Fachbeitrag teilen
Mit dem Inkrafttreten des Cyber Resilience Act (CRA) wird Cybersicherheit erstmals zu einer zwingenden Voraussetzung für die CE-Kennzeichnung vernetzter Produkte. In der Branche herrscht jedoch Unsicherheit über die genaue Auslegung der abstrakten Gesetzestexte. Insbesondere die Frage, wo die Abgrenzung zwischen einer einfachen mechanischen Komponente und einem regulierten „Produkt mit digitalen Elementen“ verläuft, sorgte für Diskussionsstoff.
Die am 3. Dezember 2025 veröffentlichten FAQs zum CRA konkretisieren diese Anforderungen endlich. Sie dienen als entscheidendes Bindeglied zwischen der Theorie des Verordnungstextes und der technischen Realität. Hersteller erhalten in einigen Bereichen wichtige Interpretationshilfen. Im Folgenden geben wir eine Zusammenfassung zu Fragen, die insbesondere Hersteller von Maschinen beschäftigen.
Wann fällt eine Maschine in den Anwendungsbereich des CRA?
Die Anwendbarkeit des CRA wird durch drei kumulative Kriterien bestimmt. Nur wenn alle drei Elemente gleichzeitig erfüllt sind, unterliegt das Produkt den gesetzlichen Anforderungen. Dies gibt das FAQ-Dokument in Abschnitt 1.1 wider:
Wann ist eine Maschine ein „Produkt mit digitalen Elementen“?
Für Hersteller definiert der CRA einen weitreichenden Produktbegriff (siehe dazu Abschnitt 1.2 in den FAQs). Dieser umfasst nicht nur das physische Endprodukt, sondern die gesamte funktionale Einheit. Hierbei ist auch entscheidend, dass der CRA nicht nur Endprodukte, sondern die gesamte Lieferkette betrachtet:
Wichtig: Rein mechanische Komponenten ohne elektronische Datenverarbeitung bleiben außen vor. Ebenso sind isolierte Cloud-Dienste (SaaS), die nicht in der direkten Verantwortung des Maschinenherstellers liegen, separat zu betrachten.
Im industriellen Kontext (IoT) ist der Begriff der Verbindung weit auszulegen, Details bietet hierzu Abschnitt 1.3 in den CRA-FAQs. Hersteller müssen berücksichtigen, dass auch vermeintlich „isolierte“ Komponenten als Einfallstor dienen können.
Physische und logische Schnittstellen
Die Relevanz indirekter Verbindungen
Ein Produkt muss nicht zwingend direkten Zugang zum Internet haben, um unter den CRA zu fallen. Eine indirekte Verbindung reicht aus. Wenn etwa eine Steuerung über einen Industrie-PC (Hostsystem) kommuniziert, gilt sie als indirekt verbunden. Da sich Cyberbedrohungen lateral durch Fabriknetze bewegen können, müssen auch diese „inneren“ Komponenten die Sicherheitsanforderungen erfüllen.
Produkte ohne Datenverbindung
Andererseits verfügt ein Produkt mit digitalen Elementen nicht über eine direkte oder indirekte Datenverbindung, wenn sein Verwendungszweck oder seine vernünftigerweise vorhersehbare Verwendung keine solche Verbindung zu anderen Geräten oder Netzwerken umfasst. Solche Produkte ohne jegliche Datenverbindung sind ausgenommen. Im Maschinenbau sind dies meist autarke Alt-Systeme oder rein mechanische Vorrichtungen.
Beispiele hierfür sind:
Seminarhinweis
Cyber Resilience Act (CRA) für Hersteller von Maschinen und Geräten
In diesem 1-tägigen Seminar erfahren Sie praxisnah, welche Pflichten der Cyber Resilience Act (CRA) für Hersteller von Maschinen, Anlagen und elektrischen Geräten mit sich bringt und wie Sie diese effizient und rechtssicher erfüllen.
zum Seminar
Gilt der CRA für Maschinen mit digitalen Elementen, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden?
Produkte mit digitalen Elementen, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, unterliegen den Anforderungen des CRA nur, wenn sie ab diesem Datum einer wesentlichen Änderung unterzogen werden (Art. 69 Abs. 2, bzw. 1.4 in den FAQs).
Praxisbeispiel zur Abgrenzung wesentlicher Änderungen
Meldepflichten für Produkte vor Inkrafttreten des CRA
Unabhängig von der sonstigen Übergangsregel gilt eine Ausnahme für die Meldepflichten nach Artikel 14. Die Meldepflichten des CRA gelten ab dem 11. September 2026. Hersteller müssen insbesondere aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle für alle Produkte mit digitalen Elementen melden, die in den Anwendungsbereich des CRA fallen, einschließlich solcher, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden.
Fallen Maschinen, die nur für den Eigenbedarf hergestellt werden, in den Anwendungsbereich der CRA?
Hierzu finden sich Erläuterungen in Abschnitt 1.5 des FAQ-Dokuments. Das Inverkehrbringen gilt nicht als erfolgt, wenn ein Produkt ausschließlich für den Eigengebrauch hergestellt wird. Der Blue Guide zur Umsetzung der EU Produktvorschriften 2022 stellt klar, dass Produkte, die intern vom Betreiber hergestellt und genutzt werden (z. B. eigene Betriebsmittel oder Teststände), nicht unter den CRA fallen, solange sie nicht separat in Verkehr gebracht oder Dritten verfügbar gemacht werden.
Die Marktverfügbarkeit kann die Lage jedoch ändern. Werden solche Produkte später extern vertrieben oder als eigenständige Produkte verfügbar gemacht, gelten die CRA- Pflichten ab dem Zeitpunkt der Inverkehrbringung.
Wie wirken der CRA und die Maschinenverordnung (MVO) zusammen?
Hersteller, deren Produkte sowohl unter den CRA als auch unter die neue Maschinenverordnung (EU) 2023/1230 (MVO) fallen, müssen beide Regelwerke erfüllen (siehe Abschnitt 2.4 der CRA-FAQs). Es bestehen inhaltliche Überschneidungen bei Cybersicherheitsrisiken (z. B. Schutz vor Korruption, Sicherheit von Steuerungssystemen). Die Einhaltung der CRA Anforderungen kann daher die Erfüllung bestimmter Vorgaben der MVO erleichtern. Die Erfüllung der Anforderungen einer Verordnung ersetzt nicht automatisch die Erfüllung der Vorgaben einer anderen Verordnung. Hersteller müssen belegen, dass die Umsetzung der CRA Anforderungen auch die relevanten Anforderungen der MVO abdeckt. Geeignete Nachweismittel sind harmonisierte Normen oder andere technische Spezifikationen, gestützt auf eine Risikoanalyse.
Als Beispiel wird eine Lebensmittelverpackungsmaschine genannt. Diese kann zugleich eine Maschine im Sinne der MVO und ein Produkt mit digitalen Elementen im Sinne der CRA sein. In solchen Fällen müssen sowohl die wesentlichen Sicherheits- und Gesundheitsschutzanforderungen der MVO als auch die Cybersicherheitsanforderungen des CRA geprüft und ggf. erfüllt werden.
Welches Konformitätsbewertungsverfahren wende ich an?
Sowohl der CRA als auch die MVO schreiben eigenständige Konformitätsbewertungsverfahren vor, was in Abschnitt 2.4.3 der CRA-FAQs dargestellt wird. Fällt ein Produkt gleichzeitig unter beide Regelwerke, müssen Hersteller die jeweiligen, in jedem Rechtsakt separat festgelegten Verfahren sicherstellen. Die Erfüllung des Verfahrens eines Rechtsakts ersetzt nicht automatisch die Erfüllung des anderen.
Was verlangt der CRA vom Hersteller hinsichtlich der Bewertung der Cybersicherheitsrisiken?
Im Rahmen des New Legislative Framework müssen Hersteller eine dokumentierte Risikobewertung durchführen und die grundlegenden Anforderungen der geltenden Harmonisierungsrechtsvorschriften der Union umsetzen. Bei Produkten mit digitalen Elementen muss die Bewertung der Cybersicherheitsrisiken das gesamte Produkt umfassen, einschließlich der Komponenten zur Fernverarbeitung von Daten und aller unterstützenden Funktionen, die Teil des in Verkehr gebrachten Produkts sind. Details hierzu finden sich in Abschnitt 4.5 der FAQs.
Fokus Tag - Cyber Resilience Act
Am Fokus Tag zum CRA erhalten Sie relevante und praxisnahe Inhalte zu Security-Risikoanalysen, Schwachstellenmanagement, Software-Bill-of-Materials sowie formaler Anforderungen an Dokumentation und Konformitätserklärung.
zur Veranstaltung
Wie lange muss die Unterstützungsdauer mindestens betragen?
Der Hersteller hat die wirksame Behebung von Sicherheitslücken für mindestens fünf Jahre sicherzustellen, sofern nicht objektiv davon auszugehen ist, dass das Produkt kürzer genutzt wird. Ist die voraussichtliche Nutzungsdauer weniger als fünf Jahre, richtet sich der Unterstützungszeitraum nach dieser erwarteten Nutzungsdauer. Produkte mit typischerweise langer Lebensdauer erfordern im Normalfall Supportzeiträume über fünf Jahre. Besonders in industriellen Umgebungen genutzte Maschinen sind häufig über deutlich längere Zeiträume im Einsatz und müssen entsprechend berücksichtigt werden. Details hierzu sind in Abschnitt 4.5 nachzulesen.
Maschinen als Equipment as a Service (EaaS), also Produkte mit klar begrenztem Einsatzzeitraum, können eine kürzere Supportdauer haben, die der vereinbarten Nutzungsdauer beim Kunden entspricht.
Muss ich eine aktiv ausgenutzte Schwachstelle in einer Komponente eines Drittanbieters melden?
Grundsätzlich müssen Hersteller alle aktiv ausgenutzten Schwachstellen in ihren Produkten mit digitalen Elementen melden (Abschnitt 5.4).
Stammt die aktiv ausgenutzte Schwachstelle aus einer integrierten zugekauften Komponente, ist der Hersteller des Gesamtprodukts zur Meldung verpflichtet. Ist die Komponente selbst als Produkt in Verkehr gebracht worden, muss auch deren Hersteller diese melden.
Erkennt der Hersteller, dass eine Schwachstelle in einer integrierten Komponente vorliegt, diese aber in seinem Produkt nicht ausgenutzt werden kann, gilt sie nicht als aktiv ausgenutzt und unterliegt daher nicht der Meldepflicht.
Solche nicht ausgenutzten Schwachstellen können jedoch freiwillig nach Artikel 15 gemeldet werden. Zudem muss der Hersteller die Schwachstelle der Person oder Stelle melden, die die Komponente herstellt oder wartet (Art. 13 Abs. 6).
In Bezug auf Meldungen verschaffen CSIRTs und ENISA ein Lagebild zur Bewertung von Schweregrad und Marktdurchdringung aktiv ausgenutzter Schwachstellen im Binnenmarkt.
Wie sollten Schwachstellen von zugekauften Komponenten behandelt und behoben werden?
Die Verpflichtungen gelten für das Produkt in seiner Gesamtheit, also auch für integrierte oder mitgelieferte Komponenten. Wurde eine integrierte Komponente nach Inkrafttreten der CRA selbst als Produkt in Verkehr gebracht, kann sich der integrierende Hersteller auf die Maßnahmen des Komponentenherstellers stützen (z. B. Sicherheitsupdates). Der integrierende Hersteller bleibt jedoch verpflichtet, Nutzer zu informieren, Abhilfemaßnahmen bereitzustellen und die Dokumentation zu aktualisieren.
Ist die Komponente nicht in Verkehr gebracht worden oder vor Inkrafttreten in Verkehr gebracht worden, unterliegt deren Hersteller nicht automatisch den CRA Pflichten. Der integrierende Hersteller muss dennoch sicherstellen, dass sein Gesamtprodukt die Anforderungen erfüllt und gegebenenfalls selbst Maßnahmen ergreifen (Deaktivieren betroffener Funktionen, Austausch der Komponente oder Eigenentwicklung eines Patches).
Details bieten die CRA-FAQs in Abschnitt 4.3.6.
Der Beitrag stellt lediglich einen Auszug der Fragen dar, die nach unserer Erfahrung Hersteller beschäftigen, aber es wird deutlich, dass die FAQs zum Cyber Resilience Act (CRA) zentrale Auslegungen und Praxisfragen bündeln und so die regulatorischen Pflichten für Hersteller, Entwickler und Zulieferer greifbar machen. Sie sind ein erster Schritt, um Unsicherheiten bei Geltungsbereich, Risikobewertung, Supportpflichten, Meldepflichten und Konformitätsbewertung zu reduzieren und fördern eine einheitliche Umsetzungspraxis.
Den PDF-Volltext des FAQ-Dokuments können Sie durch Klick auf folgenden Button öffnen und herunterladen:
FAQs zum Cyber Resilience Act vom 3. Dezember 2025
Verfasst am: 16.01.2026
Fachreferent CE-Kennzeichnung und Safexpert Ausgebildeter technischer Redakteur (tekom-zertifiziert) und geprüfter CE-Koordinator. Zuvor 11 Jahre Erfahrung in der technischen Kommunikation und als CE-Koordinator im Bereich Maschinen- und Anlagenbau, spezialisiert auf “Engineered to Order (ETO)”-Produkte.
E-Mail: hendrik.stupin@ibf-solutions.com
Wir informieren Sie kostenlos per E-Mail über neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance.
Registrieren
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit