CRA-Compliance für Maschinenhersteller
Ihre Maschine hat digitale Elemente. Ihre CE-Kennzeichnung erfordert jetzt Cybersicherheitsnachweise. CRA Evidence hilft Maschinenherstellern, sowohl den Cyber Resilience Act als auch die EU-Maschinenverordnung einzuhalten — von einer einzigen Plattform.
Die doppelte Compliance-Realität
Ab Januar 2027 verlangt die EU-Maschinenverordnung (2023/1230) Cybersicherheitsnachweise in der technischen Dokumentation (Anhang III §1.1.9 „Schutz vor Korrumpierung"). Ab Dezember 2027 schreibt der CRA vollständige produktbezogene Sicherheit über den gesamten Lebenszyklus vor. Beide Regelwerke gelten für Maschinen mit SPS, HMI, eingebetteten Steuerungen oder Netzwerkkonnektivität.
CRA Erwägungsgrund 53 ist eindeutig: Produkte, die bereits von anderen EU-Regelwerken erfasst werden — darunter die Maschinenverordnung —, müssen dort, wo Cybersicherheitsanforderungen gelten, auch dem CRA entsprechen. CRA-Compliance-Nachweise können die Cybersicherheitsanforderungen der Maschinenverordnung erfüllen — wenn sie korrekt strukturiert sind.
Wie CRA Evidence Maschinenbauern hilft
| Ihr Bedarf | CRA Evidence Funktion | Erfüllt |
|---|---|---|
| Software in Maschinen nachverfolgen | SBOM + HBOM Management | CRA Anhang I + MV technische Dokumentation |
| Eingebettete Firmware analysieren | EMBA Firmware-Analyse | CRA Schwachstellenmanagement + MV §1.1.9 |
| Cybersicherheitsrisiken bewerten | STRIDE-Risikobewertung mit Hardware-Assets | CRA Art. 13(2) + MV §1.1.9 |
| Schwachstellen an ENISA melden | 24h/72h/14d Meldeablauf | CRA Art. 14 (ab Sep 2026) |
| CE-Kennzeichnungsnachweise erstellen | EU-Konformitätserklärung + technische Dateiexport | CRA Art. 22-23 + MV Konformität |
| Produkttransparenz bereitstellen | Digitaler Produktpass mit QR-Codes | CRA + Ökodesign |
| Lieferkettenkomponenten verwalten | Importeur-/Händlerverifizierung | CRA Art. 19-20 |
Betroffene Produkte
CNC-Maschinen, Cobots, Verpackungsmaschinen, Sicherheits-SPS, Industrieroboter, HMI, Frequenzumrichter mit Netzwerkschnittstellen, AGV/AMR, Spritzgießmaschinen, Holzbearbeitungsmaschinen mit digitalen Steuerungen — im Wesentlichen jede Maschine mit Software oder Netzwerkkonnektivität.
Wichtige Fristen
11. September 2026 — ENISA-Schwachstellenmeldepflicht beginnt. Hersteller von Maschinen mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden.
20. Januar 2027 — Volle Anwendung der EU-Maschinenverordnung. Cybersicherheitsnachweise in der technischen Dokumentation gemäß Anhang III §1.1.9 erforderlich.
11. Dezember 2027 — Vollständige CRA-Durchsetzung. Alle Produkte mit digitalen Elementen müssen die grundlegenden Cybersicherheitsanforderungen erfüllen.
Der entstehende Standard: prEN 50742
Der Normentwurf prEN 50742 („Sicherheit von Maschinen — Schutz vor Korrumpierung") enthält technische Spezifikationen zur Umsetzung der Cybersicherheitsanforderungen aus §1.1.9 der Maschinenverordnung. Zwei Konformitätspfade sind vorgesehen: eigenständiger Ansatz oder IEC 62443-Integration. Die Veröffentlichung wird für Ende 2026 erwartet.
Was wir abdecken — und was nicht
CRA Evidence deckt die Cybersicherheits-Compliance-Aspekte der Maschinenverordnung ab: SBOMs, HBOMs, Schwachstellenverfolgung, Risikobewertung, ENISA-Meldungen, CE-Kennzeichnungsdokumentation und Digitale Produktpässe.
Für mechanische Sicherheit, elektrische Sicherheit, Lärm, Vibrationen und andere nicht-cyber-bezogene Anforderungen der Maschinenverordnung wenden Sie sich an Ihren bestehenden Compliance-Prozess. CRA Evidence adressiert die Cybersicherheits-Schnittstelle — nicht den vollständigen Umfang der Maschinenverordnung.
Bereit, Ihre CRA-Compliance-Reise zu beginnen?
September 2026 ist näher als Sie denken. Beginnen Sie noch heute mit der Dokumentation der Cybersicherheitsnachweise Ihrer Maschinen.