Cyber Resilience Act – Ein Gastbeitrag von Christoph Nienhaus

Die 5 zentralen Anforderungen des Cyber Resilience Act an den Maschinenbau

Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Vibrationswarnungen auf der Synctive IoT-Plattform zur Erkennung von Maschinenanomalien

Viele Hersteller haben das Thema bisher weit nach hinten geschoben. Schließlich läuft die Maschine stabil, Updates gab es selten, und um die „Cybersecurity“ kann sich die IT kümmern.

Doch der Cyber Resilience Act (CRA) macht Schluss mit dieser Illusion. Die EU zieht klare Grenzen: Wer Maschinen mit digitalen Elementen baut, wird verantwortlich.

Im Gespräch mit Christoph Nienhaus von Janz Tec haben wir das Thema aufgerollt. Christoph kennt die Perspektive der Maschinenbauer und die der Industrie-IT – genau diese Mischung brauchen Unternehmen jetzt, um den CRA nicht nur als Pflicht, sondern als Chance zu verstehen.

Über den Autor

Christoph Nienhaus ist seit fast einem Jahrzehnt bei Janz Tec tätig – einem Anbieter industrieller Hardware- und IoT-Lösungen. Heute verantwortet er den Bereich Lösungsvertrieb mit Fokus auf Edge Devices, Connectivity und Cybersecurity. In seiner Arbeit an der Schnittstelle zwischen Technik und Business begleitet er Maschinenbauer dabei, ihre Produkte sicher und zukunftsfähig zu machen.

Der Cyber Resilience Act gilt für alle Maschinen mit Software

Viele Maschinenbauer hoffen noch, dass der Cyber Resilience Act (CRA) nur für andere Branchen oder „smarte Gadgets“ gilt. Ein Irrtum, der teuer werden kann.

„Immer wenn irgendeine Art von Code auf einem Gerät läuft, fällt es erstmal unter den Cyber Resilience Act.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

Ob Ihre Maschinen permanent online sind oder nur ab und zu ein Update ziehen – sie gelten als Produkte mit digitalen Elementen. Das ist der zentrale Begriff aus der Verordnung.

Das heißt konkret:

  • Selbst Steuerungen oder HMIs, die heute nur in geschlossenen Netzwerken laufen, fallen darunter.
  • Potenzielle Vernetzung reicht als Kriterium aus.
  • Es spielt keine Rolle, ob ein Maschinentyp vor Jahren auf den Markt gekommen ist – sobald ein Update oder eine Vernetzung vorgesehen ist und die Maschinen nach dem 11. Dezember 2027 weiter ausgeliefert werden, greift der Cyber Resilience Act.

Typische Fragen – und die Antworten:

  • „Unsere Maschinen laufen nur in einem abgeschotteten Netz. Zählt das?“
     Ja. Der CRA spricht ausdrücklich auch von indirekten logischen Verbindungen.
  • „Wir verkaufen Maschinen ohne Cloud-Dienste – dann gilt das nicht, oder?“
     Doch. Auch ohne Cloud ist jede Firmware ein digitales Element.
  • „Gilt das sofort?“
     Nein – aber bald.

Ab wann gilt der CRA?

  • Meldepflicht für Sicherheitsvorfälle: Mitte 2026
  • Update- und Sicherheitsanforderungen: ab 11. Dezember 2027
„Man kann eigentlich sagen: immer betroffen – nur wie stark, das hängt vom Anwendungsfall ab.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

Wer jetzt denkt, man könne das Thema aussitzen, riskiert mehr als nur ein schlechtes Gefühl. Ohne Nachweis von Cybersicherheit wird künftig keine CE-Kennzeichnung mehr vergeben werden – und ohne CE kein Marktzugang.

Diese 5 Anforderungen müssen Maschinenbauer umsetzen

Der CRA ist eine ziemlich konkrete Liste von Aufgaben. Wer Maschinen herstellt, muss sich auf fünf Kernpflichten einstellen:

1. Security by Design wird durch den CRA verbindlich vorgeschrieben

„Security by Design“ klingt nach großem Schlagwort, ist aber im Kern ein einfacher Gedanke: Sicherheit muss von Anfang an Teil der Konstruktion sein – nicht erst ein nachträgliches Pflaster.

„Produkte müssen so konzipiert, entwickelt und hergestellt werden, dass sie ein angemessenes Cybersicherheitsniveau garantieren.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

Was bedeutet das praktisch?

  • Bereits beim Entwurf müssen Sie sich überlegen, wie potenzielle Angriffe verhindert werden.
  • Das betrifft nicht nur Software, sondern auch Hardware-Schnittstellen, Authentifizierungen und physische Zugänge.
  • Sicherheitsaspekte müssen dokumentiert und in den Entwicklungsprozess integriert werden – vergleichbar mit der Risikobewertung mechanischer Gefährdungen.

Warum ist das für viele neu? Weil bisher in vielen Projekten die Maschinenmechanik und Automatisierung im Fokus standen – und Cybersicherheit erst später dazukam, wenn überhaupt.

Konsequenz: Ohne Security by Design wird es künftig keine CE-Kennzeichnung mehr geben. Und ohne CE kein Vertrieb in der EU.

Vorhängeschloss mit Gravur „CRA“ neben einer Bohrmaschine – Symbol für den Cyber Resilience Act im Maschinenbau.

2. Risikobewertungen werden durch den CRA zum festen Prozessbestandteil

Security by Design bleibt ein leeres Versprechen, wenn es nicht belegt werden kann. Der CRA verlangt deshalb, dass Hersteller Risiken identifizieren, bewerten und dokumentieren.

„Man muss schon beim Entwickeln gucken, was es für Angriffsvektoren gibt – und das dokumentieren. Das ist Aufwand, da wird man nicht drum herumkommen.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

Konkret heißt das:

  • Systematische Analyse: Welche Szenarien können auftreten? Wer könnte aus welchem Grund angreifen?
  • Bewertung der Wahrscheinlichkeit und Tragweite: Wie groß wäre der Schaden? Wie wahrscheinlich ist der Angriff?
  • Definition von Gegenmaßnahmen: Technische oder organisatorische Schritte, um die Risiken zu minimieren.
  • Laufende Aktualisierung: Die Dokumentation darf kein einmaliger Akt sein, sondern muss bei Software-Updates oder Änderungen überprüft werden.

Warum ist das so wichtig? Ab 2027 können Kunden bei Schäden durch nachweisbar unsichere Maschinen Ansprüche geltend machen – auch rückwirkend über die Produkthaftungsrichtlinie.

Kurz gesagt: Ohne belastbare Risikobewertung und saubere Dokumentation drohen Haftung und Vertriebsstopps.

3. Der CRA macht eine vollständige Software-Stückliste unverzichtbar

Die „Software Bill of Materials“ (SBOM) ist ein Begriff, der viele Maschinenbauer zum ersten Mal konfrontiert: eine vollständige, nachvollziehbare Liste aller Software-Komponenten, die in der Maschine oder Steuerung enthalten sind.

„Das ist für viele neu – dass man wirklich genau auflisten muss, was alles auf dem Gerät läuft.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

Was gehört in die SBOM?
Typischerweise umfasst sie unter anderem:

  • Betriebssystem-Versionen
  • Firmware aller Steuerungen und IoT-Devices
  • Bibliotheken und Frameworks (z. B. OpenSSL, Python-Module)
  • Drittanbieter-Software und Embedded-Tools

Die konkreten Elemente hängen jedoch vom jeweiligen Produkt ab und können je nach Systemumfang weitere Komponenten beinhalten.

Warum ist das so wichtig?
Nur mit einer vollständigen Übersicht können Sie:

  • bewerten, ob bekannte Sicherheitslücken Ihr Produkt betreffen,
  • nachweisen, dass Sie Ihre Sorgfaltspflicht erfüllen,
  • bei Vorfällen schnell reagieren.

Tipp: Nutzen Sie Tools, die diese Informationen automatisch erfassen und versionieren. Manuelles Pflegen von Excel-Listen wird langfristig kaum handhabbar sein.

4. Update-Management wird mit dem CRA zum entscheidenden Prozess

Einer der größten Einschnitte für den Maschinenbau: die Pflicht, für einen Zeitraum von mindestens 5 Jahren nach dem Inverkehrbringen oder für die erwartete Lebensdauer des Produkts – je nachdem, was kürzer ist – kostenlose Sicherheitsupdates bereitzustellen.

„Das wird neu sein, weil bisher viele Steuerungen einfach jahrelang so liefen, wie sie einmal ausgeliefert wurden.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

Was bedeutet das für Sie als Hersteller?

  • Alle relevanten Schwachstellen müssen zeitnah behoben werden.
  • Updates müssen aktiv und nachvollziehbar bereitgestellt werden.
  • Kunden müssen informiert werden, wann welche Updates verfügbar sind.
  • Die Bereitstellung muss über sichere Kanäle erfolgen – zum Beispiel signierte Update-Pakete und authentifizierte Plattformen.

Zusätzliche Anforderungen des CRA:

  • Trennung von Sicherheits- und Funktions-Updates:
    Sicherheitsupdates sollen, wenn technisch möglich, unabhängig von Funktionsaktualisierungen verteilt werden. Das erleichtert eine schnelle Installation.
  • Dokumentation und Information:
    Sie müssen klar dokumentieren, welche Updates Sie zur Verfügung stellen. Ebenso müssen Nutzer nachvollziehen können, was ein Update beinhaltet und wie es installiert wird.

Beispiele möglicher Update-Strategien:

  • Over-the-Air-Updates über eine IoT-Plattform
  • Download über ein Kundenportal

Ein strategischer Gedanke:
Der CRA verpflichtet Sie nur, Updates bereitzustellen – also beispielsweise zum Download anzubieten. Viele Kunden haben aber weder die Kapazität noch das Know-how, diese Updates sicher einzuspielen. Genau hier entsteht ein neuer Serviceansatz: Sie können ergänzende Dienstleistungen entwickeln, um Updates automatisiert oder als Teil eines Wartungsvertrags direkt auf die Maschinen aufzuspielen. So wird aus einer regulatorischen Pflicht ein wiederkehrendes Servicegeschäft.

5. Sicherheitsvorfälle müssen nach dem CRA zeitnah gemeldet werden

Ab Mitte 2026 gilt eine weitere Anforderung: die Meldepflicht für schwerwiegende Sicherheitsvorfälle.

„Ab Mitte 2026 muss man Cyber-Sicherheitsvorfälle bei ausgenutzten Sicherheitslücken melden.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

Was bedeutet das konkret?

  • Sobald eine Schwachstelle bekannt ist und aktiv ausgenutzt wird, müssen Sie innerhalb von 24 Stunden die zuständige EU-Stellen (z. B. CSIRTs oder ENISA) informieren.
  • Diese Pflicht gilt unabhängig davon, ob der Vorfall bei Ihnen oder beim Kunden auftritt.
  • Auch betroffene Kunden müssen informiert werden.

Wichtige Elemente der Meldung:

  • Beschreibung der Schwachstelle und ihrer Auswirkung
  • Einschätzung des Risikos
  • Maßnahmen zur Eindämmung
  • Zeitplan für ein Update

Fazit: Die Meldepflicht zwingt Unternehmen, eigene Prozesse und Verantwortlichkeiten frühzeitig zu klären. Wer das verschleppt, riskiert empfindliche Sanktionen.

IoT wird durch den Cyber Resilience Act zur Basis für Compliance und Vertrauen

Viele im Maschinenbau betrachten Vernetzung reflexhaft als Risiko. Doch der CRA dreht dieses Denken um: Ohne Konnektivität ist der Aufwand für Updates und Sicherheitsnachweise kaum zu stemmen.

IoT-Plattformen werden damit doppelt relevant:

  • Einerseits, um Maschinen zu überwachen und Störungen früh zu erkennen.
  • Andererseits bieten sie einen Weg, um Updates automatisiert einzuspielen, da bereits eine sichere Verbindung zur Maschine steht.

Das Ergebnis: weniger Unsicherheit – und ein wichtiger Grund für Kunden, Wartungsverträge abzuschließen.

Der Cyber Resilience Act auf einen Blick

„Jeder Touchpoint, den man mit Kunden digitalisiert, bringt am Ende mehr Vertrauen – und auch mehr Geschäft.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG
Infografik „Cyber Resilience Act Cheat Sheet“ mit Überblick über neue EU-Vorgaben, Pflichten, Fristen und Praxistipps für Maschinen- und Anlagenbauer.

Mit dem Cyber Resilience Act richtig starten und strukturiert vorgehen

Der CRA wirkt noch weit weg – aber warten kostet Zeit und Nerven.

„Am besten gestern anfangen.“
Porträt von Christoph Nienhaus mit verschränkten Armen in heller Büroumgebung.
Christoph Nienhaus
Solution Sales Manager, Janz Tec AG

So starten Sie pragmatisch

Bestandsaufnahme machen

  • Welche Software läuft wo?
  • Gibt es schon Update-Prozesse?

Zuständigkeiten klären

  • Wer dokumentiert Risiken?
  • Wer informiert Kunden?
  • Wer verteilt Updates?

Update-Strategie festlegen

  • Wie werden Updates aufgespielt? (z.B. Over-the-Air)
  • Wie wird der Prozess dokumentiert?

Kunden vorbereiten

  • Früh informieren, Vertrauen schaffen
  • Updates als Qualitätsmerkmal kommunizieren

Technologie evaluieren

  • IoT-Lösung oder Partner für Automatisierung prüfen

Kurz gesagt: Wer jetzt sauber strukturiert startet, spart später die Hektik und kann das Thema gleich als Service-Chance nutzen.

Dieser Beitrag stellt keine Rechtsberatung dar, sondern dient ausschließlich der allgemeinen Information und der Interpretation der Inhalte des Cyber Resilience Act. Für rechtlich verbindliche Einschätzungen oder konkrete Handlungsempfehlungen wenden Sie sich bitte an eine fachkundige Rechtsberatung.

Inhalt

Der Cyber Resilience Act gilt für alle Maschinen mit Software​
Diese 5 Anforderungen müssen Maschinenbauer umsetzen​
1. Security by Design
2. Risikobewertung
3. Software-Stückliste
4. Update-Management
5. Meldepflicht
IoT und der Cyber Resilience Act
Der Cyber Resilience Act auf einen Blick​
Richtig starten und strukturiert vorgehen
Beratungsgespräch vereinbaren

Buchen Sie einen Beratungstermin mit einem unserer Experten

In unserem ersten Gespräch stellen wir Ihnen gerne Synctive und dessen Potenziale für Ihr Service-Geschäft vor. Entdecken Sie, wie unsere Lösungen Sie optimal unterstützen können.

Aktuelle Beiträge

Entdecken Sie weitere interessante Ressourcen von Synctive

Scroll to Top