr gebracht werden

Im Hinblick auf das Erscheinen der neuen Maschinenverordnung MVO im Januar 2027 kann sich natürlich die Frage stellen, ob es nicht ausreicht, die Cybersicherheit nur nach MVO zu beurteilen. Die klare Antwort auf diese Frage lautet: Nein.

Auch wenn es in beiden Verordnungen im weitesten Sinne um Cybersicherheit geht, so gibt es doch unterschiedliche Zielrichtungen.

Die Maschinenverordnung (MVO) legt den Schwerpunkt auf Cybersicherheit, solange sie die Sicherheitsfunktionen der Maschine beeinflusst, also:

  • mechanische und elektrische Gefährdungen
  • funktionale Sicherheit von Steuerungen
  • Schutz sicherheitsrelevanter Funktionen vor Manipulation

Der Cyber Resilience Act (CRA) geht darüber hinaus und regelt:

  • Cybersicherheit über den gesamten Produktlebenszyklus
  • Schwachstellenmanagement
  • Update- und Patchpflichten
  • Meldepflichten
  • Cyber-spezifische technische Dokumentation

Der Schwerpunkt liegt auf der digitalen Resilienz, d. h. widerstandsfähig gegenüber digitalen Angriffen und Störungen zu sein, des Produkts insgesamt, nicht nur auf sicherheitsbezogenen Funktionen.

Auch wenn beide Rechtsakte auf dasselbe Produkt anwendbar sind, bleiben sie rechtlich getrennt.

Das bedeutet konkret:

  • Für die Maschinenverordnung ist ein eigenes Konformitätsbewertungsverfahren durchzuführen.
  • Für den CRA ist zusätzlich ein separates Konformitätsverfahren (Modul A, B+C oder H) erforderlich.

Es sind zwei eigenständige EU-Konformitätserklärungen auszustellen.

Wer beide Verfahren frühzeitig strukturiert verzahnt, vermeidet spätere Reibungsverluste – rechtlich wie organisatorisch.

Hören Sie zu diesem Thema auch unsere neue Podcastfolge. Hier erfahren Sie auch, welche Normen zur Bewertung herangezogen werden können. -> zum Podcast

In unserem kostenlosen Webinar zum Thema Cybersicherheit (nächster Termin am 21.04.2026) erläutern wir, wie wir unsere Kunden bei der Umsetzung der CRA-Anforderungen unterstützen: von der Einordnung des Anwendungsbereichs über die strukturierte Risikobewertung bis hin zu praktikablen Maßnahmen im Entwicklungs- und Serviceprozess. Nutzen Sie die Gelegenheit, konkrete Fragen zu stellen und Klarheit für Ihre eigene Organisation zu gewinnen. -> zum Webinar

Teilen Sie uns gerne Ihre Herausforderungen zum Cyber Resilience Act (CRA) mit oder vereinbaren Sie ein für Sie unverbindliches Erstgespräch mit unseren spezialisierten Experten.

In einem Basis-Check analysieren wir die Anwendbarkeit des CRA, nehmen eine erste Einordnung Ihrer Produkte mit digitalen Elementen vor, erläutern Ihnen die wichtigsten Herstellerpflichten und besprechen notwendige Umsetzungsmaßnahmen bzw. -fragen.