Der Cyber Resilience Act (CRA) bringt neue verbindliche Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen. Unternehmen, die Maschinen, Geräte, Software oder vernetzte Systeme entwickeln und in Verkehr bringen, müssen künftig nachweisen, dass Sicherheitsaspekte bereits bei der Entwicklung berücksichtigt wurden. Das betrifft nicht nur große Hersteller von vernetzten Maschinen und Anlagen sondern auch Hersteller und Zulieferer von Komponenten.

Dabei stellt der Cyber Resilience Act gänzlich neue Anforderungen an technische Dokumentation und CE-Konformitätsbewertung.

Der Cyber Resilience Act ist eine europäische Verordnung, die Mindestanforderungen an die Cybersicherheit von Produkten mit digitalen Elementen festlegt. Ziel ist es, Sicherheitslücken bereits während der Entwicklung zu vermeiden und Hersteller stärker in die Verantwortung zu nehmen.

Hersteller sind verpflichtet, aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle an die Behörden (in Deutschland das BSI) und die ENISA zu melden.

Der CRA ist voll anwendbar. Alle neu in der EU in den Verkehr gebrachten Produkte mit digitalen Elementen benötigen dann zwingend eine CE-Kennzeichnung und müssen umfassende Sicherheitsanforderungen erfüllen.

Betroffen sind unter anderem:

• Maschinen mit Netzwerkverbindung
• Industriesteuerungen
• IoT-Geräte
• Softwareprodukte
• Smarte Komponenten und Sensorik

Der CRA ergänzt bestehende CE-Vorgaben um konkrete Anforderungen an Cybersecurity. Damit wird Cybersicherheit künftig zu einem festen Bestandteil der Konformitätsbewertung und zwar unabhängig von der neuen EU-Maschinenverordnung (EU) 2023/1230.

Cybersecurity muss damit bereits im Entwicklungsprozess berücksichtigt, Risiken bewertet und Entscheidungen dokumentiert werden. In der Praxis bedeutet das unter anderem:

• Sicherheitsanforderungen müssen dokumentiert werden, z.B. nach EN 62443-4-2
• Risiken sind systematisch zu bewerten, z.B. nach EN 62443-3-2
• Schwachstellenmanagement wird verpflichtend
• Sicherheitsupdates müssen über definierte Zeiträume bereitgestellt werden

Ein häufiger Irrtum besteht darin, dass es genügt, die Grundlegenden Sicherheits- und Gesundheitsschutzanforderungen nach Maschinenverordnung (und ggf. der prEN 50742) umzusetzen. Tatsächlich gilt der CRA parallel für Maschinen- und Anlagenbauer, sobald ihre Produkte digitale Funktionen oder Netzwerkschnittstellen besitzen und stellt somit ein gänzlich neues Konformitätsbewertungsverfahren. Ebenfalls berücksichtigen werden mit Cyber Resilience Act nicht ausschließlich nur Safety-Anforderungen berücksichtigt, sondern auch Anforderungen an Security (also auch rein wirtschaftliche Schäden).

Hersteller müssen künftig nachweisen, dass ihre Produkte grundlegende Sicherheitsanforderungen erfüllen. Dazu gehören unter anderem:

• Schutz vor unbefugtem Zugriff
• Sichere Standardkonfigurationen
• Schutz sensibler Daten
• Nachvollziehbare Sicherheitsupdates
• Dokumentierte Behandlung von Schwachstellen

Aus unserer Erfahrung empfiehlt es sich, diese Anforderungen frühzeitig in bestehende Entwicklungs- und Dokumentationsprozesse zu integrieren. Unternehmen vermeiden dadurch spätere Anpassungen und reduzieren Risiken im Zulassungsprozess.

Die Technische Dokumentation spielt beim CRA eine zentrale Rolle. Sie dient als Nachweis dafür, dass Sicherheitsanforderungen berücksichtigt und umgesetzt wurden.

Wichtige Inhalte sind beispielsweise:

• Beschreibung der Sicherheitsarchitektur
• Ergebnisse der Risikoanalyse, z.B. nach EN 62443-3-2
• Nachweise zu Schutzmaßnahmen
• Prozesse für Updates und Schwachstellenmanagement
• Benutzerinformationen zu sicherheitsrelevanten Funktionen
• Führen bzw. Weiterführen einer SBOM (Software Bill of Materials)

Der CRA verlangt eine systematische Betrachtung möglicher Cyberrisiken. Da es aktuell keine harmonisierte Normen gibt, die das Verfahren nach Cyber Resilience Act festlegen, empfehlen wir aus Normenreihe EN 62443 Teil 3-2. In der Cyber Security Risikobeurteilung reicht es nicht aus, allgemeine Sicherheitsmaßnahmen zu nennen. Hersteller müssen nachvollziehbar bewerten:

• Welche Bedrohungen bestehen?
• Welche Auswirkungen hätte ein Angriff (sowohl für Gesundheit wie aber auch rein finanzielle)?
• Welche Schutzmaßnahmen wurden umgesetzt?
• Welche Restrisiken bleiben bestehen?

Auch wenn Übergangsfristen bestehen, sollten Unternehmen den CRA nicht erst kurz vor Inkrafttreten berücksichtigen.
Entwicklungsprozesse, Dokumentationsstrukturen und Verantwortlichkeiten benötigen häufig Zeit zur Anpassung. Wir empfehlen daher sich frühzeitig mit den Anforderungen nach EN 62443-4-1 auseinanderzusetzen.

Besonders sinnvoll ist eine frühzeitige Prüfung:

• Welche Produkte sind betroffen?
• Welche Nachweise fehlen aktuell?
• Welche Prozesse müssen ergänzt werden?
• Wie lassen sich bestehende CE-Abläufe erweitern?

Unternehmen, die diese Fragen frühzeitig klären, reduzieren spätere Projektaufwände und schaffen Planungssicherheit.

Der Cyber Resilience Act erweitert die Anforderungen an Hersteller deutlich und macht Cybersecurity zu einem festen Bestandteil der CE-Konformitätsbewertung. Besonders wichtig sind eine nachvollziehbare Risikoanalyse, strukturierte technische Dokumentation und klare Prozesse für Sicherheitsmaßnahmen und Updates.
Unternehmen sollten frühzeitig prüfen, welche Produkte betroffen sind und wie bestehende Entwicklungs- und Dokumentationsprozesse angepasst werden müssen. Wer Cybersecurity bereits heute systematisch integriert, reduziert Risiken und schafft langfristig sichere und konforme Produkte.

• GAP-Analyse der Anforderungen nach CRA: Anforderungen an den sicheren Entwicklungsprozess (nach EN 62443-4-1) und Anforderungen an Produkte mit digitalen Elementen (nach CRA und EN 62443-4-2)
• Unterstützung im Konformitätsbewertungsverfahren
• Unterstützung im Erstellen von Risikobeurteilungen nach CRA und EN 62443-3-2
• Erstellen von Benutzerinformation
• Weitere Beratungsleistungen