Der EU Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt – also für alle Produkte die Software enthalten oder mit Netzwerken verbunden sind. Der CRA wurde 2024 verabschiedet und tritt ab 2027 vollständig in Kraft.
Ziel ist, dass Cybersicherheit kein nachträgliches Add-on mehr ist, sondern von Anfang an in Produkte eingebaut wird – nach dem Prinzip Security by Design und Security by Default.
Wer ist vom CRA betroffen?
Der CRA betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die auf dem EU-Markt verkauft werden. Dazu gehören Industriesteuerungen, IoT-Geräte, Maschinenkomponenten mit Netzwerkanbindung, Softwareprodukte und eingebettete Systeme.
Für die Fertigungsindustrie bedeutet das konkret: Wer vernetzte Maschinen, Steuerungen, Sensoren oder Produktionssoftware herstellt oder in der EU verkauft, fällt unter den CRA. Aber auch Betreiber sind indirekt betroffen – weil Lieferanten Nachweise erbringen müssen, die den Einkauf vernetzter Produktionssysteme beeinflussen.
Was der CRA konkret verlangt
Der CRA definiert Anforderungen über den gesamten Produktlebenszyklus.
In der Entwicklung müssen Produkte Security by Design umsetzen: minimale Angriffsfläche, sichere Standardkonfigurationen, Schutz vor unbefugtem Zugriff, Verschlüsselung sensitiver Daten und die Möglichkeit sicherer Updates.
Im Betrieb müssen Hersteller aktiv Schwachstellen managen: Sicherheitslücken müssen innerhalb von 24 Stunden an die ENISA gemeldet werden, Patches müssen bereitgestellt werden, und der Support-Zeitraum muss mindestens fünf Jahre betragen – oder die erwartete Nutzungsdauer des Produkts, falls länger.
Für den Markt ist eine Konformitätsbewertung Pflicht. Kritische Produkte – in zwei Klassen eingeteilt – brauchen eine unabhängige Prüfung durch eine Notifizierte Stelle. Die CE-Kennzeichnung setzt künftig auch CRA-Konformität voraus.
Zwei Produktklassen: Welche Anforderungen gelten wo?
Der CRA unterscheidet zwischen Standard-Produkten und kritischen Produkten.
Standard-Produkte können die Konformität per Selbstbewertung nachweisen. Das gilt für die Mehrheit der Produkte mit digitalen Elementen.
Kritische Produkte Klasse I – darunter fallen etwa Industrie-Firewalls, Fernwartungssoftware und Netzwerkmanagement-Tools – müssen einen harmonisierten Standard erfüllen oder eine unabhängige Prüfung durchlaufen.
Kritische Produkte Klasse II – darunter industrielle Automatisierungs- und Steuerungssysteme sowie Betriebssysteme für kritische Infrastrukturen – benötigen zwingend eine Prüfung durch eine Notifizierte Stelle.
Was das für MES und vernetzte Produktionssysteme bedeutet
Für Betreiber vernetzter Produktionssysteme entstehen zwei direkte Konsequenzen.
Erstens wird Lieferantenqualifikation komplexer: Wer ein Cloud-MES, einen OT-Gateway oder eine Prozesssteuerung einkauft, muss künftig nachweisen können dass der Anbieter CRA-konform ist. CRA-Konformität wird damit zum Beschaffungskriterium – ähnlich wie NIS2-Nachweise.
Zweitens steigt der Druck auf Security-Transparenz: Anbieter müssen Software Bill of Materials (SBOM) bereitstellen, Schwachstellen aktiv kommunizieren und Update-Prozesse dokumentieren. Wer als Hersteller oder Betreiber im Audit steckt und keine CRA-konformen Zuliefernachweise hat, trägt das Risiko selbst.
Cloud-native MES-Plattformen die von Anfang an mit API-First-Architektur, automatischen Security-Updates, vollständigem Audit-Trail und dokumentiertem Schwachstellenmanagement entwickelt wurden, erfüllen die CRA-Grundanforderungen strukturell besser als nachträglich gehärtete On-Premise-Lösungen.
Zeitplan: Wann tritt was in Kraft?
Der CRA wurde im Oktober 2024 im EU-Amtsblatt veröffentlicht. Die Meldevorschriften für Schwachstellen gelten ab September 2026. Die vollständigen Anforderungen für alle Produkte gelten ab Dezember 2027. Hersteller und Importeure sollten die Vorbereitungszeit nutzen – eine CRA-konforme Produktentwicklung und Dokumentation braucht Zeit.
FAQ
Gilt der CRA auch für Software-as-a-Service? Reine SaaS-Lösungen ohne lokale Softwarekomponente fallen nach aktuellem Stand nicht direkt unter den CRA – der Fokus liegt auf Produkten mit digitalen Elementen die als Ware in Verkehr gebracht werden. Hybride Produkte mit lokaler Komponente und Cloud-Anbindung können jedoch betroffen sein. Die genaue Abgrenzung hängt vom jeweiligen Produkt ab.
Was ist eine SBOM und warum ist sie relevant? Eine SBOM (Software Bill of Materials) ist eine maschinenlesbare Liste aller Softwarekomponenten eines Produkts – inklusive Open-Source-Bibliotheken und deren Versionen. Der CRA macht die SBOM zur Pflicht, damit Schwachstellen in Komponenten schnell identifiziert und gepatcht werden können. Für Einkäufer wird die SBOM ein Standard-Nachweis in der Lieferantenqualifikation.
Was passiert bei Verstößen gegen den CRA? Der CRA sieht Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes vor – je nachdem welcher Betrag höher ist. Zusätzlich können Produkte vom Markt genommen werden.
Wie verhält sich der CRA zu NIS2? NIS2 regelt Cybersicherheitspflichten für Betreiber kritischer und wichtiger Einrichtungen – also den Betrieb von Systemen. Der CRA regelt Cybersicherheitsanforderungen an Produkte – also die Herstellung und Vermarktung. Beide Regelwerke ergänzen sich: NIS2 schreibt vor wie Systeme betrieben werden müssen, der CRA schreibt vor wie Produkte beschaffen sein müssen die in diesen Systemen eingesetzt werden.
